来源:江苏农信 作者:邵小勇一、项目背景,下面我们就来聊聊关于江苏农信模式?接下来我们就一起去了解一下吧!

江苏农信模式(互联网行业云安全运营项目)

江苏农信模式

来源:江苏农信 作者:邵小勇

一、项目背景

江苏农信在“一行两会”的指导和要求之下,2017年制定了江苏农信云计算平台发展规划,通过近3年的建设,已经构建了一朵覆盖农商行基础设施全场景的“私有云 行业专有云”一体的金融云平台。至2020年9月底,累计完成52家网内农商行共计2324套应用系统的迁移工作,覆盖网内农商行业务系统总量的72%;其中全省48家农商行238套互联网应用系统1546台主机部署在省联社互联网行业云,覆盖网内农商行所有互联网业务系统的86%。同时也完成136个省联社应用系统在私有云平台上的部署,覆盖省联社业务系统总量的60%。

“上云”建设已经开始展现出了五大显著的成果:一是基础环境的标准化程度极大的提高,运维自动化较大程度的提高,配置、性能、容量均实现了自动化,基础环境部署效率大大提高;二是资源利用率极大程度的提高,在自动化的配置、性能、容量管理的帮助下,资源利用率提高了6倍左右;三是较大程度的释放了农商行的科技人员的运维压力,农商行科技人员可以更多精力投入到当地业务需求的支持中去了;四是全省范围内集约效应凸显,通过节省农商行本地机房运维,减少服务器扩容,减少基础应用开发等费用支出为近2亿元;五是为后期的互联网安全统一防护与管理打下了基础。

近年来网络安全形势日益严峻,各类网络安全事件频发,国家层面也极为重视网络安全,各部门也发布多个网络安全的政策法规,体现国家治理网络安全的决心。省联社充分认识到农商行在安全管理的局限性,不论是资金投入、安全人才引进、技术积累都存在严重不足。无法满足新的网络安全态势下强监管、强问责、重实效的互联网业务运行需求。为应对新的网络安全态势,提升全省互联网安全,省联社规划全省安全运营大平台,积极介入全省60家农商行(52家网内农商行和8家网外农商行)的安全管理。

二、创新点

为满足新的网络安全态势下强监管、强问责、重实效的互联网业务运行需求,借助省联社平台优势统筹规划建设全省安全运营大平台,通过API和日志接口对接各类安全设备,实现安全日志的统一关联分析,告警、报表统一展示,并向全省农商行输出安全技术服务,建成以互联网资产安全风险识别和安全事件处置为核心的全省安全运营主动服务模式,今年截止9月底,共发布819份安全风险处置单,积极督促农商行进行整改,展示省联社技术服务能力,提升省联社的技术服务形象,节约农商行的安全投入,降低农商行技术人员安全运维压力,同时提升全省农商行的安全防护水平。

三、技术实现特点

安全运营项目以安全运营平台为主要数据支撑和运维平台,通过安全运营平台集成的Hadoop、Eleasticsearch、Kafka等开源技术,支撑了省联社行业云所需的并发大数据量,高时效性要求和高可用性的平台体系架构,通过API调用,Syslog协议传输等多种方式,采集和解析了包括APT、WAF、IPS、云主机防护系统等20多个安全系统的全流量日志和安全日志数据;目前安全运营平台每日采集分析数据超过20亿条,每日处理的数据量超过了3个T,原始攻击告警事件超过4万条。结合数据融合、数据清洗、数据挖掘等技术,通过统计模型、规则模型、关联模型、AI模型等7种类型模型714个模型个体,分析压缩后每日的攻击告警事件约200-300条,基本均是具有高识别度、高风险的攻击事件。

1、数据融合技术

数据融合技术是一个多级、多层面的数据处理过程,按信息抽象程度可分为从低到高的三个层次:数据级融合、特征级融合和决策级融合。

安全运营平台的数据来自众多的安全设备,其数据格式、数据内容、数据质量等千差万别,存储形式各异,表达的语义也不尽相同。如果能够将这些使用不同途径、来源于不同网络位置、具有不同格式的数据进行预处理,并在此基础上进行归一化融合操作,就可以为安全运营平台提供更为全面、精准的数据源,从而得到更为准确的态势数据。

