基于大數據的互聯網金融安全建設思路

安丙春，張 健，陶 蓉

(泰康保險集團股份有限公司，北京 100031)

1 金融2.0階段企業的安全建設情況

金融領域是我國最早引入信息技術的領域，最早可以追溯到20世紀80年代。隨著金融信息系統的使用，我國也逐漸建立起來了一套有針對性的安全體系。從以互聯網實現資金端高效對接的金融科技1.0階段，再到到進入資金端與技術端融合創新金融2.0階段，金融行業的安全建設逐步完善，這一時期的安全建設主要有以下特點：

(1)基于網絡邊界的層層防御

在傳統安全體系中，首先是采用基于網絡安全邊界的防御方案，在內網和互聯網之間的邊界上部署防火墻、WAF、IDS等邊界安全設備。在內部網絡中，也會根據不同的網絡功能劃分為不同的安全域，不同的安全域之間會通過防火墻或其他網絡設備進行網絡訪問權限的控制。在主機層面，以部署殺毒軟件等方式實現主機層面的安全防御。

(2)基于單個風險點的防御方式

傳統金融企業的安全體系建設主要依靠購買各種不同功能的安全設備，來實現不同安全風險的防御。為了解決網絡層的安全風險購買防火墻，為了解決應用層的安全風險購買WAF，為了解決主機層面的安全風險購買殺毒軟件，為了解決業務層面的安全風險購買業務風控系統。要想解決一類新的安全風險就要購買一套安全設備，就要有一個專人來運維這套安全設備。隨著安全風險類型的增加，安全設備和安全運維人員也成線性趨勢增長。

(3)防御重點位于傳統安全風險

由于之前安全風險主要來自于網絡、系統層面，因此在傳統的安全體系建設中，也將建設重點放在了網絡和系統層面，這也是傳統安全企業主要集中在防火墻和殺毒軟件等幾個安全領域的原因。

2 進入金融3.0后所面臨的新挑戰

隨著金融企業不斷深入的擁抱互聯網大潮，金融行業進入到了3.0階段，金融企業的信息基礎設施規模不斷增加，金融業務的復雜程度不斷加大，用戶對服務能力的要求不斷提高。為了滿足這些新的需求，對企業原有的信息系統提出了更高的要求，對企業的安全能力也提出了新的挑戰，而原有的安全體系已經很難滿足這些新的安全挑戰。具體表現在:

(1)新的安全風險不斷出現

隨著信息技術的發展，涌現出了許多新的安全風險，如Web安全風險、業務安全風險、數據安全風險等。這些安全風險都是隨著信息技術的發展逐步出現的新的安全風險，因此在原有的安全體系下，并沒有針對性的防護保障措施。

(2)安全邊界消失

隨著云技術的發展，特別是共有云技術的發展，原有的安全邊界正在消失，內網和外網的邊界正在模糊。特別是對提供金融云安全服務的大型金融企業來說，很難對安全邊界進行準確定義。

比如一家大型安全金融公司A，在滿足個人客戶金融需求的同時，也在對其他中小金融企業提供金融云的服務。B、C是兩家小型金融公司，公司B在使用A公司提供的金融云服務的同時也在使用亞馬遜的云服務，而公司C在使用A公司的金融云服務的同時也在使用阿里云的云服務資源。這種情況下，用傳統網絡邊界的定義來分析，A公司的網絡邊界是A公司自己的物理服務器機房的邊界，B公司和C公司的網絡邊界難以界定。對于A公司，是否有責任為B、C兩家公司的網絡邊界劃分來負責，有待深入討論的問題。

(3)安全成本急速提高

隨著互聯網金融的發展，新技術新業務的應用也伴生了各類新型的攻擊方式和攻擊手段(例如羊毛黨、勒索軟件等)，而為了應對這些攻擊威脅，金融機構在技術防護層面不得不增加各類安全設備和平臺，導致安全成本急速提高。

另一個根本原因是，原有安全體系建設過程中，各個安全設備之間是割裂的，信息數據檢測的結果以及安全策略的配置之間無法很好地聯動和協同起來，導致了運維成本的增加。

3 基于大數據的互聯網金融安全建設思路

要想從根本上解決問題，還需要從安全體系架構，甚至是特定技術體系結構上進行解決。在此，本文提出基于大數據的互聯網金融安全體系的建設思路。

依托已經成熟大數據技術，推動企業各信息系統中的系統功能和業務功能的集中化，在集中化的基礎上進行集中的安全賦能，并在此基礎上從時間和空間兩個維度上收集產生的與安全相關的數據，并對這些數據進行集中存儲，集中分析，數據間集中建立關系，從而進一步實現安全風險的識別、監控、定位、處理。

