文 / 中国工商银行数据中心  金海旻 刘尧飞 张一桢 张游琳

近年来,随着互联网技术的发展,内外部安全威胁持续升级。习总书记在2016年网络安全和信息化工作座谈会提出,要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。在国家安全战略框架下,在公安部、人民银行、银保监会等各监管部门指导下,工商银行经过多年的摸索和实践,形成了一套较为完备的信息安全管理框架和安全防护技术架构,从管理、运营和技术三个层面构建了严密的安全防护网,有效保护了银行信息系统及客户交易和信息安全。

然而,面对愈发严峻的安全形势,我们更多的是部署安全系统和技术产品,并组成基本安全防护体系,但这些系统往往聚焦于解决某个具体安全领域的风险,不同系统之间各自孤立。随着网络攻击手段隐蔽性越来越强,单纯依赖某个安全系统自身,难以抵御黑客日益多变、隐蔽、综合的攻击行为。因此,迫切需要在现有安全技术防护体系基础上建设一个全面、智能、可视化的安全运营中心,为安全工作提供统一的运营平台,借鉴大数据和人工智能等新技术的发展,全面提升安全态势的整体感知能力,各项安全策略的一体化集中控制能力,以及安全风险的及时处置和响应能力。为此,工商银行于2015年起,完全基于自主设计研发,在同业率先启动了信息安全运营中心(SOC)平台建设,并于2018年投入使用。

SOC设计理念与安全能力创新

工商银行SOC平台建设的目标是基于自主可控技术,建立一个全集团、全过程、智能化的安全态势感知平台,并围绕此平台建立覆盖全集团、统一的信息安全运营中心,进一步提升工商银行主动、立体的安全防御能力,切实保护银行信息系统以及客户信息和资金安全。总体而言,主要包括以下三个方面的能力建设和创新,均为同业首创或首次落地实现。

一是首创全集团信息安全一体化集中安全管控功能。与业界一般SOC平台主要围绕安全监控、分析处置与展现等事中事后安全防控不同,工商银行SOC平台还完整覆盖了事前安全管控,建立了围绕安全资产的安全策略、安全漏洞、安全舆情、安全例外、安全事件、应急响应等安全活动全过程、全生命周期的管理。按照不同的数据时效性要求,目前已经实现了与全集团客户端安全管理系统、防病毒、漏洞扫描、补丁管理等20多个上下游系统秒级、分钟级或T+1日的对接,覆盖了全集团90多家境内外机构服务器、终端、自助设备等80余万台设备安全控制策略的集中管控和硬控制,确保事前的安全防护措施有效落地。

二是基于智能分析建模实现多层次安全监测和风险挖掘,打造了以SOC平台为核心的纵深防御体系。全面收集了网络、系统、应用、安全等50多大类350多小类日志数据的实时或准实时采集与解析,构建了支持正则规则、统计算法、机器学习等多种建模方式的建模分析平台,并建立了涵盖系统安全、网络安全、身份认证及权限控制、终端安全、应用安全等安全领域超过100个安全模型,实现了对网络层、终端层、载荷层等纵深防御各层次安全数据的实时关联分析和智能分析挖掘。同时,通过与下游防病毒、防火墙、IPS等各类防护系统进行联动,对检测到的高危攻击进行自动封禁,对木马感染设备实施主动隔离等联动处置,从而实现了7×24小时全集团统一监测、发现、处置的全周期闭环管理。

三是安全态势全天候、全方位感知取得重要突破。首先,SOC平台实现了多维度、多视角的安全态势展现,构建了面向管理人员、一线监控、二线分析人员等不同岗位10余类视图;既有整体态势,也区分安全事件、网络攻击、病毒感染、安全集中管控等专业维度。同时,我们还为每个机构设计了单独的态势展现,帮助该机构管理人员第一时间掌握安全风险情况。二是将各机构、各攻击渠道的安全大数据集中,实现了对全集团内外部攻击的全局感知。同时将各个不同领域的孤立报警事件通过关联分析,准确还原攻击路径,展现真实攻击链,以便精准打击、及时处置。三是结合攻击情况、安全资产、安全漏洞等安全管控情况,及外部威胁情报等,形成基于资产的安全风险画像,改变以往只能针对单个报警进行一事一议的处置情况,转变为对攻击风险的整体判断和有效评估,以便做好更大范围的提前防范。

