研究的實施主體針對目前的證券期貨金融系統的關鍵資訊系統基礎設施,基於可信安全、人工智慧、區塊鏈技術結合提出可信金融安全運維解決DevSecOps的方案。方案的提出要求資訊保安建設要充分結合軟體全生命週期和敏捷開發的持續迭代與釋出流程,將技術的自動化安全融入到DevOps過程當中,如下圖所示為Gartner提出的DevSecOps原型框架[1]。
為了實現上述安全建設框架,結合證券系統建設的實際情況,需要透過技術手段實現:
1.資訊保安在軟體生命週期的前置。將傳統的軟體測試與交付階段的資訊保安工作覆蓋到需求設計在內的全生命週期,IBM的統計資料表明產品在釋出後修復安全問題的成本是在設計階段解決成本的4到5倍,而在運維階段修復成本甚至超出100倍。
2.安全技術手段的自動化實現。為了能夠讓資訊保安監測有效開展,傳統制度和管理手段並不能有效實現資訊保安的全生命週期覆蓋,需要透過創新的技術手段實現全自動化安全加固。
3.持續安全態勢感知,而非固守傳統分析方法。面對實時變化的安全隱患與缺陷,只有結合歷史資料與當前狀態實時感知安全風險,這也對安全技術實現提出更高的要求。
根據上述原則,需要研究和建立一套以自主研發為核心的軟體全生命週期的持續免疫系統。研究的主要內容就是以主動安全免疫方法為基礎,結合敏捷開發與證券運維,在智慧持續交付運維的過程中實現基礎設施系統的持續監測和多資料來源分析。
建立自動化金融關鍵資訊系統基礎設施的程序白名單與使用者行為白名單,有效識別內外部威脅程序。及時辨別內外部的異常行為,有效發現入侵以及滲透工具的長期潛伏破壞,第一時間發現並及時處置內外部威脅。
對金融關鍵資訊基礎設施的關鍵資料進行區塊鏈技術的存證與傳輸,有效防止非法異常的惡意篡改與丟失,防止有虛假資料的產生。結合人性化的視覺化手段,最終研究出一個從防禦、檢測、響應、到預測於一體自適應、軟體全生命週期的安全解決方案。
三、技術方案
為了實現上述資訊系統的全生命週期安全,需要考慮軟體需求、設計、開發、測試、釋出、部署、運維和反饋環節中幾十類的安全實踐模組設計,其中涉及到白名單檢測、資料防篡改、程式碼溯源、動態安全分析等全新安全實踐,需要透過可信計算技術、區塊鏈技術以及人工智慧技術實現如圖2所示的DevSecOps框架。
· 可信安全技術實現關鍵系統的安全可控
可信計算組織(TCG)[2] 組織把“可信計算”定義為:“可信計算”是指軟體和硬體能夠按照它們被設計的行為執行。對於物理平臺的完整性而言,可信計算技術提供了一種基於硬體的平臺完整性保護方案。透過可信計算能夠在資訊系統的資料的共享和傳輸過程中,對所有資訊節點進行可信安全檢測,主動發現在金融資料共享傳輸過程中,發生在關鍵資訊系統基礎設施的異常惡意工具或者程序;對於物理平臺的完整性而言,可信計算技術提供了一種基於硬體的平臺完整性保護方案,以TCG組織提出的可信平臺模組TPM為信任根,從主機上電開始,到BIOS啟動、GRUB及作業系統核心載入的整個過程中逐級建立信任鏈,透過完整性度量架構(Integrity Measurement Architecture, IMA)將信任鏈擴充套件到應用層,並藉助遠端證實協議允許遠端使用者證實平臺的完整性,如圖3所示。而實現的可信安全監控可以被本地和遠端實體信任,實體包括使用者,軟體,實現了證券行業系統行為的完整性和系統的完整性。
可信防護在金融系統建設的實現透過TPM硬體級(或者虛擬晶片VTPM)底層載入實現資訊系統可信白名單HASH碼證實從而實現對異常程序載入感知,相關技術設計框架如圖4所示。在安全防禦層面,技術方案即便在面對利用0Day漏洞或內部入侵已經取得ROOT許可權後,根據可信鏈證實仍無法對系統程序進行非法啟動和程式修改[3,4,5]。在安全自動化方面,可信計算白名單由持續免疫系統透過分析該伺服器的運維策略、執行語義自動生成,從而極大程度地降低了白名單的管理成本,減小了白名單人工管理的管理複雜度和潛在安全風險。最終能夠實現即便入侵者獲得了該伺服器最高控制權,也無法載入用於實施破壞的惡意程式,如系統後門、病毒、滲透工具,從而極大程度地豐富了傳統邊界防護的安全模式。
