面向云计算的零信任体系 第5部分：业务安全能力要求

1YD/Txxxxx—xxxx面向云计算的零信任体系第5部分：业务安全能力要求本文件规定了面向云计算零信任体系的业务安全能力要求，包括面向零信任的业务安全能力体系适用场景、业务安全总体架构、业务安全能力要求。本文件适用于服务提供商在提供业务安全服务时的功能设计、产品研制、能力评估，同时适用于用户在进行业务安全能力管理、对自身业务安全体系进行设计和评价时参照使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T32400-2015信息技术云计算概览与词汇3术语和定义下列术语和定义适用于本文件。一种通过网络将可神缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。保护业务系统正常逻辑免受被滥用或篡改，减少业务目的与业务结果产生不确定性的措施或手业务正常逻辑面临的被滥用或篡改的威胁，进而导致业务目的与业务结果产生不确定性的威胁产。nnW3画像层对业务数据进行积累汇总，经过数据清洗、加工、统计等操作，在账号、设备、IP、手机号、自然人、内容等多个维度形成了特征画像体系。同时从业务数据中提炼出自然人、账号、设备、手机号、IP等元素之间的关系，形成业务知识图谱。丰富的数据为后续算法层提供强大的特征支持。7.1判断验证模块判断验证模块包括用户判断、环境判断与业务逻辑判断三个部分，对业务数据中的人物、时间、地点、事件等具体信息进行刻画。a)用户判断：通过身份验证、人脸验证、语音验证、账号验证等用户判断模块，对用户进行多个维度的交叉验证。b)环境判断：通过设备指纹技术与用户的唯一设备id关联，实现对用户的设备环境、网络环境、地理位置等进行风险判断。e)业务逻辑判断：用户进入至具体的业务流程时，通过从用户的行为数据中提取出业务特征、用户偏好、用户行为序列等信息，对用户业务逻辑进行判断验证。7.2业务风险量化业务风险量化模型基于画像数据、用户判断维、环境判断维度、业务逻辑判断维度作为输入，对业务风险进行量化，主要包括以下类型：a)评分卡模型：又叫做信用评分卡模型，先将分箱后的原始数据进行特征工程变换，再使用线性模型建模，通常在信用风险评估以及金融风险控制领域中广泛使用；b)机器学习算法：是一类从数据中自动分析获得规律，并利用规律对未知数据进行预测的算法。己广泛应用于数据挖掘、计算机视觉、自然语言处理、生物特征识别、搜索引擎、医学诊断、检测信用卡欺诈、证券市场分析、DNA序列测序、语音和手写识别、战略游戏和机器人等领域e)深度学习：是机器学习的分支，是一种以人工神经网络为架构，对数据进行表征学习的算法。深度学习运用了层次抽象的思想，更高层次的特征从低层次的特征学习得到。这一分层结构常常使用贪心算法逐层构建而成，并从中选取有助于机器学习的更有效的特征。深度学习强大的高阶特征提取能力能帮助业务识别出复杂的业务欺诈模式：d)小样本学习：是机器学习的一个分支，专注于解决在数据缺少的情况下如何训练模型的问题，小样本学习能有效解决风控领域样本不足的问题e)无监督学习：也是机器学习任务的一种，它从无标记的训练数据中推断得出结论。无监督学习算法能不依赖历史样本，实现风险的自动感知能力f)图计算：是研究客观世界当中的任何事物和事物之间的关系，对其进行完整的刻划、计算和分析的一门技术。在业务风控领域能有效针对业务中存在的团伙欺诈、仿冒盗用等欺诈问题进行建模分析。8业务风险运营业务风险运营系统针对已识别的业务风险进行后续的运营操作，如风险策略、案件审核、风险处置、敏捷分析、监控告警、安全审计等。9业务安全能力要求9.1能力要求应遵循附录A。应遵循附录B。9.1.3信贷风控安全能力要求9.1.5钓鱼风控安全能力要求应遵循附录F。