国产资源站采集

当前位置: > 国产资源站采集 >

无锡农商行:基于国产化安全大脑为核心的实战化安全运营体系构建

时间:2022-03-16 06:59    作者:admin     点击:

  无锡农商行为了推进本行实战化安全运营体系建设的最后一公里落地,以国产化安全大脑建设为核心,自研建立一个集分析、预警、响应处置为一体的大数据安全分析平台,以大数据为基础、以智能分析为手段、以管理流程为驱动,让安全事件做到闭环管理并驱动平台持续完善。

  国产化安全大脑按照数字化资产管理、智能化风险识别、自动化应急处置、一体化运营管理的要求进行构建,能够全面采集组织机构IT信息、网络流量、安全日志、威胁情报等多源异构数据,通过数据汇聚、数据标准化等对数据进行范式化处理,利用分布式文件存储系统对海量数据进行存储和管理。

  国产化安全大脑平台,建立了全行网络安全日志统一收集平台,基于大数据分析算法,设计银行内部分析模型,将量级安全日志分析成可人工分析的安全事件,提升安全分析精度和速度,降低安全运营人力投入。同时通过系统对接,提供更灵活、可配置的安全编排及自动化响应功能,结合实际安全业务需求,联动现有安全设备及威胁情报,按照定义的标准工作方法执行安全风险协同响应工作,帮助银行自动化、半自动化完成安全处置工作,提升安全运营效率。另一方面将现有的日常安全运营流程融入到安全大脑平台中,兼顾外部风险处置和内部管控流程,使安全运营常态化、安全管理精细化,最终完成安全运营一站式平台化服务。

  国产化安全大脑提供图形化交互式分析、SQL语句分析、内置模型模型分析、导入模型分析等多种分析能力,能够快速调度平台内置的图计算引擎、内存计算引擎、流式计算引擎、离线计算引擎、作业调度引擎、机器学习引擎、人工智能引擎等对数据进行多维度关联分析。

  基于分析结果,国产化安全大脑能够实现对网络安全态势的感知、预测和预警,能够快速掌握网络安全风险态势,快速发现网络攻击、漏洞隐患,持续监测木马病毒、勒索软件,快速追踪安全事件线索,快速预警重大网络安全威胁,快速响应和处置安全事件,实现全天候、全方位感知网络安全态势的目标。系统架构如下所示:

  无锡农商行国产化安全大脑的业务流程包含数据采集、数据标准化、数据存储、数据分析、数据展示等各个阶段,下图按照数据流向对国产化安全大脑整体业务进行描述。

  支持采集、接入各类数据,包括安全类数据(安全设备日志、安全合规、操作日志、安全运行)、基础IT类数据(用户数据、资产数据)、威胁情报数据、流量数据、系统配置及管理数据等各类网络安全、IT支撑数据,以及各自主研发的全流量探针、网站监测探针、资产探针等探针产生数据。

  支持丰富、多样化的数据采集能力,支持Syslog、FTP/SFTP、JDBC等协议,以及主动、被动采集方式,覆盖各类安全设备日志、应用操作日志、文件数据、关系型数据库数据等多种存储类型数据源。

  基于实时数据处理引擎,面向异构采集数据实现数据标准化、过滤、补全、归并、映射等流式、高效数据处理能力,提高数据接入的效率并让数据更易用、更标准,建立统一数据汇聚、管理标准,让安全运营人员理解不同来源数据的成本更低,从而进一步提升上层数据分析效率。

  基于大数据技术,构建三大引擎:实时流式分析引擎、离线周期分析引擎及离线手动分析引擎,实现数据统计分析、关联分析、基线分析、异常分析等分析能力,并内置多种分析规则、安全引擎,帮助安全运营人员在理解数据的基础上快速配置、获取数据分析能力,高效应对不断迭代、发现的企业网络安全风险问题,并输出高可信风险告警。

  针对安全风险分析结论进行可视化视图呈现、风险描述的过程,将安全分析结果通过仪表盘、安全告警、分析场景、大屏等方式呈现。

  无锡农商行国产化安全大脑平台,基于自主可控研究国产化安全大脑,适配国产操作系统、国产芯片,核心组件采用国产数据库,实现从硬件到软件自主研发、生产、升级、维护的自主可控。

