态势感知信息共享平台_安全态势感知-云巴巴

态势感知信息共享平台

各接入单位与人行金融业态势感知与信息共享平台通过Kafka数据服务总线方式进行对接，接入数据包括网络攻击数据、DDOS攻击数据、病毒感染数据、防病毒安装数据、恶意邮件数据、垃圾邮件数据、钓鱼网站/假冒App数据和反欺诈数据（本期不接入）等。

立即咨询

首页 > 产品中心 > 数据计算与分析 > 态势感知信息共享平台

适用范围及时间节点

为进一步发挥金融业网络安全态势感知与信息共享平台（以下简称“平台”）实效，结合前期调研情况，现启动平台第三批接入工作，组织各地方性银行业机构（含民营银行、城市商业银行、村镇银行、农村商业银行、农村信用社等，不含外资银行）和非银行支付机构（以下简称接入机构）有序接入。

态势感知信息共享平台建设目标

风险管控

实现对行业内安全信息的总览监测、对态势数据的综合分析，建立上下统一调度的指挥平台，帮助成员单位快速共享情报

可查

即各成员单位之间共享威胁情报，预警行业内的重要安全风险，做好安全威胁的主动应对

可见

即通过对态势数据的综合分析，展现行业层面所受到的攻击和威胁态势，监控各成员单位的安全状况，形成对整体安全风险的全局视野和掌控能力

可控

即通过建立一个上下统一调度的指挥平台，从事前、事中、事后角度对全行业安全事件、安全漏洞和安全威胁有效纳管，向各成员单位提供管理、技术、数据、资源等方面的支撑

接入架构和方案

接入要求

直连接入

各成员单位根据自身网络选择前置直连或通过外联前置代理服务等方式，上报安全事件数据到人行Kafka服务器集群，建议采用前置直连的方式。

成员单位可自行选择如Flume、Logstash或自定义数据处理（如：java、Python开发的服务）服务等发送方式上报安全事件数据。

级连接入

地方性金融机构数据接入通过人行省级分支机构级联方式接入数据到人行总行，人行省级分支机构在本单位DMZ区部署3台WEB转发服务器负责地方性金融机构数据双向代理转发。

地方性金融机构通过该3个地址与人行总行进行安全事件数据上报和威胁情报数据获取。

数据接入服务（需要上发的数据）

服务目录	服务名称	设计数据	频率	备注
t_net_attack	网络攻击数据	IPS/IDS/WAF/APT产品	实时
t_ddos	DDOS 攻击数据	DDOS产品	实时
t_virus	病毒感染数据	防病毒产品	实时
t_mailce_mail	恶意邮件数据	邮件沙箱产品	实时
t_virus_device	防恶毒产品安装数	防恶毒产品	Y+1D
t_garbage_mail	反垃圾邮件	反垃圾邮件产品	T+1H	增量
t_phishing	假冒网站APP	反钓鱼网站/假冒 APP	Y+1D

信息共享服务（人行下发的数据）

服务名称	共享范围	频率	获取方式	服务目录/API地址	备注
IP信誉库	全部机构	实时	Kafka	t_threat_ip	KAafka实施消费，增量
域名信誉库	全部机构	实时	Kafka	t_threat_domain	Kafka实施消费
互联网资产信息库	所属机构	批量	API	待定	HTTPS API 接口
安全漏洞库	所属机构	批量	API	待定	HTTPS API 接口

云不可知策略自动化

接口名		说明
网络攻击数据接口		1、网络攻击数据只上报各金融机构单位认为网络攻击行为对本单位造成影响并采取阻断或封禁处置动作的安全事件信息； 2、目标系统：被攻击目的地址相对应的目标系统中文名称，比如网上银行、手机银行。如果一个IP对应有多个目标系统，只提供一个主要目标系统即可； 3、攻击类型：人行标准化的安全事件子类编码，P01-02到P01-23、P01-99范围。
DDOS攻击数据接口		1、攻击类型：人行标准化的安全事件子类编码，固定值P01-01； 2、攻击流量：流量统一单位为M； 3、攻击源地址：新增字段，必填项，可包含多个攻击源IP地址，多个地址以;隔开，最多不超过50个攻击源IP。如果攻击源IP数量超过50个上限，筛选攻击流量最多、影响最大前50个IP。
病毒感染数据接口		1、病毒感染数据只上报各金融机构单位已查杀成功的病毒感染事件信息； 2、分支机构名称：感染该病毒的分支机构名称，根据成员单位组织机构自行确认机构归属。如：某金融机构厦门开发中心128.64..，则该分支机构名称为总行； 3、机构所属地区名称：感染该病毒分支机构所属地区名称，按中国34个省级行政区划分。如：某金融机构厦门开发中心，则该分支机构归属福建省； 4、病毒类型：人行标准化的安全事件子类编码，P02-01到P02-33、P01-99范围。
防病毒安装数数据接口		每天0:00分统计前一天防病毒产品安装总数量，每天报送1条统计记录，time字段HH:MM:SS值统一为00:00:00
恶意邮件数据接口
反垃圾邮件数据接口		每小时统计前一小时反垃圾邮件拦截数量，每小时报送1条统计增量记录，time字段MM:SS值为00:00
钓鱼网站/假冒APP数据接口		1、每天0:00分统计前一天钓鱼网站/假冒APP的所有安全事件数据； 2、每次只能上报钓鱼网站或假冒APP一种类型的安全事件。如果为钓鱼网站则序号8、9字段项的值均为空；如果为假冒APP则序号4、5、6、7字段项的值均为空。
威胁情报接口-IP信誉库		1、消费kafka 2、String、Date 、Enum、Int等所有字段类型的值均采用字符串(String)方式填充。
威胁情报接口-域名信誉库		1、消费kafka