?
華仁杰 張之浩 / 東吳證券股份有限公司
一、 提出的背景
隨著信息技術高速發展,信息化進程不斷推進,我國證券期貨金融的行業信息網絡基礎設施承載著本行業重要業務和經濟活動。目前金融領域關鍵基礎信息系統信息化程度高,智能化、網絡化程度迅速發展,對網絡的依賴性持續增強,一旦遭到攻擊破壞不僅可能導致大規模的財產損失,甚至可能威脅國家安全。2017年6月1日,《中華人民共和國網絡安全法》(以下簡稱網絡安全法)的發布則明確將服務商的重要網絡和信息系統統稱為關鍵信息基礎設施,將其納入國家重點保護范圍。這是我國首次在法律高度提出關鍵信息基礎設施概念,并對關鍵信息基礎設施保護提出具體要求。安全法的提出是我國在關鍵信息基礎設施保護方面取得的重大進步,將促進國家關鍵信息基礎設施網絡安全形成新局面。
我國證券期貨金融行業的信息系統在數據共享和通訊方面發展迅速,其承載的數據價值越來越高,如何有效通過安全手段保護核心數據成為了行業焦點。傳統的安全手段基于黑名單、病毒庫、特征庫或規則等方法來防止異常進程與惡意文件(比如病毒)的使用。這樣的方式確定性強,誤報率低,能很快確定具體異常行為。然而如果不知道異常行為或者惡意文件的樣本(比如0Day漏洞),就會因為沒有對應的病毒庫或特征庫而束手無策。另外一方面,傳統安全管理體系下,安全技術在軟件生命周期的參與往往關注在系統測試或上線運維階段,通過程序安全加固和外部入侵防御對開發完成的軟件進行保護,但卻忽略了需求、設計、開發等前期更為重要的環節。
為了解決上述傳統信息安全方式存在的問題,本研究旨在采用可信計算的白名單方法,通過結合區塊鏈和人工智能技術,保障金融數據在其完整生命周期內(收集、承載、處理與分發)的靜態安全性與動態安全性。研究的提出是為了響應網絡安全法的規定進行落地可行性方案的實施,在金融關鍵信息基礎設施的全生命周期建設方面覆蓋評估、預警、事件響應等多個環節流程的安全要求。基于更安全高效的持續軟件集成與交付DevSecOps [1] 的基礎上,切實可行的整合了防篡改與大數據分析技術,為金融關鍵信息基礎設施系統的關鍵數據建立可信的數據存證與傳輸,防止有惡意或者虛假數據在金融信息基礎設施中產生。
二、 解決思路
研究的實施主體針對目前的證券期貨金融系統的關鍵信息系統基礎設施,基于可信安全、人工智能、區塊鏈技術結合提出可信金融安全運維解決DevSecOps的方案。方案的提出要求信息安全建設要充分結合軟件全生命周期和敏捷開發的持續迭代與發布流程,將技術的自動化安全融入到DevOps過程當中,如下圖所示為Gartner提出的DevSecOps原型框架 [1] 。
圖1 DevSecOps框架
三、 技術方案
為了實現上述信息系統的全生命周期安全,需要考慮軟件需求、設計、開發、測試、發布、部署、運維和反饋環節中幾十類的安全實踐模塊設計,其中涉及到白名單檢測、數據防篡改、代碼溯源、動態安全分析等全新安全實踐,需要通過可信計算技術、區塊鏈技術以及人工智能技術實現如圖2所示的DevSecOps框架。
圖2 軟件全生命周期持續免疫
可信安全技術實現關鍵系統的安全可控
可信計算組織(TCG) [2] 組織把“可信計算”定義為:“可信計算”是指軟件和硬件能夠按照它們被設計的行為運行。對于物理平臺的完整性而言,可信計算技術提供了一種基于硬件的平臺完整性保護方案。通過可信計算能夠在信息系統的數據的共享和傳輸過程中,對所有信息節點進行可信安全檢測,主動發現在金融數據共享傳輸過程中,發生在關鍵信息系統基礎設施的異常惡意工具或者進程;對于物理平臺的完整性而言,可信計算技術提供了一種基于硬件的平臺完整性保護方案,以TCG組織提出的可信平臺模塊TPM為信任根,從主機上電開始,到BIOS啟動、GRUB及操作系統內核加載的整個過程中逐級建立信任鏈,通過完整性度量架構(Integrity Measurement Architecture, IMA)將信任鏈擴展到應用層,并借助遠程證實協議允許遠程用戶證實平臺的完整性,如圖3所示。而實現的可信安全監控可以被本地和遠程實體信任,實體包括用戶,軟件,實現了證券行業系統行為的完整性和系統的完整性。
