丁晨

一、银行在网络安全风险管理中面临的挑战

（一）法律法规和监管要求不断加强

银行业是金融行业的重要组成部分，银行业的网络安全关系国家金融安全，银行金融机构的运营受到严格的外部监管，在网络安全方面须遵从如《网络安全法》、《金融行业信息系统网络安全等级保护实施指引》、《商业银行信息科技风险管理指引》等多部法律法规，并受到政府多部门的监督管理，如人民银行、银保监会、公安部和工信部等。在复杂、多变、动态的业务和系统环境中，遵从法律法规满足合规要求，是银行网络安全风险管理工作的基础任务。

（二）被动防御系统不能满足银行安全需要

为了应对不断变化的网络安全挑战，银行在网络安全方面持续加大投入，基于纵深防御理念开展网络安全规划设计，在网络环境中层层部署各类安全设备，这类安全系统可以防堵外部某个方面的安全威胁，但难以应对日益复杂和不断进化的网络环境和网络安全威胁。同时，银行内部的违规和信息泄漏更加难以发现和防范。内部人员、外包人员容易接触到银行敏感信息，熟悉银行内部环境，容易逃避安全防护手段进而危害银行的核心数据和资源。网络安全设备部署在专网和内网的安全边界，内部威胁可以天然躲避这类检测。综上，被动防御已经不能满足银行当前的业务需要，如何开展主动防御是银行网络安全风险管理工作的重大挑战。

（三）新技术与银行业务深度融合带来的巨大挑战

随着互联网、云计算、大数据和人工智能等技术与银行业务深度融合，新的业务不断上线，银行业务和系统越发复杂，每天产生海量的业务数据和日志数据，不同业务和系统之间存在众多的业务孤岛和信息孤岛，如何打破业务孤岛和信息孤岛，实现关联分析，发现隐性关系等，对网络安全管理和人员素质提出了更高的挑战。同时，系统风险由南北方向向东西方向演变，导致新设备信息化程度、智能程度和专业化程度越来越高，网络安全设备往往存在高漏报、误报、操作复杂等问题，如何快速处理海量数据，排查定位风险，溯源取证等对银行网络安全管理人员挑战巨大。

（四）现有网络安全风险管理手段的局限性

银行现有的网络安全风险管理手段主要是等级保护测评和网络安全风险评估等方法，这些工作能够满足银行网络安全的合规要求和基线要求，但也存在不足。首先，在信息和数据采集阶段，现有方法是以访谈调查和抽样调查形成调查分析的基础数据，这类方法不能对监测对象开展全面实时的数据采集和集中管理。在数据分析阶段，又缺乏大数据处理的环境、工具和数据源，不能对全部数据进行结构化加工。同时，因为不能对系统的全部数据实现集中分析，即无法实现对事件的关联分析和逻辑判断。其次，现有风险评估方法以“静态”分析为主，主要考虑某一状态下系统安全漏洞、威胁和关键资产信息。增加时间维度后，关键资产、威胁与系统漏洞信息都将发生变化，这时静态风险评估结果将不再适用。另外，现有方法缺乏对当前网络状况的实时持续分析能力，安全管理人员制定和修改安全策略时缺乏依据。最后，现行方法主要满足IT运维人员的需要，不能满足事前、事中和事后的管理需求，不能满足银行“三道防线”中风险管理人员和审计人员的需求。

综上所述，在满足监管的要求下如何主动的、及时的、持续的发现内部和外部攻击。在复杂的业务和系统环境下如何实现全面的数据和信息管理，快速发现、识别和排查海量数据背后隐藏的风险。如何满足事前、事中和事后环节中不同角色的需求，这些都是银行信息科技部门开展网络安全工作需要思考和解决的重要课题。

二、日志安全审计分析服务在银行网络安全管理中的应用

面对以上挑战，我们在网络安全管理工作中，引入了基于大数据和人工智能技术的日志安全审计分析服务，该业务对现有网络安全管理的手段在目标、内容、技术、工具、功能结构和流程上都进行了创新和丰富。

（一）日志安全审计分析的工作目标和内容

日志安全审计分析的目标是规范日志数据的集中管理与解析分析工作，完善安全事件的监测、记录、分析和审计能力，出具分析报告，帮助信息科技的管理层、执行层和风险管理部门以及外部监管等多方人员，实时掌握银行信息系统现状和安全态势，发现、排查、定位和持续监测风险，为系统加固提供了现状分析和比较的依据。

日志安全审计分析的内容是通过对银行数据中心的网络拓扑与设备资产情况进行深入调研，采集全网设备和应用的日志数据，实现日志数据集中管理，利用大数据智能分析系统和专家体系进行安全审计与分析。对银行监测记录网络运行状态的能力，网络日志管理的能力、安全事件分析的能力开展全面评估，将银行的网络运营状况与相关的法律法规进行对标比较，暴露合规性风险并出具安全事件分析报告，日志安全審计分析服务业务结构参见图1。

（二）日志安全审计分析服务的功能结构

日志安全审计分析服务适用于银行信息科技部、审计部和其他相关部门开展网络安全风险管理工作，工作内容由工具和服务两大部分组成，日志安全审计分析服务的功能结构参见图2。

（三）日志安全审计分析的工作流程

1、全面系统调研

对银行现有的网络环境进行调研和梳理，明确网络结构和资产信息，全面掌握信息系统的日志数据源信息。从管理角度梳理技术团队的指责分工和操作流程，全面掌握信息科技的管理制度、操作规范等信息。

2、日志数据采集

对银行信息系统的设备和应用日志进行采集，包括：网络设备、安全设备、主机设备、以及多个应用系统的访问日志和中间件日志。日志以流式数据的形式集中到大数据智能分析系统进行统一管理和留存。建立日志集中管理系统，采用了分布式存储技术，对日志实现了备份存储，满足了网络安全法对日志6个月的存储要求，为取证溯源提供了条件。