导语:为了尽快满足等保 2.0 的合规要求,开泰银行选择了七牛云机器数据分析平台 Pandora 替代了传统的 ELK 方案。Pandora 2.0 使用了机器数据分析的标准语言 SPL ,SPL 支持对原始数据直接处理,并且统一了检索、分析、可视化和告警等需求。引入 SPL 后的 Pandora 2.0 具备了更强大的计算能力,为客户带来了极其简便的数据接入体验。
2019 年 12 月 1 日 网络安全等级保护制度 2.0 标准正式发布(简称等保 2.0),是我国网络和信息安全保障工作的基础,也是事关国家安全、社会稳定的基本国策。与等保 1.0 大为不同的是,等保 2.0 要求相关企业从被动防御转向主动防御,做到事前、事中、事后全流程安全可信、动态感知和全面审计,对企业的数据安全处理能力提出了更高的要求。
为了保障等保 2.0 制度切实落实,《网络安全法》中制定了相关处罚措施作为强有力的支撑,其中就包括企业不做等级保护测评,需要被罚款 1 万-100 万,主管人员需要被罚款 5k-10w 不等的处罚。于是,如何高效通过等保评测成为企业亟须解决的问题。
银行是等级保护的重要责任主体之一,等保 2.0 对银行提出的要求中包括对不同类型日志数据统一归档,并且日志数据至少要保存半年。开泰银行是一家总部在泰国的外资银行,国内的总部位于深圳,等保 2.0 的实施给开泰银行带来了巨大的挑战。
Pandora 帮助开泰银行轻松应对等保 2.0 有关日志数据的要求
等保 2.0 实施之前开泰银行与很多商业银行一样,使用的是开源的日志分析系统 ELK (Elasticsearch、Logstash、Kibana),虽然也实现了日志的统一收集,但无论是日志存储时间还是收集的数据类型都无法满足等保 2.0 的要求,也无法配置对应的安全告警规则,保证银行的数据安全。
为了尽快满足等保 2.0 的要求,开泰选择了七牛云机器数据分析平台 Pandora 2.0 替代了传统的 ELK 方案。Pandora 使用了机器数据分析的标准语言 SPL ,SPL 支持对原始数据直接处理,并且统一了检索、分析、可视化和告警等需求。引入 SPL 后的 Pandora 2.0 具备了更强大的计算能力,内置百余种分析命令快速创建模型自定义搜索,针对典型场景及业务提供开箱即用的分析模板和检测规则。用户在数据采集时无需对多种不同数据源进行梳理和解析,可以直接原始数据进行统一存储归档,入库后再根据不同的需求对数据进行高效灵活的处理和分析,为客户带来了极其简便的数据接入体验。
Pandora 2.0 实时处理全景图
接入七牛云之后, 开泰银行的网络设备日志、服务器日志、安全设备的审计日志都可以统一收集到 Pandora 2.0 平台,并且统一归档存储超过一年,轻松满足等保 2.0 的要求。
同时,银行的系统与用户的财产安全息息相关,一旦出现失误很可能造成不可挽回的损失。不法分子通过暴力破解银行业务系统服务器的安全事件时有发生,造成银行的业务系统被攻破或者不可用,Pandora 针对这种状况实现了安全审计的功能,帮助银行减少甚至避免这种状况的发生。
搭建数十个安全分析模型,开泰全面实时日志监控
从服务器的登录到网络设备的告警,七牛云为开泰银行搭建了数十个安全分析模型,做了非常全面的实时日志监控。以为服务器登陆的实时告警为例,会涉及 Linux、Windows、Sunos 等多种操作系统,不同的操作系统又会涉及不同型号的设备,每一种情况数据的格式都会发生变化,七牛云的 Pandora 针对不同操作系统和设备都做了相应处理,做到多设备多操作系统的实时告警 。比如开泰银行的任何服务器,出现了一分钟内输错超过十次密码的情况,Pandora 就会发出告警,提示开泰的相关工作人员作出及时响应,以免造成重大损失。
除了暴力破解等安全场景,银行服务还会不时遭到病毒的入侵,在银行已经有多安全防护软件的防护下,七牛云采集多个安全软件安全系统多维的安全日志信息,将多维的安全日志做关联分析形成统一视图,避免安全的信息孤岛。Pandora 会根据病毒的危险等级发出相应的告警,保证开泰银行所有服务器数据的安全。
日志审计分析业务架构图
开泰银行中国分行是银行总部的下属机构,除了自身的安全问题需要处理,每个月还要向总部提交安全月报。总部需要知道其下属银行历史的告警集合,包括但不限于每个月多少次告警,发生了哪些安全事件等,这些数据可能存在与网络也可能存在于服务器,管理起来耗时耗力。七牛云的 Pandora 2.0 可以灵活支持所有数据格式的收集,并形成可视化的报表,轻松助力开泰银行完成每个月的安全月报。同时也能尽早发现银行存在哪些安全风险,方便安全人员精准快速的解决安全问题。
七牛云 Pandora 2.0 将持续深耕银行监管审计数据分析
与开泰银行的合作目前还处于起步阶段,Pandora 2.0 最具特色的能力之一就是数据的读时解析能力,Schema On Read 模式极大满足灵活的业务分析需求,降低数据接入成本。
针对格式多样的服务器、防火墙、路由器、交换机等不同类数据源,格式各异,但 Pandora 可以轻松采集。在不久的将来,Pandora 也会帮助开泰银行实现 netflow 数据监控、端口流量数据分析、业务数据分析等深入的场景。
随着中国银行业不断的发展,新的监管审计需求还会不断增多,对于银行而言监管审计等挑战也会不断升级,七牛云将会进一步深耕数据分析,解决银行机构的数据分析难题。