大數據和人工智能技術在銀行網絡安全風險管理中的實踐

丁晨

一、銀行在網絡安全風險管理中面臨的挑戰

（一）法律法規和監管要求不斷加強

銀行業是金融行業的重要組成部分，銀行業的網絡安全關系國家金融安全，銀行金融機構的運營受到嚴格的外部監管，在網絡安全方面須遵從如《網絡安全法》、《金融行業信息系統網絡安全等級保護實施指引》、《商業銀行信息科技風險管理指引》等多部法律法規，并受到政府多部門的監督管理，如人民銀行、銀保監會、公安部和工信部等。在復雜、多變、動態的業務和系統環境中，遵從法律法規滿足合規要求，是銀行網絡安全風險管理工作的基礎任務。

（二）被動防御系統不能滿足銀行安全需要

為了應對不斷變化的網絡安全挑戰，銀行在網絡安全方面持續加大投入，基于縱深防御理念開展網絡安全規劃設計，在網絡環境中層層部署各類安全設備，這類安全系統可以防堵外部某個方面的安全威脅，但難以應對日益復雜和不斷進化的網絡環境和網絡安全威脅。同時，銀行內部的違規和信息泄漏更加難以發現和防范。內部人員、外包人員容易接觸到銀行敏感信息，熟悉銀行內部環境，容易逃避安全防護手段進而危害銀行的核心數據和資源。網絡安全設備部署在專網和內網的安全邊界，內部威脅可以天然躲避這類檢測。綜上，被動防御已經不能滿足銀行當前的業務需要，如何開展主動防御是銀行網絡安全風險管理工作的重大挑戰。

（三）新技術與銀行業務深度融合帶來的巨大挑戰

隨著互聯網、云計算、大數據和人工智能等技術與銀行業務深度融合，新的業務不斷上線，銀行業務和系統越發復雜，每天產生海量的業務數據和日志數據，不同業務和系統之間存在眾多的業務孤島和信息孤島，如何打破業務孤島和信息孤島，實現關聯分析，發現隱性關系等，對網絡安全管理和人員素質提出了更高的挑戰。同時，系統風險由南北方向向東西方向演變，導致新設備信息化程度、智能程度和專業化程度越來越高，網絡安全設備往往存在高漏報、誤報、操作復雜等問題，如何快速處理海量數據，排查定位風險，溯源取證等對銀行網絡安全管理人員挑戰巨大。

（四）現有網絡安全風險管理手段的局限性

銀行現有的網絡安全風險管理手段主要是等級保護測評和網絡安全風險評估等方法，這些工作能夠滿足銀行網絡安全的合規要求和基線要求，但也存在不足。首先，在信息和數據采集階段，現有方法是以訪談調查和抽樣調查形成調查分析的基礎數據，這類方法不能對監測對象開展全面實時的數據采集和集中管理。在數據分析階段，又缺乏大數據處理的環境、工具和數據源，不能對全部數據進行結構化加工。同時，因為不能對系統的全部數據實現集中分析，即無法實現對事件的關聯分析和邏輯判斷。其次，現有風險評估方法以“靜態”分析為主，主要考慮某一狀態下系統安全漏洞、威脅和關鍵資產信息。增加時間維度后，關鍵資產、威脅與系統漏洞信息都將發生變化，這時靜態風險評估結果將不再適用。另外，現有方法缺乏對當前網絡狀況的實時持續分析能力，安全管理人員制定和修改安全策略時缺乏依據。最后，現行方法主要滿足IT運維人員的需要，不能滿足事前、事中和事后的管理需求，不能滿足銀行“三道防線”中風險管理人員和審計人員的需求。

綜上所述，在滿足監管的要求下如何主動的、及時的、持續的發現內部和外部攻擊。在復雜的業務和系統環境下如何實現全面的數據和信息管理，快速發現、識別和排查海量數據背后隱藏的風險。如何滿足事前、事中和事后環節中不同角色的需求，這些都是銀行信息科技部門開展網絡安全工作需要思考和解決的重要課題。

二、日志安全審計分析服務在銀行網絡安全管理中的應用

面對以上挑戰，我們在網絡安全管理工作中，引入了基于大數據和人工智能技術的日志安全審計分析服務，該業務對現有網絡安全管理的手段在目標、內容、技術、工具、功能結構和流程上都進行了創新和豐富。

（一）日志安全審計分析的工作目標和內容

日志安全審計分析的目標是規范日志數據的集中管理與解析分析工作，完善安全事件的監測、記錄、分析和審計能力，出具分析報告，幫助信息科技的管理層、執行層和風險管理部門以及外部監管等多方人員，實時掌握銀行信息系統現狀和安全態勢，發現、排查、定位和持續監測風險，為系統加固提供了現狀分析和比較的依據。

日志安全審計分析的內容是通過對銀行數據中心的網絡拓撲與設備資產情況進行深入調研，采集全網設備和應用的日志數據，實現日志數據集中管理，利用大數據智能分析系統和專家體系進行安全審計與分析。對銀行監測記錄網絡運行狀態的能力，網絡日志管理的能力、安全事件分析的能力開展全面評估，將銀行的網絡運營狀況與相關的法律法規進行對標比較，暴露合規性風險并出具安全事件分析報告，日志安全審計分析服務業務結構參見圖1。

（二）日志安全審計分析服務的功能結構

日志安全審計分析服務適用于銀行信息科技部、審計部和其他相關部門開展網絡安全風險管理工作，工作內容由工具和服務兩大部分組成，日志安全審計分析服務的功能結構參見圖2。

（三）日志安全審計分析的工作流程

1、全面系統調研

對銀行現有的網絡環境進行調研和梳理，明確網絡結構和資產信息，全面掌握信息系統的日志數據源信息。從管理角度梳理技術團隊的指責分工和操作流程，全面掌握信息科技的管理制度、操作規范等信息。

2、日志數據采集

對銀行信息系統的設備和應用日志進行采集，包括：網絡設備、安全設備、主機設備、以及多個應用系統的訪問日志和中間件日志。日志以流式數據的形式集中到大數據智能分析系統進行統一管理和留存。建立日志集中管理系統，采用了分布式存儲技術，對日志實現了備份存儲，滿足了網絡安全法對日志6個月的存儲要求，為取證溯源提供了條件。