基于大数据的互联网金融安全建设思路

安丙春，张 健，陶 蓉

(泰康保险集团股份有限公司，北京 100031)

1 金融2.0阶段企业的安全建设情况

金融领域是我国最早引入信息技术的领域，最早可以追溯到20世纪80年代。随着金融信息系统的使用，我国也逐渐建立起来了一套有针对性的安全体系。从以互联网实现资金端高效对接的金融科技1.0阶段，再到到进入资金端与技术端融合创新金融2.0阶段，金融行业的安全建设逐步完善，这一时期的安全建设主要有以下特点：

(1)基于网络边界的层层防御

在传统安全体系中，首先是采用基于网络安全边界的防御方案，在内网和互联网之间的边界上部署防火墙、WAF、IDS等边界安全设备。在内部网络中，也会根据不同的网络功能划分为不同的安全域，不同的安全域之间会通过防火墙或其他网络设备进行网络访问权限的控制。在主机层面，以部署杀毒软件等方式实现主机层面的安全防御。

(2)基于单个风险点的防御方式

传统金融企业的安全体系建设主要依靠购买各种不同功能的安全设备，来实现不同安全风险的防御。为了解决网络层的安全风险购买防火墙，为了解决应用层的安全风险购买WAF，为了解决主机层面的安全风险购买杀毒软件，为了解决业务层面的安全风险购买业务风控系统。要想解决一类新的安全风险就要购买一套安全设备，就要有一个专人来运维这套安全设备。随着安全风险类型的增加，安全设备和安全运维人员也成线性趋势增长。

(3)防御重点位于传统安全风险

由于之前安全风险主要来自于网络、系统层面，因此在传统的安全体系建设中，也将建设重点放在了网络和系统层面，这也是传统安全企业主要集中在防火墙和杀毒软件等几个安全领域的原因。

2 进入金融3.0后所面临的新挑战

随着金融企业不断深入的拥抱互联网大潮，金融行业进入到了3.0阶段，金融企业的信息基础设施规模不断增加，金融业务的复杂程度不断加大，用户对服务能力的要求不断提高。为了满足这些新的需求，对企业原有的信息系统提出了更高的要求，对企业的安全能力也提出了新的挑战，而原有的安全体系已经很难满足这些新的安全挑战。具体表现在:

(1)新的安全风险不断出现

随着信息技术的发展，涌现出了许多新的安全风险，如Web安全风险、业务安全风险、数据安全风险等。这些安全风险都是随着信息技术的发展逐步出现的新的安全风险，因此在原有的安全体系下，并没有针对性的防护保障措施。

(2)安全边界消失

随着云技术的发展，特别是共有云技术的发展，原有的安全边界正在消失，内网和外网的边界正在模糊。特别是对提供金融云安全服务的大型金融企业来说，很难对安全边界进行准确定义。

比如一家大型安全金融公司A，在满足个人客户金融需求的同时，也在对其他中小金融企业提供金融云的服务。B、C是两家小型金融公司，公司B在使用A公司提供的金融云服务的同时也在使用亚马逊的云服务，而公司C在使用A公司的金融云服务的同时也在使用阿里云的云服务资源。这种情况下，用传统网络边界的定义来分析，A公司的网络边界是A公司自己的物理服务器机房的边界，B公司和C公司的网络边界难以界定。对于A公司，是否有责任为B、C两家公司的网络边界划分来负责，有待深入讨论的问题。

(3)安全成本急速提高

随着互联网金融的发展，新技术新业务的应用也伴生了各类新型的攻击方式和攻击手段(例如羊毛党、勒索软件等)，而为了应对这些攻击威胁，金融机构在技术防护层面不得不增加各类安全设备和平台，导致安全成本急速提高。

另一个根本原因是，原有安全体系建设过程中，各个安全设备之间是割裂的，信息数据检测的结果以及安全策略的配置之间无法很好地联动和协同起来，导致了运维成本的增加。

3 基于大数据的互联网金融安全建设思路

要想从根本上解决问题，还需要从安全体系架构，甚至是特定技术体系结构上进行解决。在此，本文提出基于大数据的互联网金融安全体系的建设思路。

依托已经成熟大数据技术，推动企业各信息系统中的系统功能和业务功能的集中化，在集中化的基础上进行集中的安全赋能，并在此基础上从时间和空间两个维度上收集产生的与安全相关的数据，并对这些数据进行集中存储，集中分析，数据间集中建立关系，从而进一步实现安全风险的识别、监控、定位、处理。

