2025年金融行业科技部安全员威胁情报分析手册.docxVIP

2025年金融行业科技部安全员威胁情报分析手册

第1章威胁情报综述与基础架构

1.1威胁情报定义、分类与生命周期

威胁情报（ThreatIntelligence）被定义为关于潜在或已发生的攻击、攻击者行为、攻击者意图、攻击者能力、攻击者资产、攻击者操作、攻击者模式以及攻击者工具的信息集合。在金融行业科技部，它不仅是技术文档，更是连接业务风险与安全防护的“翻译器”，将抽象的威胁转化为可执行的防御指令。威胁情报主要分为三类：一是“开源情报”（OSINT），指通过公开渠道如新闻、社交媒体、漏洞数据库获取的信息；二是“内部情报”，指来自内部员工报告、审计发现及历史攻击复盘的数据；三是“商业情报”，指通过购买或合作获取的机构级威胁数据。金融数据的高敏感性决定了内部情报和基于商业情报的研判在优先级上高于开源情报。

威胁情报的生命周期涵盖从“发现”到“应用”的全闭环。首先进行情报的采集与清洗，剔除噪声并标准化格式；其次通过关联分析（Correlation）识别威胁模式；接着进行战术、技术（TTPs）分析与分类；随后情报产品供决策者使用；最后必须进入实战，指导防火墙规则更新、SIEM告警阈值调整及应急响应预案的制定。在金融场景下，威胁情报的生命周期特别强调“时效性”与“准确性”。例如，针对某类勒索病毒，情报团队需在攻击者发布新变种（如Ransomware-as-a-Ser