  无锡农商行在各类基础安全防护工具之上部署了安全流量编排设备、安全流量分析平台、日志分析平台,通过与本行各类安全设备进行对接联动,实现了本行各类安全设备的“三个统一”:安全设备统一编排调度、安全流量统一分析检测、安全日志统一收集及监控分析,有效提升了本行网络安全管理效率及手段。

  全面采集企业IT、风险、日志等相关数据,最大程度的将企业信息安全管理工作通过数据实现可视化,支撑上层风险分析需求;集成全流量监测、漏洞监测、网站监测、日志审计等多种监测能力;

  通过深度理解、挖掘各类安全数据间相关度、关联方式、逻辑关系,帮助提升安全风险输出的可信度,站在整体视角综合分析,支持实时、离线输出更精准、更可信的安全风险;支持智能分析,包括基线学习、安全引擎等深度分析能力。

  实践安全运营管理工作,基于安全防御、响应体系,针对发现风险,实现一键处置、处置返回、处置复查、风险加固。

  应对层出不穷的新型威胁,无锡农商行国产化安全大脑平台系统提供更专业的攻防经验支撑、威胁情报数据支撑及安全运营支撑的整体感知与运营方案。

  无锡农商行国产化安全大脑平台系统是汇聚多源异构的安全类数据、基础it类数据的安全数据中心;基于安全攻防实战及风险分析经验,针对丰富融合的各类多层次安全数据,提供多种角度深度分析的安全风险数据分析平台;贯穿银行安全运营体系建设,逐步建立数据分析、风险发现、风险处置、处置反馈/复查的安全风险闭环流程,串联实际安全工作,形成金融架构安全运营管理机制。

  以下就无锡农商行国产化安全大脑平台系统实现的关键技术要点进行分析和总结。

  无锡农商行重视国产化安全建设,基于自主可控研究国产化安全大脑,适配国产操作系统、国产芯片,核心组件采用国产数据库,实现从硬件到软件自主研发、生产、升级、维护的自主可控。

  基于数据驱动安全的理念,国产化安全大脑能够融合多源异构数据,建立更贴合业务需求的安全数据中心。系统支持接入4大维度网络安全数据:安全类数据、基础IT类数据、全流量数据、系统配置和用户管理数据,共8大类90小类:WAF、IPS/IDS、漏扫、DDoS、APT、应用系统等。同时,支持多种存储数据结构的维护管理、扩展编辑,可持续扩展接入数据的管理结构。

  兼容主动、被动的主流数据获取方式,包括:Syslog、文件FTP/SFTP、数据库、全流量镜像等,支持接入监控并管理设备,及时发现设备数据是否接入、是否成功泛化;内置50+主流安全系统自动化解析能力,可直接接入标准化日志,同时支持零基础数据泛化,可快速接入JSON、XML、键值对,并提供正则模式。

  国产化安全大脑配套全系列探针,能够支持多种自主安全能力及数据,主要包括:全流量风险事件数据、资产发现及脆弱性事件数据、网站风险事件数据等。

  国产化安全大脑内置实时流式分析、离线周期分析和离线手动分析三大分析引擎,帮助在理解数据的基础上快速获取风险分析能力,高效应对不断迭代的风险问题,输出高可信告警。

  国产化安全大脑针对多源数据提供交互式功能,可以灵活配置统计、筛选、关联、基线等分析策略,学习成本更低,并支持通过SQL补充多种复杂分析要求,同时,可循环引用分析结果数据,输出态势风险告警。

  语义分析引擎:针对Web流量对目标字符串依次进行词法分析、语法分析、语义分析,结合安全威胁模型打分,实现Web攻击精准监测。

  基线分析引擎:基于数值建立基线区间,串联关联分析工具,快速应用到关联分析规则配置中,发现异常数据从而实现异常基线分析。

  内置多个监测模型引擎:DGA域名检测引擎、DNS隐匿信道引擎等,实现提取DGA发送载体行为特征进行恶意DGA域名定位,以及DNS隧道检测。

  国产化安全大脑支持灵活可配置的安全编排及自动化响应功能,按照定义的标准工作流程自动执行安全风险协同响应工作,串联规范化和流程化的安全管控,降低安全运营成本。

  国产化安全大脑内置风险告警研判中心,面向多个安全运营角色,包括告警监控角色、研判分析角色及风险处置角色,能够串联安全运维及处置流程,并支持按需扩展和建设。

  此阶段时间段为2021年1月初至2021年1月中旬,其间主要完成了业务需求分析、业务功能和技术构架的高层设计。提交了现状需求分析报告、各功能模块的高层设计、技术构架和接口的高层设计等文档。

