基于區塊鏈技术的可信金融安全运维解决方案DevSecOps介绍

东吴证券与Trias的合作基于區塊鏈的持续免疫+可信运维实践,将全面驱动金融信息系统的可信安全。

導讀NRl顯卡之家

围绕东吴证券的需求和发展方向,Trias基于區塊鏈公开透明、信息安全等技术特性,结合证券行业的实际应用场景,为东吴证券提供技术支持。NRl顯卡之家

东吴证券与Trias的合作基于區塊鏈的持续免疫+可信运维实践,将全面驱动金融信息系统的可信安全。NRl顯卡之家

一、提出的背景NRl顯卡之家

隨著信息技術高速發展,信息化進程不斷推進,我國證券期貨金融的行業信息網絡基礎設施承載著本行業重要業務和經濟活動。目前金融領域關鍵基礎信息系統信息化程度高,智能化、網絡化程度迅速發展,對網絡的依賴性持續增強,一旦遭到攻擊破壞不僅可能導致大規模的財産損失,甚至可能威脅國家安全。NRl顯卡之家

2017年6月1日,《中華人民共和國網絡安全法》(以下簡稱網絡安全法)的發布則明確將服務商的重要網絡和信息系統統稱爲關鍵信息基礎設施,將其納入國家重點保護範圍。這是我國首次在法律高度提出關鍵信息基礎設施概念,並對關鍵信息基礎設施保護提出具體要求。安全法的提出是我國在關鍵信息基礎設施保護方面取得的重大進步,將促進國家關鍵信息基礎設施網絡安全形成新局面。NRl顯卡之家

我國證券期貨金融行業的信息系統在數據共享和通訊方面發展迅速,其承載的數據價值越來越高,如何有效通過安全手段保護核心數據成爲了行業焦點。傳統的安全手段基于黑名單、病毒庫、特征庫或規則等方法來防止異常進程與惡意文件(比如病毒)的使用。這樣的方式確定性強,誤報率低,能很快確定具體異常行爲。NRl顯卡之家

然而,如果不知道異常行爲或者惡意文件的樣本(比如0Day漏洞),就會因爲沒有對應的病毒庫或特征庫而束手無策。另外一方面,傳統安全管理體系下,安全技術在軟件生命周期的參與往往關注在系統測試或上線運維階段,通過程序安全加固和外部入侵防禦對開發完成的軟件進行保護,但卻忽略了需求、設計、開發等前期更爲重要的環節。NRl顯卡之家

为了解决上述传统信息安全方式存在的问题,本研究旨在采用可信计算的白名单方法,通过结合區塊鏈和人工智能技术,保障金融数据在其完整生命周期内(收集、承载、处理与分发)的静态安全性与动态安全性。研究的提出是为了响应网络安全法的规定进行落地可行性方案的实施,在金融关键信息基础设施的全生命周期建设方面覆盖评估、预警、事件响应等多个环节流程的安全要求。基于更安全高效的持续软件集成与交付DevSecOps[1]的基础上,切实可行的整合了防篡改与大数据分析技术,为金融关键信息基础设施系统的关键数据建立可信的数据存证与传输,防止有恶意或者虚假数据在金融信息基础设施中产生。NRl顯卡之家

二、解決思路NRl顯卡之家

研究的实施主体针对目前的证券期货金融系统的关键信息系统基础设施,基于可信安全、人工智能、區塊鏈技术结合提出可信金融安全运维解决DevSecOps的方案。方案的提出要求信息安全建设要充分结合软件全生命周期和敏捷开发的持续迭代与发布流程,将技术的自动化安全融入到DevOps过程当中,如下图所示为Gartner提出的DevSecOps原型框架[1]。NRl顯卡之家

基于區塊鏈技术的可信金融安全运维解决方案DevSecOps介绍NRl顯卡之家

爲了實現上述安全建設框架,結合證券系統建設的實際情況,需要通過技術手段實現:NRl顯卡之家

1.信息安全在軟件生命周期的前置。將傳統的軟件測試與交付階段的信息安全工作覆蓋到需求設計在內的全生命周期,IBM的統計數據表明産品在發布後修複安全問題的成本是在設計階段解決成本的4到5倍,而在運維階段修複成本甚至超出100倍。NRl顯卡之家

