二八科技-二八科技新聞資訊

日前，人民銀行科技司發文要求地方性銀行業機構和非銀行支付機構接入人行金融行業網絡安全態勢感知與信息共享平臺。微步在線深度參與了人行的威脅情報共享和標準等相關工作，已幫助多地十余家銀行客戶完成接入，在此，我們將以這篇文章分享微步在線在該項目時積累的理論和實施經驗。

(一)該平臺對行業有何幫助?

所有銀行和非銀行支付機構將自身網絡安全告警數據以規定格式上傳到平臺，人行以此進行信息提取和情報生產，最終再通過平臺將高可信威脅情報統一分發給各金融機構，從而構建金融行業安全事件和威脅情報生產分發的自循環體系，幫助金融機構做到聯防聯控。

簡單來說，安全告警數據和情報要在各金融機構中經歷三個階段：數據上傳、情報下發、情報和其他安全設備聯動。這意味著，該平臺能夠做到的不僅是安全告警數據的上傳和下發，參與人行數據共享最大的價值和挑戰都在于情報的持續運營和應用。

由于人行威脅信息共享平臺的推進，可以預見到全國金融行業將跑步進入多源情報時代，因此，人行情報和用戶原有情報如何統一管理合理應用、情報數據如何更好的輔助業務和安全分析等問題，都需要通過接入該平臺得到進一步解決。

(二)金融機構自主推進 VS 通過微步TIP上報，有何區別?

金融機構自主推進該項目，要將所有需要上報的安全設備告警日志導出、匯總、按人行要求進行標準化處理(json格式與kafka對接)、將組織機構代碼/世界各國和地區名稱代碼/行政區劃代碼/各類告警類型轉換為《標準》中規范的名稱、安排人員和時間開發對接系統、對接聯調測試、最終實現上報，有一定開發工作量。此外，人行將生產的情報下發，和情報的運營和應用，都需要相應的軟件開發和應用場景開發。

微步在線旗下本地威脅情報管理平臺(TIP)可為金融機構提供一站式、自動化的人行態勢感知和威脅信息共享平臺接入模塊，使用微步TIP接入，用戶只需將安全設備告警日志以任何形式(一般為syslog)匯聚到TIP，TIP上報模塊將對各類日志進行自動化接收、標準化處理，并對接到人行kafka，整個過程無須額外開發，開箱即用。微步在線同時已完成下發情報的開發工作，如后續人行下發情報，也可通過微步TIP直接對接。微步在線TIP客戶使用上傳功能無需額外費用。

(三)用戶如何接入微步TIP平臺?

用戶可以通過配置安全設備將告警直接發送至TIP完成日志收集、規范化和與人行平臺的對接過程。

微步TIP目前支持金融行業常見的防火墻、WAF、IDS、IPS、抗D、殺毒、APT等安全產品或設備告警日志格式解析，還可以通過界面快速識別新的格式。需要注意，目前人行僅要求上報7類安全事件，不限制安全設備或者態勢感知平臺品牌，例如病毒感染數據可以來源于任何一種防病毒軟件，可直接從防病毒軟件獲取數據或防病毒軟件日志接入態勢感知后再輸出后上報。

(四)微步TIP的部分細節優勢

自動去重：人行并非要求所有七類告警都無差別上傳，實際上建議做一定的去重，微步TIP會對一定時間范圍內的重復告警進行自動去重;

自動規范分類：由于各種安全設備的告警描述信息不一致，例如SQL注入攻擊可能被描述為“SQL注射”、“ASP注入”、“腳本注入”，微步TIP內置上千種安全設備告警描述特征字符，支持自動將各類描述轉化成人行規范分類;

支持手動上報：為便于靈活操作，微步TIP提供手動上報頁面，支持用戶通過內置表格人工填寫七種類型告警字段數據，手動觸發上報功能;

支持多方共享：微步TIP支持將告警數據多方向發送給人行和其他指定地址，用于備份存檔便于后續三方系統進一步分析。

(五)微步在線的成功案例

微步在線作為威脅情報領軍企業，積累了豐富的威脅情報使用場景和經驗。國內前十大銀行中的八家，使用了微步威脅情報。

微步TIP作為多源情報管理平臺具有5年歷史，是國內首款威脅情報平臺，產品成熟穩定。依托豐富的金融行業威脅情報管理、生產和分發經驗，微步在線TIP產品已經幫助數十家前期接入的金融機構成功完成快速的“無痛”對接，案例數量領先。