3.1 与原有安全体系的差别

3.1.1对安全防护认识上的差别

原有安全体系是以安全威胁为视角，通过识别不同的安全威胁而采取对应的措施，如WAF设备应对Web威胁，IPS应对网络入侵威胁。新的安全体系以数据本身为视角，通过识别数据本身所面对的各类威胁(如篡改、删除、非法添加和注入、未授权访问等)，来进行集中统一防护。

3.1.2宏观架构上的差别

在宏观技术架构上，原有安全体系采取的思路是，针对一种具体的安全风险，识别这种安全风险需要包含三个模块的功能分别是输入数据、识别方法、结果输出方式，在此基础上开发制造一个安全设备，来解决这个风险。每一类安全风险就需要一个特定的安全设备来解决，各个安全设备有独立的数据输入源，有独立的结果输出方式。

这种方式导致了两个很严重的后果：一个是重复建设的问题。IDS设备需要网络流量中的数据，APT防御设备也需要网络流量中的设备，在现有的技术架构下，IDS设备需要对网络流量进行一次解析，之后实现IDS的功能；之后又需要重新对网络流量进行一次解析，以实现APT防御设备的功能，增加了很大的成本。

另一很严重的后果是，各设备之间彼此独立，每个设备都有一套自己的运维系统，需要投入人力去运维。各设备的报警结果也是相互独立的，彼此关联，相互印证，剥离重复报警的工作都需要人工来做。SOC等系统尝试在不改变原有技术架构的基础上，解决这个问题，但只是基于最后的报警结果来进行关联，能起到一些作用，但始终作用不大。

新的安全体系尝试采用一种全新的思路，先将涉及安全的数据全部集中起来，在此基础上针对面临的安全风险，引入需要的数据制定相应的识别方法来形成一个小的安全风险识别单元，实现安全风险的识别。各个识别单元彼此独立，可以抽象成输入数据、识别方法、输出数据三部分，A识别单元的输出数据可以作为B识别单元的输入数据，从而形成一个安全识别的网络。

3.1.3对安全风险处理方式上的差别

在传统的安全体系下，在整个安全处理过程中，发现风险是重点。原因是由于信息系统的规模比较小，架构比较简单的时候，只要发现了安全风险的存在，找到具体存在安全风险的位置以及具体的负责人，基本上人工就可以很容易地解决问题，也就没有必要把这部分工作加到安全体系建设中了。但是随着信息系统架构复杂度的提高以及服务器规模的增大，发现安全风险后如何定位到安全风险的具体位置，可能的影响范围，由谁去负责处理更合适，存在将这部分工作纳入安全体系建设中的必要。

3.2 新金融3.0的安全体系的特点

3.2.1从整体上看待安全，治未病

新的安全体系下，不再把安全风险当做一个孤立的问题来看待，而视之为整个信息系统运维管理工作中的一个环节，安全风险的频繁出现是信息系统整体运维管理工作存在缺陷的一个表现。在推动安全风险本身解决的基础上，更应该去深挖导致这些安全风险的因素，从根本上去设法解决安全风险，并且在此基础上争取能把未来可能出现的安全风险规避掉。全面的数据积累是这一理念落地的先决条件。

3.2.2依托最新的信息技术

随着大数据云计算技术的成熟和引入，很多之前无法实现的安全分析任务，可以在新的技术平台上实现，推动了安全体系技术架构的变革。之前的思路是：需要识别某个风险时，需要什么数据，就接入什么数据，数据经过特定的规则把特定的风险识别出来。新的架构依托大数据技术，采用了新的问题解决思路，先理清哪些数据是和安全相关的，把这些数据接入大数据平台，进行统一存储，需要识别某一个特定安全风险时，通过对安全数据的分析就可以识别出来这些安全风险了，直接从大数据平台中把相应的数据调取出来即可，可以根据具体的需求，进行实时分析，也可以进行离线分析。

3.2.3工作重点由风险识别，风险预防

原有技术体系下工作的重点是识别出更多的安全风险，降低漏报率和误报率，但随着工作的推进，安全风险会层出不穷。在新的安全体系下，更关注的是整个技术体系架构的安全性，通过具体的安全风险，去倒推技术架构流程制度存在潜在的安全风险，通过对技术架构、流程制度的优化，来预防安全风险。

4 基于大数据的互联网金融安全体系建设思路

基于大数据的互联网金融安全体系的建设思路如下。

4.1 系统、业务功能集中化

在新的安全体系中，推荐采用“业务功能集中化”的技术架构，企业所用业务系统使用统一的登录模块，统一的用户管理模块，交给专门的开发团队来负责，具体业务系统的开发团队只负责具体业务场景的实现。而在业务系统背后，把所有的业务系统的数据库、数据缓存的模块、大数据分析模块都集中起来，交由专业的技术团队负责管理，业务开发运维团队不再负责运维基本功能模块，只负责具体业务系统的开发和运维。最终的效果是企业集中建设一个数据库平台、一个数据缓存平台、一个大数据存储平台、一个大数据分析，一个统一的用户登录系统，分别为所有的业务系统提供服务。进行集中化处理后，安全风险也被集中化了，一旦出现了一个数据库的漏洞，导致数据库存在风险，直接由数据库运维团队进行集中处理，不再涉及具体的业务团队。

