近日，中國人民銀行科技司發布了《金融行業態勢感知與信息共享平臺數據接入標準說明(試點)》，要求各級成員單位按照標準進行安全事件數據的上報對接以及威脅情報信息共享。此舉目標是實現對行業內安全信息的總覽監測、對態勢數據的綜合分析，上下統一調度指揮，幫助成員單位快速共享情報，形成對行業內安全資產的風險管控，最終實現對整體金融行業信息安全的“可見、 可查、可控”。

　　在一期、二期試點階段，日志易積極參與該標準說明的調研與分析，推出了人行態勢感知數據上報和共享方案并成功協助多家金融客戶完成數據接入準備工作。方案詳細功能與特點如下：

　　人行態勢感知數據上報和共享方案· 功能

　　Ø數據接口

　　1.通過Syslog對接安全設備

　　2.根據安全設備接口通過讀取數據庫數據獲取病毒軟件安裝數或人工配置上報內容

　　3.支持通過數據庫、文件、HTTP等方式獲取反欺詐數據

　　4.將數據上報到人行Kafka，同時需要消費人行下發的Kafka威脅情報數據

　　5.消費到的威脅情報數據需要能通過Syslog、數據庫、HTTP等方式推送至SIEM、態勢感知平臺

　　Ø數據解析

　　1.考慮到人行的字段規范可能與SIEM產品規范不一致，一條原始日志根據需求靈活解析出多種字段命名模板

　　2.可以靈活關聯各種字典表，如金融機構字典、資產字典、安全事件字典、地區字典等

　　3.可以靈活增加、刪除、修改上報的字段名和字段內容

　　Ø數據清洗、聚合

　　1.通過界面靈活設置聚合統計規則，如按小時、按天統計

　　2.通過界面配置過濾條件，過濾不需要上傳人行的數據

　　3.通過界面配置臨時手動上傳數據

　　4.對上傳的數據支持復制一份到本地文件、數據庫，方便數據稽核

　　5.可提前進行告警降噪，只發送高可疑攻擊IP，減少上報數據量

　　Ø數據上傳、消費管理

　　1.支持數據處理(上傳、消費)全流程的數據質量監控：上傳速度、成功數、錯誤數、錯誤原因等

　　2.支持隨時界面啟停上傳和消費管道

　　3.支持隨時界面增、刪、改管道配置

　　4.支持界面撥測人行Kafka通道(上傳及消費)

　　人行態勢感知數據上報和共享方案· 特點

　　Ø可見性

　　1.上報流程編排可見性：整個上報的流程通過圖形化編排，配制完成整個數據上報的數據流、數據處理等步驟，提升平臺快速響應能力以及未來的擴展性

　　2.過程可見性：實時預覽整個數據的流轉處理過程，整個數據處理的過程“了然于胸”

　　3.數據識別可見性：各種非數據的處理，通過界面化或者現有模板進行識別

　　Ø可控性

　　1.發送狀態的控制機制：針對每種上報數據接口，支持單獨進行發送頻率、周期、狀態的控制，獨立進行管理

　　2.完整性控制機制：具備偏移量控制機制，保障在異常或者特殊維護場景下的數據斷點續發的能力

　　Ø可查性

　　1.發送數據可查性：在數據發送的過程中可同時創建副本，副本源支持文件、常見關系型數據庫、分布式搜索引擎等，體現發送數據審計的能力

　　2.發送統計能力：具備各類數據的發送內容實時統計能力，實時查看數據整體的發送量、發送頻率、數據發送趨勢等信息

　　雖然金融業態勢感知與信息共享平臺的建設是為了滿足行業監管及風險管控需求，促進防護協同，但其對于金融機構內部的網絡安全信息化建設也具有重要的借鑒價值。例如對安全信息及數據的全面收集和接入，有助于實現全面總覽及綜合分析，從而做到全面的風險管控。

　　日志易安全分析平臺具備強大的數據采集接入能力，對各類安全數據實時接入，搭配日志易數據工廠產品，可以實現與各種安全及大數據平臺的數據共享，當然也能夠實現對“金融業態勢感知與信息共享平臺”數據的接入和消費。日志易安全分析平臺能夠大大加強企業對各類威脅的檢測分析、追蹤溯源能力。

　　什么是日志易安全分析平臺？

　　日志易安全分析平臺兼具關聯分析和異常分析能力，全面支持各種威脅類型(已知威脅、可疑威脅以及未知威脅)的檢測、分析與響應。該平臺基于日志易自研的數據搜索引擎Beaver，通過流批處理計算框架，對企業的日志、流量數據進行深度關聯，并結合資產信息、漏洞信息，進行威脅自動化響應處置，能夠大幅提高用戶在安全運營方面的決策能力。

　　圖：日志易安全分析平臺架構

　　1.全方位日志采集：全面采集安全設備、網絡設備、中間件、操作系統、數據庫、應用層日志。百萬級EPS日志流處理能力，PB級秒級日志溯源跟蹤能力。

　　2.統一威脅處置：內置WEB安全、主機安全、合規安全等8大類常見的復雜事件處理檢測規則，自動關聯資產、漏洞以及威脅情報，并可對告警配置工單任務和阻斷動作(包含自動阻斷以及人工一鍵阻斷)。

　　3.南北向以及東西向流量異常檢測(NTA)：可通過覆蓋企業全網的多個流量探針，對主流的應用、網絡協議進行采集和解析，還原流量數據進行溯源取證，并可對流量中的攻擊行為進行檢測。

　　4.端點進程監控：結合Linux、Windows系統日志，分析其進程、賬號登錄、命令執行等事件，發現異常行為，如異常父子進程、異常賬戶或異常命令執行等可疑攻擊滲透行為，幫助用戶判斷攻擊結果(是否成功)。

　　5.調查取證：將威脅告警和異常事件映射到時間維度，提供分析事件之間前因后果關系的能力。以威脅告警為入口對攻擊鏈進行溯源，并通過遞進的關聯分析發現橫向擴展的行為。

　　6.任務管理：內置工單系統，并可靈活對接用戶環境的工單系統，形成安全事件處置閉環和協同。

　　7.流程編排及自動化響應：全界面化Playbook編排，可通過API聯動各類安全設備/系統，自動根據匹配規則選擇Playbook進行響應處置，自動完成IP阻斷、賬戶鎖定等常規動作。

　　8.威脅情報對接：支持對接在線開源、商用威脅情報庫以及離線情報導入，并與威脅告警進行關聯，進一步提高威脅告警的準確度。

　　9.漏洞對接：對接開源、商用漏洞平臺，對誤報進行白名單處理，對低危漏洞或不關注之漏洞進行自動忽略或修復。

　　10.資產管理：通過對接CMDB、日志提取、批量導入、自發現等方式，自動感知全網資產的動態變化，為威脅告警補全資產信息。

　　11.多數據管道分發保障：結合日志易數據工廠產品，根據上級日志格式規范將同一數據來源ETL成不同數據格式，通過多數據管道將格式化日志分發到不同目的源。

　　12.態勢感知大屏：結合日志易大屏產品，將全網實時安全狀態集中展現到安全管理人員面前。