· 區塊鏈技術實現資訊保安的防篡改與溯源
實現對應金融關鍵資訊系統基礎設施的區塊鏈儲存與溯源方案,能對在資料共享過程中的關鍵系統基礎設施的關鍵資料進行基於區塊鏈的存證、傳輸。對於惡意篡改的關鍵資料能及時發現,對於虛假資料和非法篡改惡意資料能在使用過程中發現並及時修復。區塊鏈相關技術設計框架如圖5所示。
在資料收集階段,使用者資料被加密傳輸入區塊鏈中,以保障機密性和不可篡改性。使用者同時指定資料處理契約,規定只有滿足指定條件的可信處理應用才能在計算機執行環境中解密提取區塊鏈中的資料。其次,在資料承載與處理階段,驗證每一個資料處理應用的可信性,並確保該應用始終處於可信狀態。協調各資料處理方和區塊鏈資料提供方的資料資料處理契約,制定可信資料訪問策略,並依據策略授權可信應用解密並處理區塊鏈中資料。資料處理結果被加密存入區塊鏈中。在資料分發階段,加密返回區塊鏈中資料處理結果,並同時返回可信審計記錄。該記錄都是基於區塊鏈進行使用,將顯示在以上處理的全過程中關鍵行為以保證記錄本身的不可篡改和有效可信。
方案最終能夠實現資訊系統DevSecOps過程中所有關鍵資料、審計資訊無法被篡改。外部攻擊日誌,惡意內部入侵與其瀆職行為的不可修改的記錄。
上述區塊鏈存證和普通存證的區別主要體現在,區塊鏈存證是一個“去中心化”的分散式系統,透過自身分散式節點,結合共識機制、密碼學、時間戳等技術進行資料的儲存、驗證、傳遞和交流,從而實現點對點傳輸、更加安全且不可篡改的特性,增強了金融關鍵資料的可信度。而普通存證只是將資料以備份的形式存放在傳統中心伺服器上,中心化的方式決定了其真實性無法自證,存在被篡改的風險。除了具備去中心化和防篡改的特性,區塊鏈還必須具有高吞吐能力。共識機制是制約區塊鏈吞吐能力的核心因素,當前主流共識演算法主要有以下幾類,分別是:
1. POW算力挖礦:透過雜湊碰撞來隨機分配記賬權,節點規模最大,但是吞吐率最低;
2. POS和DPOS:基於權益分配記賬權,可能出現權益高度集中的問題,而且目前分叉處理機制還不完善;
3. BFT(拜占庭共識):安全高效但規模難保證。一般講節點規模越大,則區塊鏈吞吐量越低。
其中BFT拜占庭共識的特點是整個系統共同維護一個狀態,所有伺服器採取一致的行動。一般包括3種協議:一致性協議、檢查點協議和檢視更換協議。系統正常執行在一致性協議和檢查點協議下,檢視更換協議則是隻有在主節點出錯或者執行緩慢的情況下才會啟動,負責維繫系統繼續執行客戶端請求的能力[6]。
在分析當前共識演算法後,針對金融行業私有鏈或聯盟鏈,提出的方法針對存證的吞吐效能和故障處理來定製最佳化的BFT共識系統。具體實現為一方面基於可信計算選擇足夠規模的可信節點組作為參與BFT共識的超級節點;另一方面對BFT協議基於Zyzzyva策略[7]等進行最佳化,來提升區塊鏈存證的吞吐量效能。在本區塊鏈存證中BFT最佳化的主要流程如下:
1. 沒有錯誤節點時,主節點與共識節點達成一致並將成功賬本結果返回給應用;
2. 存在錯誤副本時,根據拜占庭共識返回賬本結果,並修復錯誤副本。
3. 主節點發生錯誤時
啟動檢視改變,重新選擇好的主節點,然後進行共識;
執行檢視改變,同時保證安全的恢復命令歷史;
· 基於人工智慧感知和預判資訊保安事件
隨著金融資訊科技的發展積累了越來越多的資料,其中運維相關資料成為了IT資料資產中的核心。對DevSecOps過程中的關鍵資訊系統基礎設施的操作日誌進行使用者行為畫像(UEBA),能主動辨別使用者行為屬性,及時識別內外風險;以使用者業務連續性、體驗和安全為主,透過對整個金融運維繫統全生命週期的採集、監控、分析、預測、總結,形成金融資訊基礎系統的全鏈閉環的持續最佳化運維,相關技術框架如圖6所示。