4.2 集中进行安全赋能

完成系统、业务功能集中化工作后，接下来需要对每个专业的系统功能和业务功能进行安全赋能。针对每个专业子系统自身的功能特点，梳理出其面临的潜在安全风险，在整体模块层面对安全风险做统一的考虑，制定统一的安全监控、安全防御方案，一次赋能彻底解决该专业子系统的潜在安全风险，从而实现每个专业功能模块的安全能力的提升。

4.3 搭建分布式数据存储平台

由于需要将所有与安全相关数据收集起来进行集中分析，因此首先要建立一个分布式的数据存储平台，这个平台需要满足如下需求：

(1)采取分布式的存储架构，有高的容错性；

(2)有良好的水平扩展能力；

(3)有热数据和冷数据分离存储的能力；

(4)有实时的数据检索查询能力。

4.4 搭建分布式数据计算平台

将数据有效存储之后，接下来面临的问题是将这些数据如何有效地进行分析处理。所以需要建立一个分布式的数据计算平台。要满足大量的数据存储必须采用分布式的存储平台，而要把存储在分布式存储平台中的数据有效地使用起来，不出现计算瓶颈，就必须有一个强大的分布式计算平台。对于这个计算平台，需要满足如下需求：

(1)采用分布式技术架构；

(2)支持实时和离线两种计算模式；

(3)有友好的计算接口；

(4)能够接入规则引擎；

(5)易于接入人工智能分析引擎。

4.5 建立安全数据收集方案

新安全体系的一切工作建立在收集数据工作的基础上，对所收集数据的丰富程度的需求前所未有。按照类型可以分为资源型数据和过程型数据。

初级阶段资源型数据包括以下内容：

(1)人员基本基础数据

(2)服务器基础数据

(3)办公电脑基本数据

(4)人员与服务器、人员与办公电脑的关联数据

(5)产品、应用基本数据

(6)项目基本数据。

初级阶段过程型数据包括以下内容：

(1)人员变更、人员操作数据

(2)服务器运行过程数据

(3)办公电脑运行过程中产生的数据

(4)项目生命周期过程中产生的数据

(5)网络流量数据

4.6 实现安全风险的识别

安全风险识别上的功能由三部分组成。

(1)实验性安全风险识别

基于数据存储平台中的数据利用数据计算平台的计算能力，开发特定的风险识别脚本实现潜在安全风险的识别，并对安全风险识别的有效性进行验证。

(2)基于稳定规则的安全风险识别

对于在“实验性安全风险识别”中验证过的，在安全风险识别方法中能够以规则形式描述的方法，可以将其转换成具体的安全规则，添加到安全规则引擎中，实现该类安全风险的稳定识别。另外对于在业界已经非常成熟的安全识别规则，也可以添加到安全规则引擎中，实现基于规则的稳定识别。

(3)基于稳定数学模型的安全风险识别

随着业务场景的复杂，有很多安全风险用规则把它描述出来比较困难，需要引入深度学习的技术，建立有效的数学模型对这些安全风险进行识别。

4.7 实现安全风险的跟踪管理

在新的安全体系中，后续的安全风险的跟踪管理工作是极为重要的环节。主要包括以下内容：

(1)通过数据将安全风险定位到具体的设备；

(2)通过数据将安全风险与具体的人员进行关联；

(3)跟踪记录整个安全风险的处理过程；

(4)对处理过程的时间效率进行分析；

(5)对安全风险的来源、类型、修复方案进行总结分析；

(6)通过对安全风险的分析，发现整个体系架构中的薄弱点。

5 结论

面向金融安全3.0新安全体系建设思路的出发点建立在对安全风险的全新认识之上，不再把安全风险当做一个独立的问题，而是把它看做企业信息技术建设过程中存在缺陷、不足或错误的一种表现形式，单就安全风险来解决安全风险，无法从根本上解决企业的安全问题。同时，企业的安全工作不仅仅是识别安全风险和修复安全风险的工作，而是围绕安全风险的产生、发现、定位、修复、预防一系列工作，只有把这一系列工作都做好了，安全风险才能得到有效控制。而这一建设思路实现的一个前提条件必须基于大数据技术，只有在新的分布式计算、分布式存储、分布式查询等一些列大数据技术的有力支撑下，新的安全体系建设思路才能得以真正落地。