圖3 可信計算引導流程 [3]
可信防護在金融系統建設的實現通過TPM硬件級(或者虛擬芯片VTPM)底層加載實現信息系統可信白名單HASH碼證實從而實現對異常進程加載感知,相關技術設計框架如圖4所示。在安全防御層面,技術方案即便在面對利用0Day漏洞或內部入侵已經取得ROOT權限后,根據可信鏈證實仍無法對系統進程進行非法啟動和程序修改 [3,4,5] 。在安全自動化方面,可信計算白名單由持續免疫系統通過分析該服務器的運維策略、運行語義自動生成,從而極大程度地降低了白名單的管理成本,減小了白名單人工管理的管理復雜度和潛在安全風險。最終能夠實現即便入侵者獲得了該服務器最高控制權,也無法加載用于實施破壞的惡意程序,如系統后門、病毒、滲透工具,從而極大程度地豐富了傳統邊界防護的安全模式。
圖4 可信防護技術實現框架
區塊鏈技術實現信息安全的防篡改與溯源
實現對應金融關鍵信息系統基礎設施的區塊鏈存儲與溯源方案,能對在數據共享過程中的關鍵系統基礎設施的關鍵數據進行基于區塊鏈的存證、傳輸。對于惡意篡改的關鍵數據能及時發現,對于虛假數據和非法篡改惡意數據能在使用過程中發現并及時修復。區塊鏈相關技術設計框架如圖5所示。
在數據收集階段,用戶數據被加密傳輸入區塊鏈中,以保障機密性和不可篡改性。用戶同時指定數據處理契約,規定只有滿足指定條件的可信處理應用才能在計算機運行環境中解密提取區塊鏈中的數據。其次,在數據承載與處理階段,驗證每一個數據處理應用的可信性,并確保該應用始終處于可信狀態。協調各數據處理方和區塊鏈數據提供方的數據數據處理契約,制定可信數據訪問策略,并依據策略授權可信應用解密并處理區塊鏈中數據。數據處理結果被加密存入區塊鏈中。在數據分發階段,加密返回區塊鏈中數據處理結果,并同時返回可信審計記錄。該記錄都是基于區塊鏈進行使用,將顯示在以上處理的全過程中關鍵行為以保證記錄本身的不可篡改和有效可信。
方案最終能夠實現信息系統DevSecOps過程中所有關鍵數據、審計信息無法被篡改。外部攻擊日志,惡意內部入侵與其瀆職行為的不可修改的記錄。
圖5 區塊鏈存證技術實現框架
上述區塊鏈存證和普通存證的區別主要體現在,區塊鏈存證是一個“去中心化”的分布式系統,通過自身分布式節點,結合共識機制、密碼學、時間戳等技術進行數據的存儲、驗證、傳遞和交流,從而實現點對點傳輸、更加安全且不可篡改的特性,增強了金融關鍵數據的可信度。而普通存證只是將數據以備份的形式存放在傳統中心服務器上,中心化的方式決定了其真實性無法自證,存在被篡改的風險。除了具備去中心化和防篡改的特性,區塊鏈還必須具有高吞吐能力。共識機制是制約區塊鏈吞吐能力的核心因素,當前主流共識算法主要有以下幾類,分別是:
1. POW算力挖礦,通過哈希碰撞來隨機分配記賬權,節點規模最大,但是吞吐率最低;
2. POS和DPOS,基于權益分配記賬權,可能出現權益高度集中的問題,而且目前分叉處理機制還不完善;
3. BFT(拜占庭共識),安全高效但規模難保證。一般講節點規模越大,則區塊鏈吞吐量越低。
其中BFT拜占庭共識的特點是整個系統共同維護一個狀態,所有服務器采取一致的行動。一般包括3種協議:一致性協議、檢查點協議和視圖更換協議。系統正常運行在一致性協議和檢查點協議下,視圖更換協議則是只有在主節點出錯或者運行緩慢的情況下才會啟動,負責維系系統繼續執行客戶端請求的能力 [6] 。
在分析當前共識算法后,針對金融行業私有鏈或聯盟鏈,提出的方法針對存證的吞吐性能和故障處理來定制優化的BFT共識系統。具體實現為一方面基于可信計算選擇足夠規模的可信節點組作為參與BFT共識的超級節點;另一方面對BFT協議基于Zyzzyva策略 [7] 等進行優化,來提升區塊鏈存證的吞吐量性能。在本區塊鏈存證中BFT優化的主要流程如下:
1. 沒有錯誤節點時,主節點與共識節點達成一致并將成功賬本結果返回給應用;