2、数据清洗技术

安全运营平台将采集的大量数据经过数据融合处理后,转化为格式统一的数据单元。这些数据单元数量庞大,携带的信息众多,有用信息与无用信息鱼龙混杂,难以辨识。因此,要掌握相对准确、实时的安全日志数据,必须剔除干扰信息。数据清洗技术从海量数据中挖掘出有用的信息,即从海量的、不完全的、有噪声的、模糊的、随机的实际应用数据中发现隐含的、规律的、事先未知的,但又有潜在用处的并且最终可理解的信息和知识。

3、数据挖掘技术

数据挖掘可分为描述性挖掘和预测性挖掘,描述性挖掘用于刻画数据的一般特性;预测性挖掘在当前数据上进行推断,并加以预测。数据挖掘方法主要有:关联分析法、序列模式分析法、分类分析法和聚类分析法。

通过安全运营平台的建设,实现全省流量的网络行为分析,全省日志的业务行为审计,全省内部威胁的入侵诱骗,并通过大屏分别展示生产网、互联网的安全态势呈现,保障高级威胁类的攻击及时检测、溯源和响应;以丰富的安全视角实现威胁的多业务场景分析展现,比如Web服务器资产、邮件安全场景、渗透测试场景等,可视化的呈现出安全事件的攻击流程,有效保障省联社全网整体安全。

四、项目内容及运营情况

2020年初,省联社重点加强互联网安全建设,充分挖掘发挥省联社自身平台优势,轮训全省农商行安全技术人员,引入外部安全专家驻场,同时在互联网行业云部署各类安全防护系统,制定详细的安全运维流程和事件应急处理流程,大大减轻了农商行自身运维互联网系统的压力,提升了互联网应用系统的安全性。具体内容如下:

1、识别全省互联网资产风险,加强互联网系统投产管理,制定风险处置流程。

2020年1月初开始收集全省互联网资产信息,每周末通过漏洞扫描系统对这些地址进行风险扫描,将扫描报告里的高中等级的风险,编写风险处置单通知农商行处理。截止9月底,每周末对全省60家农商行512个互联网IP(部署在省联社云端有366个地址,农商行本地146个地址)进行漏洞扫描。今年截止9月底省联社已经为31家农商行的63个互联网业务完成上线前安全评估,减少互联网业务系统运行隐患。

2、部署多种安全防护设备提升网络安全防护能力。

省联社按照纵深安全防护的思路,在互联网线路侧部署公安部一所的互联网攻击阻断设备,依靠权威的公安部威胁情报联动防护,直接禁用纳入公安部黑名单的公网地址,提升互联网安全防护水平。

在内部部署互联网云主机安全防护系统,提升云主机系统安全。云主机安全是互联网安全纵深防御体系中最后一道防线,通过部署青藤云云主机安全防护系统,在1369台互联网区域的云主机上部署云安全代理,快速识别云主机安全隐患,发现应用漏洞、弱密码等安全风险以及异常登录、暴力破解、留置Web后门等主机入侵行为,从而实现对主机层级风险的实时预警。

在重要节点部署安全流量风险检测系统,通过天眼安全流量检测系统,实时分析互联网行业云的网络流量,以检测和发现各类网络攻击。投产以来已经发现多起勒索软件、WEB攻击、远控木马、僵尸网络、窃密木马、间谍软件、网络蠕虫等网络攻击事件。

3、落实各类监管要求,提升全省互联网行业云的合规性。

省联社按照新的《网上银行系统信息安全通用规范》已经完成全省云平台的等保三级定级工作,年内完成测评工作。参照《移动金融客户端应用软件安全管理规范》采购通付盾APP安全加固服务,为全省移动APP提供加固服务,对可能存在的恶意破解、逆向、篡改、注入、打包等攻击手段进行全面防护,提升移动APP的安全性。截止9月底已经完成12家农商行移动APP的57次加固服务。同时按人行要求组织全省农商行69款涉及金融业务的移动APP备案工作,预计年底前能完成这些金融APP备案工作。