3.1 與原有安全體系的差別

3.1.1對安全防護認識上的差別

原有安全體系是以安全威脅為視角，通過識別不同的安全威脅而采取對應的措施，如WAF設備應對Web威脅，IPS應對網絡入侵威脅。新的安全體系以數據本身為視角，通過識別數據本身所面對的各類威脅(如篡改、刪除、非法添加和注入、未授權訪問等)，來進行集中統一防護。

3.1.2宏觀架構上的差別

在宏觀技術架構上，原有安全體系采取的思路是，針對一種具體的安全風險，識別這種安全風險需要包含三個模塊的功能分別是輸入數據、識別方法、結果輸出方式，在此基礎上開發制造一個安全設備，來解決這個風險。每一類安全風險就需要一個特定的安全設備來解決，各個安全設備有獨立的數據輸入源，有獨立的結果輸出方式。

這種方式導致了兩個很嚴重的后果：一個是重復建設的問題。IDS設備需要網絡流量中的數據，APT防御設備也需要網絡流量中的設備，在現有的技術架構下，IDS設備需要對網絡流量進行一次解析，之后實現IDS的功能；之后又需要重新對網絡流量進行一次解析，以實現APT防御設備的功能，增加了很大的成本。

另一很嚴重的后果是，各設備之間彼此獨立，每個設備都有一套自己的運維系統，需要投入人力去運維。各設備的報警結果也是相互獨立的，彼此關聯，相互印證，剝離重復報警的工作都需要人工來做。SOC等系統嘗試在不改變原有技術架構的基礎上，解決這個問題，但只是基于最后的報警結果來進行關聯，能起到一些作用，但始終作用不大。

新的安全體系嘗試采用一種全新的思路，先將涉及安全的數據全部集中起來，在此基礎上針對面臨的安全風險，引入需要的數據制定相應的識別方法來形成一個小的安全風險識別單元，實現安全風險的識別。各個識別單元彼此獨立，可以抽象成輸入數據、識別方法、輸出數據三部分，A識別單元的輸出數據可以作為B識別單元的輸入數據，從而形成一個安全識別的網絡。

3.1.3對安全風險處理方式上的差別

在傳統的安全體系下，在整個安全處理過程中，發現風險是重點。原因是由于信息系統的規模比較小，架構比較簡單的時候，只要發現了安全風險的存在，找到具體存在安全風險的位置以及具體的負責人，基本上人工就可以很容易地解決問題，也就沒有必要把這部分工作加到安全體系建設中了。但是隨著信息系統架構復雜度的提高以及服務器規模的增大，發現安全風險后如何定位到安全風險的具體位置，可能的影響范圍，由誰去負責處理更合適，存在將這部分工作納入安全體系建設中的必要。

3.2 新金融3.0的安全體系的特點

3.2.1從整體上看待安全，治未病

新的安全體系下，不再把安全風險當做一個孤立的問題來看待，而視之為整個信息系統運維管理工作中的一個環節，安全風險的頻繁出現是信息系統整體運維管理工作存在缺陷的一個表現。在推動安全風險本身解決的基礎上，更應該去深挖導致這些安全風險的因素，從根本上去設法解決安全風險，并且在此基礎上爭取能把未來可能出現的安全風險規避掉。全面的數據積累是這一理念落地的先決條件。

3.2.2依托最新的信息技術

隨著大數據云計算技術的成熟和引入，很多之前無法實現的安全分析任務，可以在新的技術平臺上實現，推動了安全體系技術架構的變革。之前的思路是：需要識別某個風險時，需要什么數據，就接入什么數據，數據經過特定的規則把特定的風險識別出來。新的架構依托大數據技術，采用了新的問題解決思路，先理清哪些數據是和安全相關的，把這些數據接入大數據平臺，進行統一存儲，需要識別某一個特定安全風險時，通過對安全數據的分析就可以識別出來這些安全風險了，直接從大數據平臺中把相應的數據調取出來即可，可以根據具體的需求，進行實時分析，也可以進行離線分析。

3.2.3工作重點由風險識別，風險預防

原有技術體系下工作的重點是識別出更多的安全風險，降低漏報率和誤報率，但隨著工作的推進，安全風險會層出不窮。在新的安全體系下，更關注的是整個技術體系架構的安全性，通過具體的安全風險，去倒推技術架構流程制度存在潛在的安全風險，通過對技術架構、流程制度的優化，來預防安全風險。

4 基于大數據的互聯網金融安全體系建設思路

基于大數據的互聯網金融安全體系的建設思路如下。

4.1 系統、業務功能集中化

在新的安全體系中，推薦采用“業務功能集中化”的技術架構，企業所用業務系統使用統一的登錄模塊，統一的用戶管理模塊，交給專門的開發團隊來負責，具體業務系統的開發團隊只負責具體業務場景的實現。而在業務系統背后，把所有的業務系統的數據庫、數據緩存的模塊、大數據分析模塊都集中起來，交由專業的技術團隊負責管理，業務開發運維團隊不再負責運維基本功能模塊，只負責具體業務系統的開發和運維。最終的效果是企業集中建設一個數據庫平臺、一個數據緩存平臺、一個大數據存儲平臺、一個大數據分析，一個統一的用戶登錄系統，分別為所有的業務系統提供服務。進行集中化處理后，安全風險也被集中化了，一旦出現了一個數據庫的漏洞，導致數據庫存在風險，直接由數據庫運維團隊進行集中處理，不再涉及具體的業務團隊。