透過採用行業最佳實踐知識,建立反向傳遞神經網路(Back Propagation Neural Network)和決策樹、隨機森林等機器學習演算法進行結合,完成監督學習的最佳實踐的金融資訊基礎系統的運維行為建模。能高效的轉換行業已有經驗,快速提升和訓練出適合自己業務系統的運維智慧模型,幫助金融基礎資訊系統在運維環節不斷最佳實踐的最佳化提升。
採用深度學習和遷移學習相結合的方式,對目前具有噪音的海量金融資訊基礎系統運維資料進行計算機的非監督學習分析,挖掘在已有行業經驗之外的深度高質量資訊與策略。對資訊系統的過去、現在、未來進行實時分析、總結、預測。研究透過人工智慧、動態基線、雙模健康度、系統效能容量分析及預測、故障分析定位等技術手段輔助運維,解決行業目前普遍面臨的故障發現慢、定位難、預判能力差、容量管理難度大等系統執行難題,提高業務連續性與使用者體驗,降低系統故障帶來的損失。
在運維行為建模中如何選擇特徵是個領域和工程問題,一般遵循以下流程來構建特徵:
· 任務的確定:根據具體業務確定要解決的問題;
· 資料的選擇:收集資料,整合資料;
· 資料的預處理:資料格式化、清洗、取樣;
· 特徵的構造:利用領域知識和工程化方法構造和選擇特徵;
· 計算模型:透過模型計算得到模型在該特徵上所提升的準確率;
· 上線測試:透過線上測試的效果來判斷特徵是否有效。
在確認了運維資料和應用場景(業務問題)後,如何建立一個預測模型能儘量的擬合資料,從而使得目標函式最最佳化則成為了解決運維問題的關鍵。監督學習的預測模型可以是CNN、SVM、DT或隨機森林等。採用深度學習和遷移學習相結合的非監督學習分析,在不指明具體方向的情況下自行探索,發現事件隱含的特性並依據此將相關的事件聚類,總結出特徵向量;發現事件與事件、事件與運維結果之間的隱性關聯,用於分析事件流和日誌資訊,從而找出異常的訊息簇。這些異常可以與某項運維結果或者事件相聯絡,從而分析出潛在的原因與癥結[8]。
提出的人工智慧研究方法中運維行為建模相關的數學描述和模型如下:
深度學習相關的網路結構如圖7所示:
深度學習相關的代價函式:
透過運維行為建模和演算法的最佳化,能夠對金融核心IT資產進行分析和預測,為運維操作的合理性、安全性以及規範性提供新維度的補充。
四、方案實施
提出的DevSecOps全生命週期安全研究方案結合了可信計算、區塊鏈以及人工智慧技術,結合公司原有自主研發監控運維平臺實際建設情況,完成了東吳證券態勢感知系統的開發與測試上線工作。
東吳證券態勢平臺已經實現了測試環境以及生產內網系統的部署和監控,其中監控模組部署裝置1000臺以上,部署機房包括東吳核心主機房,同城災備機房,交易所託管機房以及運營商機房。提出的區塊鏈驅動金融資訊系統的可信安全研究實現了部分證券系統的可信防護、區塊鏈防篡改以及部分運維畫像內容,相關功能如圖8所示:
可信防護範圍包含網際網路邊界的網上交易、手機炒股等核心系統等資訊節點進行可信安全檢測,主動發現在金融資料共享傳輸過程中,發生在關鍵資訊系統基礎設施的異常惡意工具或者程序。
區塊鏈防篡改針對公司配置相關核心檔案、對電子合同,對於惡意篡改的關鍵資料能及時發現,對於虛假資料和非法篡改惡意資料能在使用過程中發現,並能及時修復。區塊鏈執行環境本身又被可信計算進行保護,確保其執行的安全性。
人工智慧前期的運維畫像功能主要針對運維使用者操作以及系統日誌進行UEBA分析,提取對應的資料,透過特定的採集層的流轉,序列化後進行大資料分析後提供操作和畫像的展示,並對異常結果進行預判和報警。
綜合當前的應用落地,提出的研究方法主要實現了:
· 創新性的把區塊鏈技術與可信安全技術相結合,應用在金融共享資訊通訊系統中。以使用者業務連續性、體驗和安全為主。對於金融關鍵資料的傳輸、共享過程,把區塊鏈和可信安全技術作為資料載體。創新性的實現金融關鍵資料全生命週期的不可篡改、抵禦惡意攻擊、高魯棒性,提升金融關鍵資料的可靠性與安全性;
