项目背景及目标

近年来重大网络安全事件层出不穷，重要网络基础设施屡遭攻击，数据泄露事件频频爆发，网络安全的重要性日益凸显。党中央、国务院高度重视网络安全工作，国家、金融行业相机出台多项法律法规或建设规划，以指导未来网络安全的发展建设。

为进一步完善广东省农村信用社联合社在生产网、办公网和互联网等多方面的安全防护和监控，并将各类安全防护设备关联起来，拟研究、构建基于态势感知的多层次防护体系，搭建和完善安全态势感知平台。需要汇聚、整理、分析、评估已知的安全事件信息，预判未知的网络趋势，精确、直观、详尽的辅助管理者掌握全局安全状态，预知全面安全趋势，决策全盘安全策略。

本项目通过高度自动化的管理手段将分散的各种网络安全产品有机的结合成一个整体，通过对各类数据进行分析，挖掘出真正的风险和威胁，基于安全分析体系对网络态势进行分析评估，采用可视化的方式对网络安全态势进行详细的全局视图展示。同时，针对目前广为流行的网银、手机银行撞库行为，围绕撞库防护建立针对性的发现、预警、拦截体系，加强对银行用户切身利益的保护，从而提升广东农信的商业信誉口碑。

项目方案

根据广东农信网络安全的现状及需求，利用行业内成熟、领先的技术，快速实现稳定、高效、安全、先进的网络安全态势感知平台的建设，并且借助强大的安全技术研发的经验和实力，快速满足广东农信在生产网安全、互联网安全、办公网安全方面的个性化需求。同时研究国内金融行业安全建设的建设经验，提出广东农信网络态势感知体系的总体建设方案。

安全是一种能力，广东农信新一代安全观将实现“以人为本、以数据为核心、以技术为支撑”的安全能力，而网络态势平台建设正是打造企业安全能力的中心。因此，我们提出以下建设方案：

1. 调研并分析广东农信安全资产现状，结合安全场景数据要求，提出相关配套改造方案，减少安全监控盲点，为态势感知平台提供需要完整的基础数据，保障安全场景分析的可实现性。

2. 完成网络安全态势感知平台建设，形成广东农信的网络安全态势感知平台建设的创新解决方案，制定整体规划和实施路线，供银行同业参考。

3. 提供全量安全数据的全文检索功能，在海量数据中查找和发现所需安全信息。

4. 引入共享的外部情报数据，构建广东农信内部威胁情报中心，提高广东农信对安全威胁识别能力的及时性和准确性。

5. 实现态势感知平台与安全设备联动，打造广东农信一体化的安全防控体系。

6. 建立健全安全场景模型，提高广东农信对互联网网络攻击的防护能力、对内部违规操作的审计能力，对互联网的业务和内网数据的安全保障能力及对内部安全合规的检测能力。

7. 制定网络安全安全态势平台的各项开发、测试、部署等规范，并在实际的开发、测试、生产环境进行验证，并逐步推广全行。

8. 通过镜像采集互联网服务区中发生的网上银行、手机银行的登录流量，采用机器学习、模型训练等技术，构建互联网撞库行为特征库，再通过聚类切片分析，实现撞库细分统计、撞库攻击溯源地图、撞库时间趋势、高危撞库ip统计、高危被撞账户统计；结合动态拦截技术对恶意ip实时阻断，避免广东农信客户账号被撞库风险，挽回广东农信用户的经济损失。

9. 根据电话银行业务特点，挖掘出可能存在的电话撞库风险，避免广东农信金融用户账号被撞库风险。

项目创新点

1. 基于大数据技术的数据建模。

2. 基于多数据源多事件的关联分析告警。

3. 基于图数据库异常分析。

4. 基于业务特点的网络可视化展现。

5. 基于大数据分析机器学习建模。

6. 建立网络安全设备一体化联动体系。

7. 实时接收全球新威胁情报，构建广东农信企业内部威胁情报中心，实现更好地积极阻止安全漏洞，采取行动防止数据丢失或系统故障，从而有效地抵御网络风险与入侵行为。

8. 建立银行业网络安全威胁情报共享和风险态势感知机制，以及钓鱼网站、电信诈骗等行为的联防机制。

9. 通过镜像采集互联网服务区中发生的网上银行、手机银行的登录流量，采用机器学习、模型训练等技术，构建互联网撞库行为特征库，再通过聚类切片分析，实现撞库细分统计、撞库攻击溯源地图、撞库时间趋势、高危撞库ip统计、高危被撞账户统计；结合动态拦截技术对恶意ip实时阻断，避免广东农信客户账号被撞库风险，挽回广东农信用户的经济损失。

10. 根据电话银行业务特点，挖掘出可能存在的电话撞库风险，避免广东农信金融用户账号被撞库风险。

技术实现特点

1． 数据采集与处理

数据采集采用Flume准实时采集框架, 数据处理则采用Apache Spark大数据批量处理的架构数据处理工作全部在内存中进行,通过提前对整个任务集进行分析实现整体式优化。