  此阶段起始时间为2021年1月中旬至2020年2月初,其间主要完成了系统详细设计工作,提交了安全大脑详细设计说明书等文档。

  此阶段起始时间为2021年2月初至2021年2月中旬,其间完成了安全大脑的编码、测试,提交了安全大脑测试报告、上线方案、系统设置等文档。

  此阶段起始时间为2021年2月中旬至2021年3月初,其间安全大脑完成多款国产化CPU与操作系统的适配工作。

  此阶段起始时间为2021年3月初至2021年4月初,其间完成了资源准备、现场设备部署调试、日志接入、分析模型构建等工作。

  此阶段起始时间为2021年4月初至2021年5月中旬,其间完成了安全大脑的试运行工作,并对安全大脑的策略进行调优。并完成自动化封禁部署、大屏调试等工作。

  支持各类、多种数据采集汇聚,对采集数据进行数据标准化,并面向不同需求,存储到相应存储单元中。

  根据不同的日志格式定制相应范化规则(正则表达式),进行数据内容标准化解析;

  支持数据范化、过滤、补全、归并、映射等模块化数据处理功能,让各类数据易用性更高、更标准,从而进一步提升数据分析效率、准确性、灵活性;

  基于汇聚的标准日志、事件、IT基础、情报等多源数据,提供实时计算分析、离线计算分析能力,并支持关联分析、数据基线、分析引擎等图形化交互、SQL、导入等分析配置功能,帮助安全运营人员在理解数据的基础上快速配置、获取数据分析能力,高效应对不断迭代、发现的企业网络安全风险问题,并输出高可信风险告警。

  基于宏观视角,展示整体安全情况,能清楚的了解当前网络安全状况、评级分数、爆发的重大事件等,并能评估防御不足还是内部威胁,决策哪里需要加固。

  全流量监测探针基于核心交换旁路镜像流量数据模式,在不影响正常业务的情况下,获取全流量数据,支撑流量数据审计、风险分析、溯源检索需求。

  基于主动和被动两种模式,基于场景精细化扫描,自启发式漏洞检测,实现对网络内主机系统、网络设备的漏洞信息进行收集和管理,并将相关数据采集结果发送到安全大脑进行综合分析。

  基于阿里海量威胁情报来源、技术支持,提供更丰富、更高效、更及时的国际顶尖威胁情报数据,有力支撑智能分析,持续性提升安全风险感知与处置能力。

  构建统一面向安全的资产中心,基于安全大脑汇聚银行数据优势,解决银行资产数据不统一、维护属性差异大、未知资产存在安全隐患等问题,管理资产及其属性,重点关注各类安全属性。

  利用安全大数据处理技术,基于贝叶斯网络分析、马尔科夫预测分析、稀疏干涉分析等算法,结合伪造地址的IP追踪技术、跳板攻击溯源技术、匿名通信系统追踪等技术,在发现高级威胁、未知威胁的同时,减少流量溯源、事件溯源、playload载荷溯源、终端溯源所需时间,及时定位攻击源,追溯、串联、构建攻击过程数据。

  安全风险闭环作为安全运营的重要管控工作流程,以态势感知网络威胁可视化作为安全分析与管控的入口,在安全分析、精准定位风险后,对风险进行快速的协同响应及应急处置,后续用户需要通过人工方式、线下方式等进行相应的处置反馈、处置复查等工作。

  支持SOAR安全编排、自动化与响应,通过拖拽方式,基于态势感知强大的安全风险分析能力,进行安全风险分析与响应的定义、构建,按照定义的标准工作流程驱动执行安全风险协同响应工作。帮助企业串联多种安全管控能力,规范化、流程化安全管控工作,捋顺安全合规管理基础,降低企业安全运营成本,支撑企业整体安全运营。

  无锡农商行国产化安全大脑平台项目成效主要有提高人员工作效率、减少人员投入,提升安全事件处置效率,成果输出及国产化示范效应4个方面。

  1、提高人员工作效率、减少人员投入。国产化安全大脑平台系统是无锡农商行自有开发人员根据安全业务实际需求制定模型和研发方案。研发成本可控,且研发团队稳定,可根据业务发展快速迭代开发。如果按照已建设完成的安全大脑进行采购,成熟的商用安全大脑平台系统基本都需要上百万。从这个角度计算,节约投资约150万元。在国产化安全大脑投入使用后,使得安全运营人员工作效率大大提升,按照目前运行情况来看,可以做到减少5人年的人力投入,按1人年30万元计算,可节约人力成本150万元/年。

  2、提升安全事件处置效率。国产化安全大脑平台系统自上线+资产,每日分析百万条原始日志,验证有效攻击数千条,安全事件监控、分析到处置从原来4~6小时降低至20分钟,提高安全事件响应和处置效率,提前规避安全风险。

  3、成果输出。国产化安全大脑平台系统具备自主化知识产权,在开发、建设、运营中积累大量运行经验,具备成果输出条件,同样适用于已完成基础建设、需加强安全运营能力的中小型金融机构,具有可复制性、可推广性,可给无锡农商行带来经济效益的增长。

  4、国产化示范效应。国产化安全大脑平台系统成功在国产操作系统、国产芯片进行运行,且核心数据库也进行国产化适配。基于国产软件、硬件的适配,无锡农商行实现国产化替代,加快国产安全设备建设布局,打造金融网络安全自主可控。国产化安全大脑平台系统率先在同行业中实践基于国产化自主知识产权的计算资源、操作系统等基础架构,并取得了成功。此举在同行业中有望形成示范效应,树立标杆案例,并带动其他行业加快国产化项目落地进程。

  国产化安全大脑由无锡农商行自主研发,率先支持在纯国产操作系统上部署运行,运行环境可支持海光、飞腾、鲲鹏等国产处理器,安装麒麟操作系统,应用大数据技术架构,以B/S方式对外提供服务。保障供应链安全的同时,结合行内自身研发设计,全面掌握国产化安全大脑核心技术,实现从硬件到软件的自主研发、生产、升级、维护的全程可控。

  在日常安全运营中,基于实战化、强攻防对抗要求,通过安全大脑集中分析行内各类安全数据、智能联动行内多台安全设备、统筹行内安全支撑人员,实现威胁快速识别、威胁精准研判、威胁自动处置、安全管理闭环的目标,有效扭转攻守双方实力不对称的局面。

  未来将基于“智能、有效、融合、协同”的先进安全理念,利用精湛可信的技术经验沉淀,通过持续优化的组织管理,建设银行系统可信网络,打造行业安全运营管理标杆。

  无锡农商行国产化安全大脑具备安全、可控的核心自主研发能力,对于加快推进国产化进程,打造关键的国际竞争力至关重要。

  现阶段,国产化安全大脑平台系统帮助无锡农商行梳理、整合已建设各种安全能力,汇聚、融合多源风险分析结果,建立安全数据中心,站在综合、多维视分析企业险态势,并串联多种安全响应手段,构建企业安全分析、防护体系。

  在日常安全运营中,基于实战化、强攻防对抗要求,通过安全大脑集中分析行内各类安全数据、智能联动行内多台安全设备、统筹行内安全支撑人员,实现威胁快速识别、威胁精准研判、威胁自动处置、安全管理闭环的目标,有效扭转攻守双方实力不对称的局面。

  在重大保障期间,按照网络和信息安全“高度负责、高度认真”的指导思想,通过安全大脑及安全值守人员,针对行内重点业务系统开展网络安全重保运营管理工作。能够满足持续监测网络攻击威胁、及时发现与评估安全风险、重大威胁应急响应、确信风险快速处置等要求,做好行内安全风险防控管理工作。

  无锡农商行将持续加大信创技术创新与国产软硬件生态建设方面的投入,建设更加完善的国产安全生态体系,助力信创产业的快速发展。未来,国产化大脑在推动国产化的进程中砥砺前行,为加快数字中国建设的步伐提供有力保障,同时,将持续聚焦国产化生态建设,全面打造金融行业适配解决方案。

咨询中心