· 針對證券行業資料的特性,創新性的為區塊鏈技術提供了通訊和儲存大容量非結構化和結構化的基礎資料單元架構,可以把區塊鏈技術的透明、公正、安全、可靠、防篡改、去中心化等特徵,普適性的應用在證券關鍵資料的共享與通訊的全生命週期中,可以從根本上提高金融關鍵資料的透明、可靠與安全性。
· 結合證券行業特性,最佳化區塊鏈現有主流拜占庭共識演算法,改善當前區塊鏈需要窮舉或半數以上節點投票共識才能完成交易的高運算特性。藉助可信安全技術和區塊鏈最佳化後的拜占庭共識演算法相結合,創新的增加信譽系統的權重共識比例因子,大幅度減少區塊鏈節點資訊的共識計算成本,加快區塊鏈上資料的傳送速度。透過引入可信計算的機制,對傳統區塊鏈節點賦予了信譽系統的因子,大量減少了共識節點的共識結算量,將傳統區塊鏈執行時間提高了10倍以上。
五、規劃與展望
區塊鏈驅動的金融可信安全的研究提出了以新技術為技術基礎的DevSecOps軟體全生命週期安全實現體系,透過結合可信計算、區塊鏈以及人工智慧使用者行為畫像等技術的相結合,在前期完成了軟體生命週期中的開發程式碼溯源、核心運維配置防篡改、運維行為預警以及可信安全監控等部分階段實現。透過對通訊的關鍵金融系統進行可信防護,針對安全資料進行全生命週期的去中心化、透明、公正、高魯棒性、防篡改的加固,從根本上實現金融關鍵系統的安全與資料的惡意攻擊、非法篡改、異常災難影響的能力。
根據研究方向在下一步的研究與開發計劃中,安全需求定義、威脅分級、安全培訓、安全編碼管理、可信配置管理、威脅模型分析、溯原始碼倉庫、安全開發框架、靜態分析、動態分析、攻擊測試、自動安全測試、安全監測、威脅情報分析、加固安全自動化驗證、滲透測試、資源安全防護、自動安全部署、可信日誌審計、可信防護加固、漏洞掃描、安全反饋以及漏洞掃描等方面逐步開展相關研究與落地。同時規劃更多創新技術的使用,包括現有安全私鏈逐步對接行業聯盟鏈、蜜罐網技術的研究與落地、容器技術彈性防禦體系、全球威脅情報大資料分析等等。
索引
[1] MacDonald, N., Head, I.: DevSecOps: How to Seamlessly Integrate Security Into DevOps. Technical report, Gartner (2016)
[2] Trusted computing group. http://www.trustedcomputinggroup.org.
[3] 華仁杰,張之浩,葛菊平,馮恂,阮安邦,“可信證券大資料平臺設計與實現”,《計算機工程與應用》,第53卷,142頁.
[4] RUAN, A., AND MARTIN, A. Repcloud: achieving fine-grained cloud tcb attestation with reputation systems. In Proceedings of the sixth ACM workshop>
[5] RUAN, A., AND MARTIN, A. TMR: Towards a trusted mapreduce infrastructure. In Proceedings of the 2012 IEEE Eighth World Congress>[6] 拜占庭系統技術研究綜述,軟體學報,2013,24(6):1346−1360
[7] Zyzzyva: Speculative Byzantine Fault Tolerance, Proceeding SOSP '07 Proceedings of twenty-first ACM SIGOPS symposium>[8] 機器學習在IT運維中的應用, InfoQ,2017-09-24
本文選自《交易技術前沿》總第三十四期文章(2019年3月)
作者:華仁杰 張之浩 / 東吳證券股份有限公司