2． 数据分析

分析引擎采用规则分析、统计分析、机器学习等分析方式，平台通过调用预先配置好的安全模型和规则，对日志和流量数据进行处理，满足条件即生成安全事件。

3． 场景建模

场景建模主要通过特征构建、特征提取、特征选择三个步骤，提取出为有用的特征，以供机器学习算法建立网络安全模型，主要基础模型包括：归并算法模型、偏离算法模型、聚类算法模型。

4． 规则引擎

规则引擎是场景建模的核心，为建模提供运算规则。提供通过规则引擎方式进行数据分析建模，可以依据安全事件、安全告警、用户行为等规则制定具体安全业务场景的模型。

5． 机器学习

有监督学习的分类算法与无监督学习的聚类算法相结合的学习方式，围绕机器学习典型模型展开。主要算法包括：基于聚类算法k-means的离群点检测、基于kmeans聚类的异常检测和决策树算法。

6． 威胁情报

对接云端威胁情报中心，动态同步国内外新情报，为传统防御方式带来了有效补充，构建广东农信内部威胁情报中心，使用户能够准确、高效的采取行动。

项目过程管理

项目运营情况

广东农信网络安全态势感知平台自从上线运行以来，基本实现“以人为本、以数据为核心、以技术为支撑”的安全能力，建立一个全数据、集中管理的企业安全平台，做到事前预警、事中监控、事后分析以及响应，全面的提升网络安全管理与防护水平。提高安全运维管理人员的工作效率，其中主要为以下几点：

（1）实现安全数据集中管理和分析，消灭安全信息孤岛。

（2）实现安全事件的可视化。

（3）建立资产安全信息库及时掌握资产安全态势。

（4）建成企业内部威胁情报库，提升安全运维能力。

（5）实现安全事件快速定位、响应能力。

（6）电子银行异常交易的主动发现、防御能力。

平台上线运行以来，日均采集的日志量：约6.5G/天，日均输出有效事件量（输出告警数）：1100条/天,涵盖网络；通过驻场运营团队的监控、处置工作，使得行内安全隐患得到了快速有效的处置；同时，系统日均分析网银区流量数据：24G,月均检测出互联网风险IP数：31个、风险账号：21个。通过系统自动化处置能力，对疑似撞库的恶意IP进行封堵，避免用户损失。

项目成效

1. 网络安全态势感知平台支持多维数据源的采集，包括各类设备日志、原始流量、终端与用户行为等；覆盖预警、防护、监测、响应各个环节，能够集成资产配置库(CMDB)、漏洞管理、配置核查、身份管理等数据源。

2. 利用大数据技术实现异构海量日志的采集、融合、存储、检索、分析、态势感知和可视化，满足安全分析合规需求。

3. 借助安全情报可以大大提高分析的效率，安全情报分为战略层情报和战术层情报，从技术上可以分为基础数据情报、漏洞情报、威胁情报、重大事件情报等。

4. 采用多引擎分析，根据业务场景灵活选择不同引擎进行分析，实现了多业务区域的全面覆盖。

5. 引入全量流量日志，借助机器化学习建立了全网流量基线，通过网络异常行为识别APT未知威胁攻击。

6. 机器化分析算法贯穿其中，极大提高了分析的准确性、降低分析难度、减少分析时间。

7. 开放 API 接口模式，支持跨组织之间的情报共享，响应协作，以及设备之间的协同响应处理。

8. 扩展了安全运维人员的视野，提高的运维水平。

9. 逐步做到与安全设备联动，自动化分发安全策略，实现动态自动响应。

10. 基于典型商业银行场景日志分析积累的经验在同业内具有很好的推广价值。

11. 实时接收全球新威胁情报，构建广东农信内部威胁情报中心。

经验总结

1. 明确目标：按网络安全态势感知平台项目建设的要求，明确总体目标，依据项目目标分解为阶段目标，明确里程碑节点完成时间和工作要求。

2. 细化工作：对项目涉及的工作任务进行分解，清晰定位每项工作任务的边界要点。做到工作好落实，成果好把控，实施过程进度进行全方位管控。

3. 明确分工：将项目按照总体目标逐步分解成一层一层的要素，确定为完成项目交付物所必须开展的各项活动。通过任务分解，将项目工作包分解为活动，以作为对项目工作进行估算、进度规划、执行、监督和控制的基础。

4. 做好计划：进度计划编制根据招标文件的要求，依据PMBOK和CMMI项目管理体系关于进度计划的编制规则，本项目的进度计划经过任务分解、工作量估算、资源分配、任务优先级排序、关键路径识别和项目约束条件识别而编制。

5. 质量把控：按照体系标准要求，结合自身特点，建立了质量管理体系；在软件开发管理中，根据CMMI5的管理规范，编制适合广东农信的软件生产作业规程、标准，并在实践应用过程中持续改进。对项目的部署实施过程进行了整体的质量把控。

6. 进度可控：在项目部署过程中必须不断掌握项目状况，并将实际情况与计划进行对比分析，采取有效措施，使项目进度按预定的目标进行，确保目标的实现。

本文由2018年度农村金融科技创新优秀案例评选组委会授权发表，转载请注明出处和本文链接。