丁晨

一、銀行在網(wǎng)絡安全風險管理中面臨的挑戰(zhàn)

（一）法律法規(guī)和監(jiān)管要求不斷加強

銀行業(yè)是金融行業(yè)的重要組成部分，銀行業(yè)的網(wǎng)絡安全關系國家金融安全，銀行金融機構的運營受到嚴格的外部監(jiān)管，在網(wǎng)絡安全方面須遵從如《網(wǎng)絡安全法》、《金融行業(yè)信息系統(tǒng)網(wǎng)絡安全等級保護實施指引》、《商業(yè)銀行信息科技風險管理指引》等多部法律法規(guī)，并受到政府多部門的監(jiān)督管理，如人民銀行、銀保監(jiān)會、公安部和工信部等。在復雜、多變、動態(tài)的業(yè)務和系統(tǒng)環(huán)境中，遵從法律法規(guī)滿足合規(guī)要求，是銀行網(wǎng)絡安全風險管理工作的基礎任務。

（二）被動防御系統(tǒng)不能滿足銀行安全需要

為了應對不斷變化的網(wǎng)絡安全挑戰(zhàn)，銀行在網(wǎng)絡安全方面持續(xù)加大投入，基于縱深防御理念開展網(wǎng)絡安全規(guī)劃設計，在網(wǎng)絡環(huán)境中層層部署各類安全設備，這類安全系統(tǒng)可以防堵外部某個方面的安全威脅，但難以應對日益復雜和不斷進化的網(wǎng)絡環(huán)境和網(wǎng)絡安全威脅。同時，銀行內部的違規(guī)和信息泄漏更加難以發(fā)現(xiàn)和防范。內部人員、外包人員容易接觸到銀行敏感信息，熟悉銀行內部環(huán)境，容易逃避安全防護手段進而危害銀行的核心數(shù)據(jù)和資源。網(wǎng)絡安全設備部署在專網(wǎng)和內網(wǎng)的安全邊界，內部威脅可以天然躲避這類檢測。綜上，被動防御已經(jīng)不能滿足銀行當前的業(yè)務需要，如何開展主動防御是銀行網(wǎng)絡安全風險管理工作的重大挑戰(zhàn)。

（三）新技術與銀行業(yè)務深度融合帶來的巨大挑戰(zhàn)

隨著互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)和人工智能等技術與銀行業(yè)務深度融合，新的業(yè)務不斷上線，銀行業(yè)務和系統(tǒng)越發(fā)復雜，每天產(chǎn)生海量的業(yè)務數(shù)據(jù)和日志數(shù)據(jù)，不同業(yè)務和系統(tǒng)之間存在眾多的業(yè)務孤島和信息孤島，如何打破業(yè)務孤島和信息孤島，實現(xiàn)關聯(lián)分析，發(fā)現(xiàn)隱性關系等，對網(wǎng)絡安全管理和人員素質提出了更高的挑戰(zhàn)。同時，系統(tǒng)風險由南北方向向東西方向演變，導致新設備信息化程度、智能程度和專業(yè)化程度越來越高，網(wǎng)絡安全設備往往存在高漏報、誤報、操作復雜等問題，如何快速處理海量數(shù)據(jù)，排查定位風險，溯源取證等對銀行網(wǎng)絡安全管理人員挑戰(zhàn)巨大。

（四）現(xiàn)有網(wǎng)絡安全風險管理手段的局限性

銀行現(xiàn)有的網(wǎng)絡安全風險管理手段主要是等級保護測評和網(wǎng)絡安全風險評估等方法，這些工作能夠滿足銀行網(wǎng)絡安全的合規(guī)要求和基線要求，但也存在不足。首先，在信息和數(shù)據(jù)采集階段，現(xiàn)有方法是以訪談調查和抽樣調查形成調查分析的基礎數(shù)據(jù)，這類方法不能對監(jiān)測對象開展全面實時的數(shù)據(jù)采集和集中管理。在數(shù)據(jù)分析階段，又缺乏大數(shù)據(jù)處理的環(huán)境、工具和數(shù)據(jù)源，不能對全部數(shù)據(jù)進行結構化加工。同時，因為不能對系統(tǒng)的全部數(shù)據(jù)實現(xiàn)集中分析，即無法實現(xiàn)對事件的關聯(lián)分析和邏輯判斷。其次，現(xiàn)有風險評估方法以“靜態(tài)”分析為主，主要考慮某一狀態(tài)下系統(tǒng)安全漏洞、威脅和關鍵資產(chǎn)信息。增加時間維度后，關鍵資產(chǎn)、威脅與系統(tǒng)漏洞信息都將發(fā)生變化，這時靜態(tài)風險評估結果將不再適用。另外，現(xiàn)有方法缺乏對當前網(wǎng)絡狀況的實時持續(xù)分析能力，安全管理人員制定和修改安全策略時缺乏依據(jù)。最后，現(xiàn)行方法主要滿足IT運維人員的需要，不能滿足事前、事中和事后的管理需求，不能滿足銀行“三道防線”中風險管理人員和審計人員的需求。

