吕晓强：民生银行在威胁情报上的构建实践

近日，由中国网络安全与信息化产业联盟、360共同主办的“数据的力量——全球领先安全技术分享会“在北京召开，威胁情报成为了与会嘉宾共同关注的问题。

中国民生银行信息科技部总经理助理吕晓强

中国民生银行信息科技部总经理助理吕晓强谈到了威胁情报在民生银行的应用。吕晓强指出，当前安全威胁呈现多样化、复杂化，而系统的复杂性成为安全的天敌。

一方面传统威胁没有消除，新的威胁又越来越多。另一方面，系统复杂、数量爆发性增长，数据的多样性不断加剧。尤其在庞大的金融全业务链中，业务安全的复杂度加深。

威胁情报成为了应对网络威胁的重要出口，民生银行从开始规划信息安全保障体系的时候，就是基于传统信息安全技术，结合使用SIEM、网络行为分析和威胁情报等新型技术，实现完整的网络风险可视化。并预留了了完善的可供机器学习和大数据分析所使用的接口，为下一步智能化发展奠定基础。

2014年民生银行信息安全三年规划设计

吕晓强表示，民生银行的安全架构天然是与威胁情报和协同防护是一体的。

民生银行建立的风险可视化平台——攻击行为分析就是其威胁情报实践的重要体现：

·支持各式Flow进行网络流量分析与监控，可直接快速地进行网络行为活动异常检测。

·具备异种日志、安全事件与网络活动收集、正规化、关联分析与异常告警能力

·集成国外情报服务商的情报，如IBM X-Force，下一步将与国内具有特色的安全公司加强企业情报的使用。

吕晓强还指出，民生银行在威胁情报的四个规划：

下一步规划1——以威胁情报平台为核心的、基于协同防御的“大脑”，围绕业务所面临的各种安全威胁，提供各种安全保障服务。

包括基于大数据的智能化情报体系：情报处置体系、人机画像、业务安全。传统防护体系：终端防护体系、网络端防护体系、主动检测体系等。基于情报的平台化架构：基于SIEM、网络行为的监测平台，外部威胁情报采集及应用，攻击溯源及自我检测的能力。

下一步规划2——构建威胁情报交换体系。

下一步规划3——基于情报的大数据安全分析，建立基于时间、空间、资源和终端的多纬度分析模型。

例如非上班时间批量查询客户资料；连续进行客户资料查询操作，但未进行业务办理；高频查询客户资料、偷取客户资料的行为；客户经理异常操作行为；反复刷新客户资料页面，偷取客户资料私存；大量模糊查询；出现跨区域的大量访问；对数据库的敏感表访问过程中，分析是否存在越权访问情况；对敏感文件访问过程中，分析是否存在主机间互跳访问，是否存在越权访问情况等等。

下一步规划4——安全威胁情报处置中心（SIPC），搭建一条企业与安全行业之间的通道，将情报、交流、信息，甚至人脉进行“连接”。对于一个企业管理者来说，吕晓强的理解是将各个安全云之间进行整合，构建协同防护体系。