2.安全技術手段的自動化實現。爲了能夠讓信息安全監測有效開展,傳統制度和管理手段並不能有效實現信息安全的全生命周期覆蓋,需要通過創新的技術手段實現全自動化安全加固。NRl顯卡之家

3.持續安全態勢感知,而非固守傳統分析方法。面對實時變化的安全隱患與缺陷,只有結合曆史數據與當前狀態實時感知安全風險,這也對安全技術實現提出更高的要求。NRl顯卡之家

根據上述原則,需要研究和建立一套以自主研發爲核心的軟件全生命周期的持續免疫系統。研究的主要內容就是以主動安全免疫方法爲基礎,結合敏捷開發與證券運維,在智能持續交付運維的過程中實現基礎設施系統的持續監測和多數據源分析。NRl顯卡之家

建立自動化金融關鍵信息系統基礎設施的進程白名單與用戶行爲白名單,有效識別內外部威脅進程。及時辨別內外部的異常行爲,有效發現入侵以及滲透工具的長期潛伏破壞,第一時間發現並及時處置內外部威脅。NRl顯卡之家

对金融关键信息基础设施的关键数据进行區塊鏈技术的存证与传输,有效防止非法异常的恶意篡改与丢失,防止有虚假数据的产生。结合人性化的可视化手段,最终研究出一个从防御、检测、响应、到预测于一体自适应、软件全生命周期的安全解决方案。NRl顯卡之家

三、技術方案NRl顯卡之家

为了实现上述信息系统的全生命周期安全,需要考虑软件需求、设计、开发、测试、发布、部署、运维和反馈环节中几十类的安全实践模块设计,其中涉及到白名单检测、数据防篡改、代码溯源、动态安全分析等全新安全实践,需要通过可信计算技术、區塊鏈技术以及人工智能技术实现如图2所示的DevSecOps框架。NRl顯卡之家

基于區塊鏈技术的可信金融安全运维解决方案DevSecOps介绍NRl顯卡之家

· 可信安全技术实现关键系统的安全可控NRl顯卡之家

可信计算组织(TCG)[2] 组织把“可信计算”定义为:“可信计算”是指软件和硬件能够按照它们被设计的行为运行。对于物理平台的完整性而言,可信计算技术提供了一种基于硬件的平台完整性保护方案。通过可信计算能够在信息系统的数据的共享和传输过程中,对所有信息节点进行可信安全检测,主动发现在金融数据共享传输过程中,发生在关键信息系统基础设施的异常恶意工具或者进程;对于物理平台的完整性而言,可信计算技术提供了一种基于硬件的平台完整性保护方案,以TCG组织提出的可信平台模块TPM为信任根,从主机上电开始,到BIOS启动、GRUB及操作系统内核加载的整个过程中逐级建立信任链,通过完整性度量架构(Integrity Measurement Architecture, IMA)将信任链扩展到应用层,并借助远程证实协议允许远程用户证实平台的完整性,如图3所示。而实现的可信安全监控可以被本地和远程实体信任,实体包括用户,软件,实现了证券行业系统行为的完整性和系统的完整性。NRl顯卡之家

基于區塊鏈技术的可信金融安全运维解决方案DevSecOps介绍NRl顯卡之家

可信防護在金融系統建設的實現通過TPM硬件級(或者虛擬芯片VTPM)底層加載實現信息系統可信白名單HASH碼證實從而實現對異常進程加載感知,相關技術設計框架如圖4所示。在安全防禦層面,技術方案即便在面對利用0Day漏洞或內部入侵已經取得ROOT權限後,根據可信鏈證實仍無法對系統進程進行非法啓動和程序修改[3,4,5]。在安全自動化方面,可信計算白名單由持續免疫系統通過分析該服務器的運維策略、運行語義自動生成,從而極大程度地降低了白名單的管理成本,減小了白名單人工管理的管理複雜度和潛在安全風險。最終能夠實現即便入侵者獲得了該服務器最高控制權,也無法加載用于實施破壞的惡意程序,如系統後門、病毒、滲透工具,從而極大程度地豐富了傳統邊界防護的安全模式。NRl顯卡之家

