大数据和人工智能技术在银行网络安全风险管理中的实践
来源:用户上传
作者:
一、银行在网络安全风险管理中面临的挑战
(一)法律法规和监管要求不断加强
银行业是金融行业的重要组成部分,银行业的网络安全关系国家金融安全,银行金融机构的运营受到严格的外部监管,在网络安全方面须遵从如《网络安全法》、《金融行业信息系统网络安全等级保护实施指引》、《商业银行信息科技风险管理指引》等多部法律法规,并受到政府多部门的监督管理,如人民银行、银保监会、公安部和工信部等。在复杂、多变、动态的业务和系统环境中,遵从法律法规满足合规要求,是银行网络安全风险管理工作的基础任务。
(二)被动防御系统不能满足银行安全需要
为了应对不断变化的网络安全挑战,银行在网络安全方面持续加大投入,基于纵深防御理念开展网络安全规划设计,在网络环境中层层部署各类安全设备,这类安全系统可以防堵外部某个方面的安全威胁,但难以应对日益复杂和不断进化的网络环境和网络安全威胁。同时,银行内部的违规和信息泄漏更加难以发现和防范。内部人员、外包人员容易接触到银行敏感信息,熟悉银行内部环境,容易逃避安全防护手段进而危害银行的核心数据和资源。网络安全设备部署在专网和内网的安全边界,内部威胁可以天然躲避这类检测。综上,被动防御已经不能满足银行当前的业务需要,如何开展主动防御是银行网络安全风险管理工作的重大挑战。
(三)新技术与银行业务深度融合带来的巨大挑战
随着互联网、云计算、大数据和人工智能等技术与银行业务深度融合,新的业务不断上线,银行业务和系统越发复杂,每天产生海量的业务数据和日志数据,不同业务和系统之间存在众多的业务孤岛和信息孤岛,如何打破业务孤岛和信息孤岛,实现关联分析,发现隐性关系等,对网络安全管理和人员素质提出了更高的挑战。同时,系统风险由南北方向向东西方向演变,导致新设备信息化程度、智能程度和专业化程度越来越高,网络安全设备往往存在高漏报、误报、操作复杂等问题,如何快速处理海量数据,排查定位风险,溯源取证等对银行网络安全管理人员挑战巨大。
(四)现有网络安全风险管理手段的局限性
银行现有的网络安全风险管理手段主要是等级保护测评和网络安全风险评估等方法,这些工作能够满足银行网络安全的合规要求和基线要求,但也存在不足。首先,在信息和数据采集阶段,现有方法是以访谈调查和抽样调查形成调查分析的基础数据,这类方法不能对监测对象开展全面实时的数据采集和集中管理。在数据分析阶段,又缺乏大数据处理的环境、工具和数据源,不能对全部数据进行结构化加工。同时,因为不能对系统的全部数据实现集中分析,即无法实现对事件的关联分析和逻辑判断。其次,现有风险评估方法以“静态”分析为主,主要考虑某一状态下系统安全漏洞、威胁和关键资产信息。增加时间维度后,关键资产、威胁与系统漏洞信息都将发生变化,这时静态风险评估结果将不再适用。另外,现有方法缺乏对当前网络状况的实时持续分析能力,安全管理人员制定和修改安全策略时缺乏依据。最后,现行方法主要满足IT运维人员的需要,不能满足事前、事中和事后的管理需求,不能满足银行“三道防线”中风险管理人员和审计人员的需求。
综上所述,在满足监管的要求下如何主动的、及时的、持续的发现内部和外部攻击。在复杂的业务和系统环境下如何实现全面的数据和信息管理,快速发现、识别和排查海量数据背后隐藏的风险。如何满足事前、事中和事后环节中不同角色的需求,这些都是银行信息科技部门开展网络安全工作需要思考和解决的重要课题。
二、日志安全审计分析服务在银行网络安全管理中的应用
面对以上挑战,我们在网络安全管理工作中,引入了基于大数据和人工智能技术的日志安全审计分析服务,该业务对现有网络安全管理的手段在目标、内容、技术、工具、功能结构和流程上都进行了创新和丰富。
(一)日志安全审计分析的工作目标和内容
日志安全审计分析的目标是规范日志数据的集中管理与解析分析工作,完善安全事件的监测、记录、分析和审计能力,出具分析报告,帮助信息科技的管理层、执行层和风险管理部门以及外部监管等多方人员,实时掌握银行信息系统现状和安全态势,发现、排查、定位和持续监测风险,为系统加固提供了现状分析和比较的依据。
日志安全审计分析的内容是通过对银行数据中心的网络拓扑与设备资产情况进行深入调研,采集全网设备和应用的日志数据,实现日志数据集中管理,利用大数据智能分析系统和专家体系进行安全审计与分析。对银行监测记录网络运行状态的能力,网络日志管理的能力、安全事件分析的能力开展全面评估,将银行的网络运营状况与相关的法律法规进行对标比较,暴露合规性风险并出具安全事件分析报告,日志安全審计分析服务业务结构参见图1。