綜上所述，在滿足監(jiān)管的要求下如何主動的、及時的、持續(xù)的發(fā)現(xiàn)內部和外部攻擊。在復雜的業(yè)務和系統(tǒng)環(huán)境下如何實現(xiàn)全面的數(shù)據(jù)和信息管理，快速發(fā)現(xiàn)、識別和排查海量數(shù)據(jù)背后隱藏的風險。如何滿足事前、事中和事后環(huán)節(jié)中不同角色的需求，這些都是銀行信息科技部門開展網(wǎng)絡安全工作需要思考和解決的重要課題。

二、日志安全審計分析服務在銀行網(wǎng)絡安全管理中的應用

面對以上挑戰(zhàn)，我們在網(wǎng)絡安全管理工作中，引入了基于大數(shù)據(jù)和人工智能技術的日志安全審計分析服務，該業(yè)務對現(xiàn)有網(wǎng)絡安全管理的手段在目標、內容、技術、工具、功能結構和流程上都進行了創(chuàng)新和豐富。

（一）日志安全審計分析的工作目標和內容

日志安全審計分析的目標是規(guī)范日志數(shù)據(jù)的集中管理與解析分析工作，完善安全事件的監(jiān)測、記錄、分析和審計能力，出具分析報告，幫助信息科技的管理層、執(zhí)行層和風險管理部門以及外部監(jiān)管等多方人員，實時掌握銀行信息系統(tǒng)現(xiàn)狀和安全態(tài)勢，發(fā)現(xiàn)、排查、定位和持續(xù)監(jiān)測風險，為系統(tǒng)加固提供了現(xiàn)狀分析和比較的依據(jù)。

日志安全審計分析的內容是通過對銀行數(shù)據(jù)中心的網(wǎng)絡拓撲與設備資產(chǎn)情況進行深入調研，采集全網(wǎng)設備和應用的日志數(shù)據(jù)，實現(xiàn)日志數(shù)據(jù)集中管理，利用大數(shù)據(jù)智能分析系統(tǒng)和專家體系進行安全審計與分析。對銀行監(jiān)測記錄網(wǎng)絡運行狀態(tài)的能力，網(wǎng)絡日志管理的能力、安全事件分析的能力開展全面評估，將銀行的網(wǎng)絡運營狀況與相關的法律法規(guī)進行對標比較，暴露合規(guī)性風險并出具安全事件分析報告，日志安全審計分析服務業(yè)務結構參見圖1。

（二）日志安全審計分析服務的功能結構

日志安全審計分析服務適用于銀行信息科技部、審計部和其他相關部門開展網(wǎng)絡安全風險管理工作，工作內容由工具和服務兩大部分組成，日志安全審計分析服務的功能結構參見圖2。

（三）日志安全審計分析的工作流程

1、全面系統(tǒng)調研

對銀行現(xiàn)有的網(wǎng)絡環(huán)境進行調研和梳理，明確網(wǎng)絡結構和資產(chǎn)信息，全面掌握信息系統(tǒng)的日志數(shù)據(jù)源信息。從管理角度梳理技術團隊的指責分工和操作流程，全面掌握信息科技的管理制度、操作規(guī)范等信息。

2、日志數(shù)據(jù)采集

對銀行信息系統(tǒng)的設備和應用日志進行采集，包括：網(wǎng)絡設備、安全設備、主機設備、以及多個應用系統(tǒng)的訪問日志和中間件日志。日志以流式數(shù)據(jù)的形式集中到大數(shù)據(jù)智能分析系統(tǒng)進行統(tǒng)一管理和留存。建立日志集中管理系統(tǒng)，采用了分布式存儲技術，對日志實現(xiàn)了備份存儲，滿足了網(wǎng)絡安全法對日志6個月的存儲要求，為取證溯源提供了條件。