4.2 集中進行安全賦能

完成系統、業務功能集中化工作后，接下來需要對每個專業的系統功能和業務功能進行安全賦能。針對每個專業子系統自身的功能特點，梳理出其面臨的潛在安全風險，在整體模塊層面對安全風險做統一的考慮，制定統一的安全監控、安全防御方案，一次賦能徹底解決該專業子系統的潛在安全風險，從而實現每個專業功能模塊的安全能力的提升。

4.3 搭建分布式數據存儲平臺

由于需要將所有與安全相關數據收集起來進行集中分析，因此首先要建立一個分布式的數據存儲平臺，這個平臺需要滿足如下需求：

(1)采取分布式的存儲架構，有高的容錯性；

(2)有良好的水平擴展能力；

(3)有熱數據和冷數據分離存儲的能力；

(4)有實時的數據檢索查詢能力。

4.4 搭建分布式數據計算平臺

將數據有效存儲之后，接下來面臨的問題是將這些數據如何有效地進行分析處理。所以需要建立一個分布式的數據計算平臺。要滿足大量的數據存儲必須采用分布式的存儲平臺，而要把存儲在分布式存儲平臺中的數據有效地使用起來，不出現計算瓶頸，就必須有一個強大的分布式計算平臺。對于這個計算平臺，需要滿足如下需求：

(1)采用分布式技術架構；

(2)支持實時和離線兩種計算模式；

(3)有友好的計算接口；

(4)能夠接入規則引擎；

(5)易于接入人工智能分析引擎。

4.5 建立安全數據收集方案

新安全體系的一切工作建立在收集數據工作的基礎上，對所收集數據的豐富程度的需求前所未有。按照類型可以分為資源型數據和過程型數據。

初級階段資源型數據包括以下內容：

(1)人員基本基礎數據

(2)服務器基礎數據

(3)辦公電腦基本數據

(4)人員與服務器、人員與辦公電腦的關聯數據

(5)產品、應用基本數據

(6)項目基本數據。

初級階段過程型數據包括以下內容：

(1)人員變更、人員操作數據

(2)服務器運行過程數據

(3)辦公電腦運行過程中產生的數據

(4)項目生命周期過程中產生的數據

(5)網絡流量數據

4.6 實現安全風險的識別

安全風險識別上的功能由三部分組成。

(1)實驗性安全風險識別

基于數據存儲平臺中的數據利用數據計算平臺的計算能力，開發特定的風險識別腳本實現潛在安全風險的識別，并對安全風險識別的有效性進行驗證。

(2)基于穩定規則的安全風險識別

對于在“實驗性安全風險識別”中驗證過的，在安全風險識別方法中能夠以規則形式描述的方法，可以將其轉換成具體的安全規則，添加到安全規則引擎中，實現該類安全風險的穩定識別。另外對于在業界已經非常成熟的安全識別規則，也可以添加到安全規則引擎中，實現基于規則的穩定識別。

(3)基于穩定數學模型的安全風險識別

隨著業務場景的復雜，有很多安全風險用規則把它描述出來比較困難，需要引入深度學習的技術，建立有效的數學模型對這些安全風險進行識別。

4.7 實現安全風險的跟蹤管理

在新的安全體系中，后續的安全風險的跟蹤管理工作是極為重要的環節。主要包括以下內容：

(1)通過數據將安全風險定位到具體的設備；

(2)通過數據將安全風險與具體的人員進行關聯；

(3)跟蹤記錄整個安全風險的處理過程；

(4)對處理過程的時間效率進行分析；

(5)對安全風險的來源、類型、修復方案進行總結分析；

(6)通過對安全風險的分析，發現整個體系架構中的薄弱點。

5 結論

面向金融安全3.0新安全體系建設思路的出發點建立在對安全風險的全新認識之上，不再把安全風險當做一個獨立的問題，而是把它看做企業信息技術建設過程中存在缺陷、不足或錯誤的一種表現形式，單就安全風險來解決安全風險，無法從根本上解決企業的安全問題。同時，企業的安全工作不僅僅是識別安全風險和修復安全風險的工作，而是圍繞安全風險的產生、發現、定位、修復、預防一系列工作，只有把這一系列工作都做好了，安全風險才能得到有效控制。而這一建設思路實現的一個前提條件必須基于大數據技術，只有在新的分布式計算、分布式存儲、分布式查詢等一些列大數據技術的有力支撐下，新的安全體系建設思路才能得以真正落地。