(二)日志安全审计分析服务的功能结构
日志安全审计分析服务适用于银行信息科技部、审计部和其他相关部门开展网络安全风险管理工作,工作内容由工具和服务两大部分组成,日志安全审计分析服务的功能结构参见图2。
(三)日志安全审计分析的工作流程
1、全面系统调研
对银行现有的网络环境进行调研和梳理,明确网络结构和资产信息,全面掌握信息系统的日志数据源信息。从管理角度梳理技术团队的指责分工和操作流程,全面掌握信息科技的管理制度、操作规范等信息。
2、日志数据采集
对银行信息系统的设备和应用日志进行采集,包括:网络设备、安全设备、主机设备、以及多个应用系统的访问日志和中间件日志。日志以流式数据的形式集中到大数据智能分析系统进行统一管理和留存。建立日志集中管理系统,采用了分布式存储技术,对日志实现了备份存储,满足了网络安全法对日志6个月的存储要求,为取证溯源提供了条件。 3、日志安全审计分析
首先,利用大数据和人工智能技术提高日志数据的解析效率与能力。其次,采用大数据智能分析系统对日志数据进行自动处理,针对审计目标采用不同的算法模型、规则库和专家知识库进行智能分析与匹配,将日志数据结构化为信息。最后,由安全专家有针对性的采用关联分析、聚类分析等方式进行人工确认,形成安全事件,并检验分析结果的完整性和准确性。
4、审计数据反馈
在日志安全审计分析工作的最后,银行信息科技部门和相关部门与安全专家对审计报告进行评议,将审计报告中发现的合规问题、网络安全问题、设备异常问题、人员操作问题等安全事件进行分析确认,如根据网络安全问题审计安全运维情况;根据设备异常日志审计运维团队的工作情况;根据操作日志审计运维人员的操作是否符合操作流程和规范;根据应用日志分析业务操作人员行为是否异常。将修复建议分配给相应的人员,并对相关团队和人员进行有针对性的培训,进一步完善相关制度和操作流程。
三、日志安全审计分析服务的价值和工作展望
(一)在网络安全运维工作中的价值
对银行信息科技的运维部门而言,利用日志安全审计分析服务来掌握安全态势,甄别外部攻击、内部违规等安全风险和威胁,开展溯源取证,由被动性防御转变成主动性防御,提升系统的网络综合防御能力。将数据转化为知识指导安全工作,使得技术人员、管理人员实时、持续和全面的对系统现状开展监督管理,及时和充分的发现各种运维问题和安全问题。
(二)在网络安全风险管理工作中的价值
日志安全审计分析可以帮助银行信息科技部门的领导发现运维和管理工作中的盲区,提高银行网络安全风险的识别、监测与控制能力,与等级保护测评和风险评估工作结合,通过日志数据呈现出银行信息系统和运维人员在等保测评和风险评估的漏洞扫描和渗透测试过程中的反应情况,实现由抽样调查向全面监测,由静态分析向动态分析,由定性分析向定量分析的质的进步,提升了事前、事中和事后的风险管理能力。
(三)在网络安全审计工作中的价值
日志安全审计分析从外部的角度对信息系统和运营工作进行事后检查,梳理各类资产的部署情况,检查运维团队的操作规范,判断网络安全事件的严重程度。为银行信息科技部门内部提供了内部审计和风险评估手段,也为审计部门审计信息科技部门提供了依据和方法。
审计工作检查和比较的对象包括了运营人员和运维工作,所以安全审计的需求和IT运维的需求是存在较大的差异的,只有将运维需求、风险管理的需求和安全审计的需求实现有机的结合,才能共同保障银行业务和系统实现持续、稳定和安全的运行。
(四)在网络安全监管工作中的价值
无论是银行还是监管机构,都存在对系统运行健康状况量化和可视化的需求反馈,對系统中发生的各类行为希望做到胸中有数,明察秋毫。日志安全审计分析服务可以成为银行管理层、决策层开展网络安全风险管理工作的有力抓手,为首席信息官能够及时掌握信息科技风险提供了监测与评价手段。
日志安全审计分析服务为外部监管和审计提供了有效的、动态的、实时的监管和执法检查工具,有利于银行监管部门对信息科技风险的微观审慎监管,也为宏观系统性风险管理提供了有效的数据和分析指标,不仅提高了监管科技能力,也为法律法规的落地提供了技术保障。
(五)工作展望
日志安全审计分析业务丰富了银行网络安全管理的手段,以此为基础可以将这种“技术+服务”的模式拓展到其它基于数据的分析领域。积极探索在银行科技信息风险管理上更多地“用数据说话,用数据管理”,并逐步发展到“用数据决策”,推动网络安全与业务创新同步发展,为银行业务创新提供技术保障手段。
转载注明来源:https://www.xzbu.com/8/view-14699277.htm