基于區塊鏈技术的可信金融安全运维解决方案DevSecOps介绍NRl顯卡之家

· 區塊鏈技术实现信息安全的防篡改与溯源NRl顯卡之家

实现对应金融关键信息系统基础设施的區塊鏈存储与溯源方案,能对在数据共享过程中的关键系统基础设施的关键数据进行基于區塊鏈的存证、传输。对于恶意篡改的关键数据能及时发现,对于虚假数据和非法篡改恶意数据能在使用过程中发现并及时修复。區塊鏈相关技术设计框架如图5所示。NRl顯卡之家

在数据收集阶段,用户数据被加密传输入區塊鏈中,以保障机密性和不可篡改性。用户同时指定数据处理契约,规定只有满足指定条件的可信处理应用才能在计算机运行环境中解密提取區塊鏈中的数据。其次,在数据承载与处理阶段,验证每一个数据处理应用的可信性,并确保该应用始终处于可信状态。协调各数据处理方和區塊鏈数据提供方的数据数据处理契约,制定可信数据访问策略,并依据策略授权可信应用解密并处理區塊鏈中数据。数据处理结果被加密存入區塊鏈中。在数据分发阶段,加密返回區塊鏈中数据处理结果,并同时返回可信审计记录。该记录都是基于區塊鏈进行使用,将显示在以上处理的全过程中关键行为以保证记录本身的不可篡改和有效可信。NRl顯卡之家

方案最終能夠實現信息系統DevSecOps過程中所有關鍵數據、審計信息無法被篡改。外部攻擊日志,惡意內部入侵與其渎職行爲的不可修改的記錄。NRl顯卡之家

基于區塊鏈技术的可信金融安全运维解决方案DevSecOps介绍NRl顯卡之家

上述區塊鏈存证和普通存证的区别主要体现在,區塊鏈存证是一个“去中心化”的分布式系统,通过自身分布式节点,结合共识机制、密码学、时间戳等技术进行数据的存储、验证、传递和交流,从而实现点对点传输、更加安全且不可篡改的特性,增强了金融关键数据的可信度。而普通存证只是将数据以备份的形式存放在传统中心服务器上,中心化的方式决定了其真实性无法自证,存在被篡改的风险。除了具备去中心化和防篡改的特性,區塊鏈还必须具有高吞吐能力。共识机制是制约區塊鏈吞吐能力的核心因素,当前主流共识算法主要有以下几类,分别是:NRl顯卡之家

1. POW算力挖矿:通过哈希碰撞来随机分配记账权,节点规模最大,但是吞吐率最低;NRl顯卡之家

2. POS和DPOS:基于权益分配记账权,可能出现权益高度集中的问题,而且目前分叉处理机制还不完善;NRl顯卡之家

3. BFT(拜占庭共识):安全高效但规模难保证。一般讲节点规模越大,则區塊鏈吞吐量越低。NRl顯卡之家

其中BFT拜占庭共識的特點是整個系統共同維護一個狀態,所有服務器采取一致的行動。一般包括3種協議:一致性協議、檢查點協議和視圖更換協議。系統正常運行在一致性協議和檢查點協議下,視圖更換協議則是只有在主節點出錯或者運行緩慢的情況下才會啓動,負責維系系統繼續執行客戶端請求的能力[6]。NRl顯卡之家

在分析当前共识算法后,针对金融行业私有链或联盟链,提出的方法针对存证的吞吐性能和故障处理来定制优化的BFT共识系统。具体实现为一方面基于可信计算选择足够规模的可信节点组作为参与BFT共识的超级节点;另一方面对BFT协议基于Zyzzyva策略[7]等进行优化,来提升區塊鏈存证的吞吐量性能。在本區塊鏈存证中BFT优化的主要流程如下:NRl顯卡之家