SOC平台技术架构与技术创新

整体而言,技术架构自下而上主要分为数据采集、数据处理、业务处理、功能层等4个层次。基于开源技术自主建设大数据平台,使用Flume、Syslog、流量抓包、Filebeat等技术或开源产品,完整覆盖了所有采集终端;通过KAFKA技术组件进行数据分发与管控,数据存储于Hadoop生态大数据集群进行大数据查询与机器学习,并提供实时计算与批量计算功能;利用Elasticsearch快速查询数据库进行实时查询并提供微服务接口;通过可视化的方式实现了用户的分析建模及用户的视图开发;最终在功能层实现了业务用户的各类安全业务能力要求。鉴于工行系统规模和数据量,SOC系统既要处理海量数据又要支持精确到每一台设备的安全策略实时操作,对系统数据处理的时效性要求很高,安全模型逻辑也较为复杂。因此需要集合大数据技术和传统关系型数据库应用系统的特点,设计并实现大数据量、高时效性、高可用的技术方案,这对技术架构和方案设计提出了严格要求。以下简要说明本系统的关键技术创新情况。

一是基于开源技术自主二次研发,搭建了具备海量数据处理能力的数据分析平台。通过Hadoop、ES、Spark、Kafka等技术支撑,与超过20个上下游系统进行对接形成联动;采用自研Agent、Syslog协议、文件传输等多种方式,实现设备、网络、系统、应用、安全产品等50多大类350多小类日志数据的实时或准实时采集与解析,共采集生产中心数万台操作系统、网络设备日志、多个网络区域网络流量日志等,采集能力达百万级TPS,日均增量数据超过600亿条,日均处理数据量超过15T。

二是创新实现分布式多集群统一管控。首先建设统一管控的“两地三中心”大数据集群。为适应工商银行“两地三中心”的生产部署架构,在数据中心三园区分别建设大数据集群,就近采集和存储数据;其次自主研发多集群控制节点,实现“一个地方建模、多个集群运行”。为解决Hadoop无法跨集群调度任务的难点,自研多集群控制节点集中进行建模(包括开发、任务下发和监控、结果汇总和分析),各集群并行运行模型,解决了用户在集群间转换的问题,极大提升了工作效率。同时在可扩展、高性能、高可用方面,系统多个组件(如日志采集服务器、流量采集服务器、大数据集群等)可通过横向扩展的方式提供高性能的服务,并且在部分节点服务异常的情况下可保证数据不丢失、可恢复,对外提供稳定的服务。

三是自主构建全过程、在线化、可视化安全模型开发平台。传统工具的用户需求都以研发人员为主进行定制化开发。我们通过建设全过程、在线化、可视化的安全模型开发和运行平台,提供了安全模型在线化、图形化开发和运行环境,支持批量和流式计算两种计算框架,实现了安全人员自主开发安全模型,极大地提升了模型开发效率。模型管理实现了从开发、审批、上线到运维的全流程管理,在模型算子方面提供输入输出、流程控制、行列处理、可视化、机器学习、流计算等100多种公共算子。同时我们还基于机器学习算法探索人工智能与安全技术的深度融合,引入15类主流的机器学习算法,提供模型训练和运行环境,探索人工智能技术与安全防护技术的深度融合,提升安全风险发现能力。模型结果的可阅读性也非常重要,通过建设视图配置式开发工具,用户可直接通过配置项的方式,灵活生成可视化图表,并对图表进行组合形成各类专题,并生成最终视图进行发布,大大缩短可视化视图的开发成本与开发周期。

作用与成果

SOC系统的建设有效提升了工商银行主动、立体的安全防御能力,管理上构建了以SOC平台为抓手的全集团一体化安全运营机制,技术上构建了以SOC平台为核心的纵深防御体系,为工商银行智慧银行建设以及保护客户信息提供有力保障,多次在行内红蓝对抗演练中发挥了重要作用。

该平台开创了国内商业银行自主研发和建设安全运营中心的先河,为国内同业提升信息安全运营工作建设提供了很好的借鉴,具有重要的示范作用。同时,工商银行信息安全运营中心建设过程中制定的安全运营管理体系、安全模型监测和管理体系以及相关规范,同样可以为业界提供借鉴。

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。