2. 存在錯誤副本時,根據拜占庭共識返回賬本結果,并修復錯誤副本。
3. 主節點發生錯誤時
啟動視圖改變,重新選擇好的主節點,然后進行共識;
執行視圖改變,同時保證安全的恢復命令歷史;
基于人工智能感知和預判信息安全事件。
任務的確定:根據具體業務確定要解決的問題;
數據的選擇:收集數據,整合數據;
數據的預處理:數據格式化、清洗、采樣;
特征的構造:利用領域知識和工程化方法構造和選擇特征;
計算模型:通過模型計算得到模型在該特征上所提升的準確率;
上線測試:通過在線測試的效果來判斷特征是否有效。
在確認了運維數據和應用場景(業務問題)后,如何建立一個預測模型能盡量的擬合數據,從而使得目標函數最優化則成為了解決運維問題的關鍵。監督學習的預測模型可以是CNN、SVM、DT或隨機森林等。采用深度學習和遷移學習相結合的非監督學習分析,在不指明具體方向的情況下自行探索,發現事件隱含的特性并依據此將相關的事件聚類,總結出特征向量;發現事件與事件、事件與運維結果之間的隱性關聯,用于分析事件流和日志信息,從而找出異常的消息簇。這些異常可以與某項運維結果或者事件相聯系,從而分析出潛在的原因與癥結 [8] 。
提出的人工智能研究方法中運維行為建模相關的數學描述和模型如下:
樣本輸入數據: 即對于維數是n的樣本數據,加上偏移量,x定義成n+1維向量。如果總共m個樣本數據,任意一個表示為 樣本輸出數據: ,即y是實數標量,任意一個樣本輸出表示為
參數: ,即n+1維向量(含n個輸入特征參數和1個偏移量),表示第j個特征的參數(j>0時)或者偏移量(j=0 時)。j=0,1,2,…n 。
假設函數:
表示線性回歸的:多重變量線性回歸。
表示邏輯回歸。
代價函數:
代價函數梯度:
參數迭代:
深度學習相關的網絡結構如圖7所示:
圖7 深度學習網絡結構
深度學習相關的代價函數:
通過運維行為建模和算法的優化,能夠對金融核心IT資產進行分析和預測,為運維操作的合理性、安全性以及規范性提供新維度的補充。
四、 方案實施
提出的DevSecOps全生命周期安全研究方案結合了可信計算、區塊鏈以及人工智能技術,結合公司原有自主研發監控運維平臺實際建設情況,完成了東吳證券態勢感知系統的開發與測試上線工作。
東吳證券態勢平臺已經實現了測試環境以及生產內網系統的部署和監控,其中監控模塊部署設備1000臺以上,部署機房包括東吳核心主機房,同城災備機房,交易所托管機房以及運營商機房。提出的區塊鏈驅動金融信息系統的可信安全研究實現了部分證券系統的可信防護、區塊鏈防篡改以及部分運維畫像內容,相關功能如圖8所示:
圖8 東吳態勢感知主界面
可信防護范圍包含互聯網邊界的網上交易、手機炒股等核心系統等信息節點進行可信安全檢測,主動發現在金融數據共享傳輸過程中,發生在關鍵信息系統基礎設施的異常惡意工具或者進程。
圖9 可信防護哈希校驗
區塊鏈防篡改針對公司配置相關核心文件、對電子合同,對于惡意篡改的關鍵數據能及時發現,對于虛假數據和非法篡改惡意數據能在使用過程中發現,并能及時修復。區塊鏈運行環境本身又被可信計算進行保護,確保其運行的安全性。
圖10 東吳安全區塊鏈模塊
人工智能前期的運維畫像功能主要針對運維用戶操作以及系統日志進行UEBA分析,提取對應的數據,通過特定的采集層的流轉,序列化后進行大數據分析后提供操作和畫像的展示,并對異常結果進行預判和報警。
圖11 東吳運維UEBA模塊
綜合當前的應用落地,提出的研究方法主要實現了:
創新性的把區塊鏈技術與可信安全技術相結合,應用在金融共享信息通訊系統中。以用戶業務連續性、體驗和安全為主。對于金融關鍵數據的傳輸、共享過程,把區塊鏈和可信安全技術作為數據載體。創新性的實現金融關鍵數據全生命周期的不可篡改、抵御惡意攻擊、高魯棒性,提升金融關鍵數據的可靠性與安全性;
針對證券行業數據的特性,創新性的為區塊鏈技術提供了通訊和存儲大容量非結構化和結構化的基礎數據單元架構,可以把區塊鏈技術的透明、公正、安全、可靠、防篡改、去中心化等特征,普適性的應用在證券關鍵數據的共享與通訊的全生命周期中,可以從根本上提高金融關鍵數據的透明、可靠與安全性。