1. 没有错误节点时,主节点与共识节点达成一致并将成功账本结果返回给应用;NRl顯卡之家

基于區塊鏈技术的可信金融安全运维解决方案DevSecOps介绍NRl顯卡之家

2. 存在错误副本时,根据拜占庭共识返回账本结果,并修复错误副本。NRl顯卡之家

NRl顯卡之家

3. 主节点发生错误时NRl顯卡之家

啓動視圖改變,重新選擇好的主節點,然後進行共識;NRl顯卡之家

執行視圖改變,同時保證安全的恢複命令曆史;NRl顯卡之家

· 基于人工智能感知和预判信息安全事件NRl顯卡之家

隨著金融信息技術的發展積累了越來越多的數據,其中運維相關數據成爲了IT數據資産中的核心。對DevSecOps過程中的關鍵信息系統基礎設施的操作日志進行用戶行爲畫像(UEBA),能主動辨別用戶行爲屬性,及時識別內外風險;以用戶業務連續性、體驗和安全爲主,通過對整個金融運維系統全生命周期的采集、監控、分析、預測、總結,形成金融信息基礎系統的全鏈閉環的持續優化運維,相關技術框架如圖6所示。NRl顯卡之家

NRl顯卡之家

通过采用行业最佳实践知识,建立反向传递神经网络(Back Propagation Neural Network)和决策树、随机森林等机器学习算法进行结合,完成监督学习的最佳实践的金融信息基础系统的运维行为建模。能高效的转换行业已有经验,快速提升和训练出适合自己业务系统的运维智能模型,帮助金融基础信息系统在运维环节不断最佳实践的优化提升。NRl顯卡之家

采用深度學習和遷移學習相結合的方式,對目前具有噪音的海量金融信息基礎系統運維數據進行計算機的非監督學習分析,挖掘在已有行業經驗之外的深度高質量信息與策略。對信息系統的過去、現在、未來進行實時分析、總結、預測。研究通過人工智能、動態基線、雙模健康度、系統性能容量分析及預測、故障分析定位等技術手段輔助運維,解決行業目前普遍面臨的故障發現慢、定位難、預判能力差、容量管理難度大等系統運行難題,提高業務連續性與用戶體驗,降低系統故障帶來的損失。NRl顯卡之家

在運維行爲建模中如何選擇特征是個領域和工程問題,一般遵循以下流程來構建特征:NRl顯卡之家

· 任务的确定:根据具体业务确定要解决的问题;NRl顯卡之家

· 数据的选择:收集数据,整合数据;NRl顯卡之家

· 数据的预处理:数据格式化、清洗、采样;NRl顯卡之家

· 特征的构造:利用领域知识和工程化方法构造和选择特征;NRl顯卡之家

· 计算模型:通过模型计算得到模型在该特征上所提升的准确率;NRl顯卡之家

· 上线测试:通过在线测试的效果来判断特征是否有效。NRl顯卡之家

在確認了運維數據和應用場景(業務問題)後,如何建立一個預測模型能盡量的擬合數據,從而使得目標函數最優化則成爲了解決運維問題的關鍵。監督學習的預測模型可以是CNN、SVM、DT或隨機森林等。采用深度學習和遷移學習相結合的非監督學習分析,在不指明具體方向的情況下自行探索,發現事件隱含的特性並依據此將相關的事件聚類,總結出特征向量;發現事件與事件、事件與運維結果之間的隱性關聯,用于分析事件流和日志信息,從而找出異常的消息簇。這些異常可以與某項運維結果或者事件相聯系,從而分析出潛在的原因與症結[8]。NRl顯卡之家

提出的人工智能研究方法中運維行爲建模相關的數學描述和模型如下:NRl顯卡之家

NRl顯卡之家

深度學習相關的網絡結構如圖7所示:NRl顯卡之家

NRl顯卡之家

深度學習相關的代價函數:NRl顯卡之家

NRl顯卡之家

通過運維行爲建模和算法的優化,能夠對金融核心IT資産進行分析和預測,爲運維操作的合理性、安全性以及規範性提供新維度的補充。NRl顯卡之家

四、方案實施NRl顯卡之家

提出的DevSecOps全生命周期安全研究方案结合了可信计算、區塊鏈以及人工智能技术,结合公司原有自主研发监控运维平台实际建设情况,完成了东吴证券态势感知系统的开发与测试上线工作。NRl顯卡之家

东吴证券态势平台已经实现了测试环境以及生产内网系统的部署和监控,其中监控模块部署设备1000台以上,部署机房包括东吴核心主机房,同城灾备机房,交易所托管机房以及运营商机房。提出的區塊鏈驱动金融信息系统的可信安全研究实现了部分证券系统的可信防护、區塊鏈防篡改以及部分运维画像内容,相关功能如图8所示:NRl顯卡之家