9.1.7私域业务安全能力要求应遵循附录G。日志管理对运行过程中产生的日志信息进行收集、存储、分析、检索和管理。a)应对相关安全事件生成安全日志，包括但不限于：1)登录成功和退出、登录失败3)鉴别连续尝试不成功的次数超出了设定的限值：4)增加、删除管理员角色和对管理员角色的属性进行修改的操作；5)对上述审计事件的备份和删除；7)检测操作。b)每一条安全日志应包括事件发生的日期、时间、用户标识、事件类型、事件描述和结果：c)若采用远程登录方式进行管理还应记录管理主机的地址：d)应提供下列安全日志管理功能：1)只允许授权管理员访问安全日志；5YD/Txxxxx—xxxX2)提供对安全日志的查询功能：3)授权管理员应能保存或删除安全日志：9.2.2用户管理用户管理对产品中的用户账户进行管理和维护。a)应支持添加、删除、激活、禁止人工审核用户和设备管理用户；b)应支持对用户设定标识、权限等安全属性：c)应在用户登录时进行鉴别：d)当用户鉴别尝试失败连续达到指定次数后，应对用户进行锁定：e)应具有登录超时锁定或注销功能产品升级是指对产品进行更新、升级或改进。a)应提供产品升级功能；b)应具有升级包校验机制，防止得到错误的或伪造的升级包。9.2.4安全要求安全要求是指在设计、开发、部署和维护产品时，为确保其安全性所提出的要求。a)应使用加密技术对在互联网上传输的重要数据进行加密，如使用HTTPS协议：b)远程运维时，应支持通过VPN、令牌等方式进行接入认证，维护(管理)操作数据应经过加密，禁止明文传输。9b)黑名单每条记录应由如下字段构成：e)应指定专人对黑名单进行管理(增加、删减、修改、导出等)。A.9白名单管理白名单管理对于产品的白名单管理能力进行要求。a)应支持手动添加/导入白名单：b)白名单每条记录由如下字段构成：e)应指定专人对白名单进行管理(增加、删减、修改、导出等)。A.10违规样本管理违规样本管理对于产品数据采集阶段的违规数据处理进行能力要求。a)应指定专人管理违规文本、图像、视频、音频样本库，管理内容包括导入、导出、修改、启用、停用违规样本：b)违规关键词类型应至少包括色情、暴恐、反动、涉政人员、欺诈；c)违规关键词应包含国语及少数民族语言文字：d)应建立违规图像收集机制，借助自学习、迭代过程，不断更新自身图像检测引擎，以使其能够与时俱进，适配新的违规图像；e)应支持常见语种(中、英、俄、法、日、韩)文字的识别：f)应建立舆情收集系统，对当前新出现的各类敏感话题、事件、人物、描述字眼等信息进行实施收集。A.11性能要求性能指标包括准确率、误判率、漏判率以及实时性，实验室指标参数见表A.1,生产环境下性能指标参数见表A.2。a)准确率，即正确判断违规内容的概率；准确率-正确判断为违规内容的数量/实际违规内容的数量b)误判率，即将合法内容判定为违规/疑似违规内容误判率-将合法内容误判为违规/疑似违规内容的数量/实际合法内容的数量e)漏判率，即将违规内容判定为合法内容：漏判率=将违规内容漏判为合法内容的数量/实际违规内容的数量d)实时性，即从旁路采集到展示给人工审核的时间不应超过5分钟，从提交封堵到完成封堵时间不应超过30秒。图像识别或图像识别YD/Txxxxx—xxxx(规范性)信贷安全能力要求功能要求是指在设计、开发或部署维护产品时所需具备的能力a)应具备识别贷款业务面临的欺诈风险的能力；b)应具备识别信用卡申请业务面临的欺诈风险的能力；e)应具备识别其他常见金融信贷相关业务面临的欺诈风险能力。识别能力指产品在进行信贷风险识别时的能力要求。a)应具备识别个人在信贷申请、信贷审核阶段的欺诈行为：b)应具备识别团伙在信贷申请、信贷审核阶段的欺诈行为：c)应具备识别企业在信贷申请、信贷审核阶段的欺诈行为；d)应具备对个人、团伙、企业贷后监控能力，包括信用恶化和借新还旧等。