4、加强安全技术培训,提升安全技术水平。

定期轮训农商行安全人员,不定期组织各类安全技术培训。按照2个月为一周期,轮训全省安全技术人员,这些人员参与省联社日常安全运营工作,参与值班巡检、告警分析,目前已经完成2轮9人的轮训工作,正在开展第三期安全轮训。同时2020年省联社组织3次线上安全技术培训,1次的线下安全技术培训,编写1份安全意识教育课程纳入人力资源部全员必修课程。

5、引入安全专家服务,提升技术服务能力。

采购互联网应急中心安全监控服务,实时监测全省375个互联网系统安全风险,其中包括319个互联网应用系统、56个移动APP应用。同时为弥补自身人员技术水平的不足,采购2名安全专家驻场服务,深入分析安全设备运行日志,对发现的安全事件进行分析、追踪和溯源,及时控制事件风险,处置信息安全事件,并提供分析报告和事件处置报告。

6、强化网络安全考核,落实安全管理责任。

2020年增加全省农商行的网络安全考核力度,从安全岗位设置、安全人员技术能力、安全风险处置单响应、互联网应用系统外部评估、安全事件通报等多个方面考核全省农商行网络安全管理能力。同时还以安全现场检查方式,指导和督促农商行落实安全管理责任。截止9月底已经完成7家农商行的安全现场检查。为提升效率,9月份组织一次全省网络安全自查,基于全省自查报告的分析和整理,年底前还将组织抽查核对工作,帮助农商行发现隐患,督促领导层落实网络安全管理职责,提升安全网络安全管理水平。

五、项目成效

1、提升全省互联网业务系统安全防护水平并节约全省安全投入。

省联社依据《网上银行系统信息安全通用规范》、《网络安全等级保护安全设计技术要求》的第三级系统设计要求等规范要求,借助省联社平台集中优势,在省联社互联网行业云上,为全省农商行搭建立体的互联网防御体系,部署了网络防火墙、应用防火墙、互联网攻击阻断系统、云主机防护系统、安全流量风险检测系统等。在安全防护设施投入上统筹规划,避免农商行各自重复建设,为互联网系统上云的48家农商行节约了从网络防护、安全检测、攻击阻断到主机防护等一系列的安全设备的投入,节约投入约5700多万元,起到了降本增效的作用。

2、全面提升全省农商行人员的安全技术及安全运维能力。

通过组织各项线下线上的安全技术培训,提升农商行技术人员的安全技术水平。编写安全意识教育课程纳入全员必修课程,提升全员的安全意识。

通过定期轮询农商行人员,农商行安全技术人员参与省联社日常安全运营工作,参与值班巡检、告警分析,提升农商行技术人员的安全运维能力。

3、提升省联社的技术服务形象,降低农商行安全运维压力。

通过全省互联网行业云安全运营项目建设,向全省农商行输出安全技术服务,建成以互联网资产安全风险识别和安全事件处置为核心的全省安全运营主动服务模式。积极督促农商行进行整改,制定详细的安全运维流程和事件应急处理流程,大大减轻了农商行自身运维互联网系统的压力,安全运维成本进一步降低,为48家农商行每年节约人力资源投入约900多万元。

六、未来规划

全省互联网行业云安全运营项目是省联社服务农商行的窗口,今年已建成以互联网资产安全风险识别和安全事件处置为核心的全省安全运营主动服务模式。明年继续深耕全省互联网行业云安全服务。首先提升安全服务标准化,各类安全指标可视化,能通过多种渠道展示各类安全指标的实时运行情况,农商行可以很方便的了解自身的网络安全运行情况。其次提升安全运维自动化能力,目前资产信息收集、风险处置单编写、漏扫结果分析占用较多的人力,后续提升自动化运维水平,将部分技术含量低,频度高的日常运维工作利用自动化软件完成。最后优化安全运营平台,提供个性化的配置接口,满足农商行自服务的安全配置需求,提升农商行的参与度。

,