NRl顯卡之家

可信防護範圍包含互聯網邊界的網上交易、手機炒股等核心系統等信息節點進行可信安全檢測,主動發現在金融數據共享傳輸過程中,發生在關鍵信息系統基礎設施的異常惡意工具或者進程。NRl顯卡之家

NRl顯卡之家

區塊鏈防篡改针对公司配置相关核心文件、对电子合同,对于恶意篡改的关键数据能及时发现,对于虚假数据和非法篡改恶意数据能在使用过程中发现,并能及时修复。區塊鏈运行环境本身又被可信计算进行保护,确保其运行的安全性。NRl顯卡之家

NRl顯卡之家

人工智能前期的運維畫像功能主要針對運維用戶操作以及系統日志進行UEBA分析,提取對應的數據,通過特定的采集層的流轉,序列化後進行大數據分析後提供操作和畫像的展示,並對異常結果進行預判和報警。NRl顯卡之家

NRl顯卡之家

綜合當前的應用落地,提出的研究方法主要實現了:NRl顯卡之家

· 创新性的把區塊鏈技术与可信安全技术相结合,应用在金融共享信息通讯系统中。以用户业务连续性、体验和安全为主。对于金融关键数据的传输、共享过程,把區塊鏈和可信安全技术作为数据载体。创新性的实现金融关键数据全生命周期的不可篡改、抵御恶意攻击、高鲁棒性,提升金融关键数据的可靠性与安全性;NRl顯卡之家

· 针对证券行业数据的特性,创新性的为區塊鏈技术提供了通讯和存储大容量非结构化和结构化的基础数据单元架构,可以把區塊鏈技术的透明、公正、安全、可靠、防篡改、去中心化等特征,普适性的应用在证券关键数据的共享与通讯的全生命周期中,可以从根本上提高金融关键数据的透明、可靠与安全性。NRl顯卡之家

· 结合证券行业特性,优化區塊鏈现有主流拜占庭共识算法,改善当前區塊鏈需要穷举或半数以上节点投票共识才能完成交易的高运算特性。借助可信安全技术和區塊鏈优化后的拜占庭共识算法相结合,创新的增加信誉系统的权重共识比例因子,大幅度减少區塊鏈节点信息的共识计算成本,加快區塊鏈上数据的传送速度。通过引入可信计算的机制,对传统區塊鏈节点赋予了信誉系统的因子,大量减少了共识节点的共识结算量,将传统區塊鏈执行时间提高了10倍以上。NRl顯卡之家

五、規劃與展望NRl顯卡之家

區塊鏈驱动的金融可信安全的研究提出了以新技术为技术基础的DevSecOps软件全生命周期安全实现体系,通过结合可信计算、區塊鏈以及人工智能用户行为画像等技术的相结合,在前期完成了软件生命周期中的开发代码溯源、核心运维配置防篡改、运维行为预警以及可信安全监控等部分阶段实现。通过对通讯的关键金融系统进行可信防护,针对安全数据进行全生命周期的去中心化、透明、公正、高鲁棒性、防篡改的加固,从根本上实现金融关键系统的安全与数据的恶意攻击、非法篡改、异常灾难影响的能力。NRl顯卡之家

根據研究方向在下一步的研究與開發計劃中,安全需求定義、威脅分級、安全培訓、安全編碼管理、可信配置管理、威脅模型分析、溯源代碼倉庫、安全開發框架、靜態分析、動態分析、攻擊測試、自動安全測試、安全監測、威脅情報分析、加固安全自動化驗證、滲透測試、資源安全防護、自動安全部署、可信日志審計、可信防護加固、漏洞掃描、安全反饋以及漏洞掃描等方面逐步開展相關研究與落地。同時規劃更多創新技術的使用,包括現有安全私鏈逐步對接行業聯盟鏈、蜜罐網技術的研究與落地、容器技術彈性防禦體系、全球威脅情報大數據分析等等。NRl顯卡之家
責任編輯;zlNRl顯卡之家

相關推薦