廣州熱線

日前，人民銀行科技司發(fā)文要求地方性銀行業(yè)機構和非銀行支付機構接入人行金融行業(yè)網絡安全態(tài)勢感知與信息共享平臺。微步在線深度參與了人行的威脅情報共享和標準等相關工作，已幫助多地十余家銀行客戶完成接入，在此，我們將以這篇文章分享微步在線在該項目時積累的理論和實施經驗。

(一)該平臺對行業(yè)有何幫助?

所有銀行和非銀行支付機構將自身網絡安全告警數據以規(guī)定格式上傳到平臺，人行以此進行信息提取和情報生產，最終再通過平臺將高可信威脅情報統(tǒng)一分發(fā)給各金融機構，從而構建金融行業(yè)安全事件和威脅情報生產分發(fā)的自循環(huán)體系，幫助金融機構做到聯(lián)防聯(lián)控。

簡單來說，安全告警數據和情報要在各金融機構中經歷三個階段：數據上傳、情報下發(fā)、情報和其他安全設備聯(lián)動。這意味著，該平臺能夠做到的不僅是安全告警數據的上傳和下發(fā)，參與人行數據共享最大的價值和挑戰(zhàn)都在于情報的持續(xù)運營和應用。

由于人行威脅信息共享平臺的推進，可以預見到全國金融行業(yè)將跑步進入多源情報時代，因此，人行情報和用戶原有情報如何統(tǒng)一管理合理應用、情報數據如何更好的輔助業(yè)務和安全分析等問題，都需要通過接入該平臺得到進一步解決。

(二)金融機構自主推進 VS 通過微步TIP上報，有何區(qū)別?

金融機構自主推進該項目，要將所有需要上報的安全設備告警日志導出、匯總、按人行要求進行標準化處理(json格式與kafka對接)、將組織機構代碼/世界各國和地區(qū)名稱代碼/行政區(qū)劃代碼/各類告警類型轉換為《標準》中規(guī)范的名稱、安排人員和時間開發(fā)對接系統(tǒng)、對接聯(lián)調測試、最終實現(xiàn)上報，有一定開發(fā)工作量。此外，人行將生產的情報下發(fā)，和情報的運營和應用，都需要相應的軟件開發(fā)和應用場景開發(fā)。

微步在線旗下本地威脅情報管理平臺(TIP)可為金融機構提供一站式、自動化的人行態(tài)勢感知和威脅信息共享平臺接入模塊，使用微步TIP接入，用戶只需將安全設備告警日志以任何形式(一般為syslog)匯聚到TIP，TIP上報模塊將對各類日志進行自動化接收、標準化處理，并對接到人行kafka，整個過程無須額外開發(fā)，開箱即用。微步在線同時已完成下發(fā)情報的開發(fā)工作，如后續(xù)人行下發(fā)情報，也可通過微步TIP直接對接。微步在線TIP客戶使用上傳功能無需額外費用。

(三)用戶如何接入微步TIP平臺?

用戶可以通過配置安全設備將告警直接發(fā)送至TIP完成日志收集、規(guī)范化和與人行平臺的對接過程。

微步TIP目前支持金融行業(yè)常見的防火墻、WAF、IDS、IPS、抗D、殺毒、APT等安全產品或設備告警日志格式解析，還可以通過界面快速識別新的格式。需要注意，目前人行僅要求上報7類安全事件，不限制安全設備或者態(tài)勢感知平臺品牌，例如病毒感染數據可以來源于任何一種防病毒軟件，可直接從防病毒軟件獲取數據或防病毒軟件日志接入態(tài)勢感知后再輸出后上報。

(四)微步TIP的部分細節(jié)優(yōu)勢

自動去重：人行并非要求所有七類告警都無差別上傳，實際上建議做一定的去重，微步TIP會對一定時間范圍內的重復告警進行自動去重;

自動規(guī)范分類：由于各種安全設備的告警描述信息不一致，例如SQL注入攻擊可能被描述為“SQL注射”、“ASP注入”、“腳本注入”，微步TIP內置上千種安全設備告警描述特征字符，支持自動將各類描述轉化成人行規(guī)范分類;

支持手動上報：為便于靈活操作，微步TIP提供手動上報頁面，支持用戶通過內置表格人工填寫七種類型告警字段數據，手動觸發(fā)上報功能;

支持多方共享：微步TIP支持將告警數據多方向發(fā)送給人行和其他指定地址，用于備份存檔便于后續(xù)三方系統(tǒng)進一步分析。

(五)微步在線的成功案例

微步在線作為威脅情報領軍企業(yè)，積累了豐富的威脅情報使用場景和經驗。國內前十大銀行中的八家，使用了微步威脅情報。

微步TIP作為多源情報管理平臺具有5年歷史，是國內首款威脅情報平臺，產品成熟穩(wěn)定。依托豐富的金融行業(yè)威脅情報管理、生產和分發(fā)經驗，微步在線TIP產品已經幫助數十家前期接入的金融機構成功完成快速的“無痛”對接，案例數量領先。