結合證券行業特性,優化區塊鏈現有主流拜占庭共識算法,改善當前區塊鏈需要窮舉或半數以上節點投票共識才能完成交易的高運算特性。借助可信安全技術和區塊鏈優化后的拜占庭共識算法相結合,創新的增加信譽系統的權重共識比例因子,大幅度減少區塊鏈節點信息的共識計算成本,加快區塊鏈上數據的傳送速度。通過引入可信計算的機制,對傳統區塊鏈節點賦予了信譽系統的因子,大量減少了共識節點的共識結算量,將傳統區塊鏈執行時間提高了10倍以上。
五、 規劃與展望
區塊鏈驅動的金融可信安全的研究提出了以新技術為技術基礎的DevSecOps軟件全生命周期安全實現體系,通過結合可信計算、區塊鏈以及人工智能用戶行為畫像等技術的相結合,在前期完成了軟件生命周期中的開發代碼溯源、核心運維配置防篡改、運維行為預警以及可信安全監控等部分階段實現。通過對通訊的關鍵金融系統進行可信防護,針對安全數據進行全生命周期的去中心化、透明、公正、高魯棒性、防篡改的加固,從根本上實現金融關鍵系統的安全與數據的惡意攻擊、非法篡改、異常災難影響的能力。
根據研究方向在下一步的研究與開發計劃中,安全需求定義、威脅分級、安全培訓、安全編碼管理、可信配置管理、威脅模型分析、溯源代碼倉庫、安全開發框架、靜態分析、動態分析、攻擊測試、自動安全測試、安全監測、威脅情報分析、加固安全自動化驗證、滲透測試、資源安全防護、自動安全部署、可信日志審計、可信防護加固、漏洞掃描、安全反饋以及漏洞掃描等方面逐步開展相關研究與落地。同時規劃更多創新技術的使用,包括現有安全私鏈逐步對接行業聯盟鏈、蜜罐網技術的研究與落地、容器技術彈性防御體系、全球威脅情報大數據分析等等。
索引
[1] MacDonald, N., Head, I.: DevSecOps: How to Seamlessly Integrate Security Into DevOps. Technical report, Gartner (2016)
[2] Trusted computing group. http://www.trustedcomputinggroup.org .
[3] 華仁杰,張之浩,葛菊平,馮恂,阮安邦,“可信證券大數據平臺設計與實現”,《計算機工程與應用》,第53卷,142頁.
[4] RUAN, A., AND MARTIN, A. Repcloud: achieving fine-grained cloud tcb attestation with reputation systems. In Proceedings of the sixth ACM workshop on Scalable trusted computing (New York, NY, USA, 2011), STC ’11, ACM.
[5] RUAN, A., AND MARTIN, A. TMR: Towards a trusted mapreduce infrastructure. In Proceedings of the 2012 IEEE Eighth World Congress on Services (Washington, DC, USA, 2012), SERVICES ’12, IEEE Computer Society, pp. 141–148.
[6] 拜占庭系統技術研究綜述,軟件學報,2013,24(6):1346?1360
[7] Zyzzyva: Speculative Byzantine Fault Tolerance, Proceeding SOSP '07 Proceedings of twenty-first ACM SIGOPS symposium on Operating systems principles, Pages 45-58
[8] 機器學習在IT運維中的應用, InfoQ,2017-09-24
?
免責聲明
責任編輯:
