大數(shù)據(jù)和人工智能技術(shù)在銀行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理中的實(shí)踐

丁晨

一、銀行在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理中面臨的挑戰(zhàn)

（一）法律法規(guī)和監(jiān)管要求不斷加強(qiáng)

銀行業(yè)是金融行業(yè)的重要組成部分，銀行業(yè)的網(wǎng)絡(luò)安全關(guān)系國家金融安全，銀行金融機(jī)構(gòu)的運(yùn)營受到嚴(yán)格的外部監(jiān)管，在網(wǎng)絡(luò)安全方面須遵從如《網(wǎng)絡(luò)安全法》、《金融行業(yè)信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指引》、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等多部法律法規(guī)，并受到政府多部門的監(jiān)督管理，如人民銀行、銀保監(jiān)會(huì)、公安部和工信部等。在復(fù)雜、多變、動(dòng)態(tài)的業(yè)務(wù)和系統(tǒng)環(huán)境中，遵從法律法規(guī)滿足合規(guī)要求，是銀行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理工作的基礎(chǔ)任務(wù)。

（二）被動(dòng)防御系統(tǒng)不能滿足銀行安全需要

為了應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)安全挑戰(zhàn)，銀行在網(wǎng)絡(luò)安全方面持續(xù)加大投入，基于縱深防御理念開展網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)，在網(wǎng)絡(luò)環(huán)境中層層部署各類安全設(shè)備，這類安全系統(tǒng)可以防堵外部某個(gè)方面的安全威脅，但難以應(yīng)對(duì)日益復(fù)雜和不斷進(jìn)化的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)安全威脅。同時(shí)，銀行內(nèi)部的違規(guī)和信息泄漏更加難以發(fā)現(xiàn)和防范。內(nèi)部人員、外包人員容易接觸到銀行敏感信息，熟悉銀行內(nèi)部環(huán)境，容易逃避安全防護(hù)手段進(jìn)而危害銀行的核心數(shù)據(jù)和資源。網(wǎng)絡(luò)安全設(shè)備部署在專網(wǎng)和內(nèi)網(wǎng)的安全邊界，內(nèi)部威脅可以天然躲避這類檢測。綜上，被動(dòng)防御已經(jīng)不能滿足銀行當(dāng)前的業(yè)務(wù)需要，如何開展主動(dòng)防御是銀行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理工作的重大挑戰(zhàn)。

（三）新技術(shù)與銀行業(yè)務(wù)深度融合帶來的巨大挑戰(zhàn)

隨著互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)和人工智能等技術(shù)與銀行業(yè)務(wù)深度融合，新的業(yè)務(wù)不斷上線，銀行業(yè)務(wù)和系統(tǒng)越發(fā)復(fù)雜，每天產(chǎn)生海量的業(yè)務(wù)數(shù)據(jù)和日志數(shù)據(jù)，不同業(yè)務(wù)和系統(tǒng)之間存在眾多的業(yè)務(wù)孤島和信息孤島，如何打破業(yè)務(wù)孤島和信息孤島，實(shí)現(xiàn)關(guān)聯(lián)分析，發(fā)現(xiàn)隱性關(guān)系等，對(duì)網(wǎng)絡(luò)安全管理和人員素質(zhì)提出了更高的挑戰(zhàn)。同時(shí)，系統(tǒng)風(fēng)險(xiǎn)由南北方向向東西方向演變，導(dǎo)致新設(shè)備信息化程度、智能程度和專業(yè)化程度越來越高，網(wǎng)絡(luò)安全設(shè)備往往存在高漏報(bào)、誤報(bào)、操作復(fù)雜等問題，如何快速處理海量數(shù)據(jù)，排查定位風(fēng)險(xiǎn)，溯源取證等對(duì)銀行網(wǎng)絡(luò)安全管理人員挑戰(zhàn)巨大。

（四）現(xiàn)有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理手段的局限性

銀行現(xiàn)有的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理手段主要是等級(jí)保護(hù)測評(píng)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估等方法，這些工作能夠滿足銀行網(wǎng)絡(luò)安全的合規(guī)要求和基線要求，但也存在不足。首先，在信息和數(shù)據(jù)采集階段，現(xiàn)有方法是以訪談?wù){(diào)查和抽樣調(diào)查形成調(diào)查分析的基礎(chǔ)數(shù)據(jù)，這類方法不能對(duì)監(jiān)測對(duì)象開展全面實(shí)時(shí)的數(shù)據(jù)采集和集中管理。在數(shù)據(jù)分析階段，又缺乏大數(shù)據(jù)處理的環(huán)境、工具和數(shù)據(jù)源，不能對(duì)全部數(shù)據(jù)進(jìn)行結(jié)構(gòu)化加工。同時(shí)，因?yàn)椴荒軐?duì)系統(tǒng)的全部數(shù)據(jù)實(shí)現(xiàn)集中分析，即無法實(shí)現(xiàn)對(duì)事件的關(guān)聯(lián)分析和邏輯判斷。其次，現(xiàn)有風(fēng)險(xiǎn)評(píng)估方法以“靜態(tài)”分析為主，主要考慮某一狀態(tài)下系統(tǒng)安全漏洞、威脅和關(guān)鍵資產(chǎn)信息。增加時(shí)間維度后，關(guān)鍵資產(chǎn)、威脅與系統(tǒng)漏洞信息都將發(fā)生變化，這時(shí)靜態(tài)風(fēng)險(xiǎn)評(píng)估結(jié)果將不再適用。另外，現(xiàn)有方法缺乏對(duì)當(dāng)前網(wǎng)絡(luò)狀況的實(shí)時(shí)持續(xù)分析能力，安全管理人員制定和修改安全策略時(shí)缺乏依據(jù)。最后，現(xiàn)行方法主要滿足IT運(yùn)維人員的需要，不能滿足事前、事中和事后的管理需求，不能滿足銀行“三道防線”中風(fēng)險(xiǎn)管理人員和審計(jì)人員的需求。

綜上所述，在滿足監(jiān)管的要求下如何主動(dòng)的、及時(shí)的、持續(xù)的發(fā)現(xiàn)內(nèi)部和外部攻擊。在復(fù)雜的業(yè)務(wù)和系統(tǒng)環(huán)境下如何實(shí)現(xiàn)全面的數(shù)據(jù)和信息管理，快速發(fā)現(xiàn)、識(shí)別和排查海量數(shù)據(jù)背后隱藏的風(fēng)險(xiǎn)。如何滿足事前、事中和事后環(huán)節(jié)中不同角色的需求，這些都是銀行信息科技部門開展網(wǎng)絡(luò)安全工作需要思考和解決的重要課題。

二、日志安全審計(jì)分析服務(wù)在銀行網(wǎng)絡(luò)安全管理中的應(yīng)用

面對(duì)以上挑戰(zhàn)，我們?cè)诰W(wǎng)絡(luò)安全管理工作中，引入了基于大數(shù)據(jù)和人工智能技術(shù)的日志安全審計(jì)分析服務(wù)，該業(yè)務(wù)對(duì)現(xiàn)有網(wǎng)絡(luò)安全管理的手段在目標(biāo)、內(nèi)容、技術(shù)、工具、功能結(jié)構(gòu)和流程上都進(jìn)行了創(chuàng)新和豐富。

（一）日志安全審計(jì)分析的工作目標(biāo)和內(nèi)容

日志安全審計(jì)分析的目標(biāo)是規(guī)范日志數(shù)據(jù)的集中管理與解析分析工作，完善安全事件的監(jiān)測、記錄、分析和審計(jì)能力，出具分析報(bào)告，幫助信息科技的管理層、執(zhí)行層和風(fēng)險(xiǎn)管理部門以及外部監(jiān)管等多方人員，實(shí)時(shí)掌握銀行信息系統(tǒng)現(xiàn)狀和安全態(tài)勢，發(fā)現(xiàn)、排查、定位和持續(xù)監(jiān)測風(fēng)險(xiǎn)，為系統(tǒng)加固提供了現(xiàn)狀分析和比較的依據(jù)。

日志安全審計(jì)分析的內(nèi)容是通過對(duì)銀行數(shù)據(jù)中心的網(wǎng)絡(luò)拓?fù)渑c設(shè)備資產(chǎn)情況進(jìn)行深入調(diào)研，采集全網(wǎng)設(shè)備和應(yīng)用的日志數(shù)據(jù)，實(shí)現(xiàn)日志數(shù)據(jù)集中管理，利用大數(shù)據(jù)智能分析系統(tǒng)和專家體系進(jìn)行安全審計(jì)與分析。對(duì)銀行監(jiān)測記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)的能力，網(wǎng)絡(luò)日志管理的能力、安全事件分析的能力開展全面評(píng)估，將銀行的網(wǎng)絡(luò)運(yùn)營狀況與相關(guān)的法律法規(guī)進(jìn)行對(duì)標(biāo)比較，暴露合規(guī)性風(fēng)險(xiǎn)并出具安全事件分析報(bào)告，日志安全審計(jì)分析服務(wù)業(yè)務(wù)結(jié)構(gòu)參見圖1。

（二）日志安全審計(jì)分析服務(wù)的功能結(jié)構(gòu)

日志安全審計(jì)分析服務(wù)適用于銀行信息科技部、審計(jì)部和其他相關(guān)部門開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理工作，工作內(nèi)容由工具和服務(wù)兩大部分組成，日志安全審計(jì)分析服務(wù)的功能結(jié)構(gòu)參見圖2。

（三）日志安全審計(jì)分析的工作流程

1、全面系統(tǒng)調(diào)研

對(duì)銀行現(xiàn)有的網(wǎng)絡(luò)環(huán)境進(jìn)行調(diào)研和梳理，明確網(wǎng)絡(luò)結(jié)構(gòu)和資產(chǎn)信息，全面掌握信息系統(tǒng)的日志數(shù)據(jù)源信息。從管理角度梳理技術(shù)團(tuán)隊(duì)的指責(zé)分工和操作流程，全面掌握信息科技的管理制度、操作規(guī)范等信息。

2、日志數(shù)據(jù)采集

對(duì)銀行信息系統(tǒng)的設(shè)備和應(yīng)用日志進(jìn)行采集，包括：網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備、以及多個(gè)應(yīng)用系統(tǒng)的訪問日志和中間件日志。日志以流式數(shù)據(jù)的形式集中到大數(shù)據(jù)智能分析系統(tǒng)進(jìn)行統(tǒng)一管理和留存。建立日志集中管理系統(tǒng)，采用了分布式存儲(chǔ)技術(shù)，對(duì)日志實(shí)現(xiàn)了備份存儲(chǔ)，滿足了網(wǎng)絡(luò)安全法對(duì)日志6個(gè)月的存儲(chǔ)要求，為取證溯源提供了條件。