C.3.1身份及行为评估身份及行为评估指对于信贷交易过程中的用户等进行身份、行为评估的能力要求。a)应支持对信贷申请用户的基本信息进行评估，包括收入情况、负债情况等；b)应支持对信贷申请用户的信用进行评估，包括诈骗行为、失信行为、账号危险等级等：c)应支持对信贷申请用户的设备指纹进行评估，包括设备状态、地理位置、举止行为、客户环境等：d)应支持对信贷申请用户进行黑名单比对：e)应具备对接多家数据公司的技术能力；0应支持信贷申请用户关联人的身份及行为进行评估；g)应支持采用诈骗关联图语技术对信贷申请用户的信用进行评估。C.3.2反欺诈规则管理反欺诈规则管理指对于信贷中的反欺诈规则进行管理的能力a)应支持专人负责配置反欺诈规则的配置：b)应支持可视化配置规则，使技术人员、业务人员等均可参与：c)应支持可以通过界面修改规则参数，无需查看代码：d)应同时支持针对多款差异化的信贷产品设置差异化的反欺诈规则：e)应支持根据规则筛选结果和处置规则，转入人工审核、系统自动审核等后续环节；0应支持规则灵活配置，做到精细化管理；g)应支持规则的深度学习功能。C.3.3模型管理模型管理对于信贷风险中的模型技术能力进行要求。a)应具备构建模型的能力；b)应具备模型调优的能力；c)应具备通过机器学习技术构建模型的能力。C.3.4风险信息查询风险信息查询指对于信贷风险信息进行查询的能力要求。a)应建立欺诈信息库，提供设备欺诈、IP欺诈、账号欺诈、电话欺诈、身份欺诈、邮箱欺诈等风险查询：b)应建立高危账号库，提供邮箱密码安全、账号安全等信息查询：c)应支持第三方风险信息库的接入；d)应建立失信信息库，提供高法失信、网贷失信、信用不良记录、身份异常、企业经营异常等信息查询；e)应建立诈骗关联图谱，提供客户人物画像、欺诈关联图谱等信息查询。C.3.5设备指纹比对查询设备指纹比对查询指对于信贷过程中的设备指纹进行比对查询的能力a)应建立设备信息库，提供设备绑定、设备相似度、设备跨机构注册、设备跨机构用户等信息比对；b)应建立设备地理位置信息库，提供模式交易地区、可疑异地飞信、银行卡身份、手机用户身份等信息比对；c)应建立用户行为信息库，提供击键行为、键盘按压行为、输入间隔时间、大小写习惯、设备倾斜角度等信息比对；d)应建立设备环境信息库，提供IOS越狱、AndroidRoot、公共WIFI、疑似挂马应用、代理IP检测等信息对比：e)应支持第三方设备指纹信息库的接入。C.3.6黑名单管理黑名单管理对信贷过程中的黑名单进行要求。a)应建立信贷欺诈黑名单库b)应支持手动添加/导入黑名单；e)应指定专人对黑名单进行管理(增加、删减、修改、导出等)。性能指标对于信贷过程中的风控模型、风控服务进行要求。a)风控模型识别结果覆盖率不低于90%;b)风控模型KS不低于25:c)风控模型识别的TOP10%风险用户，LIFT值不低于2.5:d)风控模型按月观察PSI波动不超过0.1:e)风控服务并发量不低于100TPS;0风控服务平均时延不超过200ms。a)应提供7小时×24小时不间断的实时数据采集、检测和告警。C4.3可扩展性a)应方便扩展设备容量和提升设备性能；b)应均确保系统能平滑升级，即在不影响正常使用的条件下进行。YD/Txxxxx—xxxx附录D(规范性)功能要求是指在设计、开发或部署维护产品时所需具备的能力。a)应具备实时防御羊毛党批量操作领取平台福利的能力；b)应具备实时识别虚假订单的能力：c)应具备实时识别人机保护活动公平性的能力：d)应具备实时识别虚假流量的能力：e)应具备识别虚假注册的能力。D.2.数据识别数据识别对营销安全中的数据识别能力进行要求。a)应具备识别异常交易行为的能力；b)应具备识别设备指纹的能力；c)应具备识别欺诈手机、虚假手机号等的能力；e)应具备智能地址识别的能力。D.2.2规则管理规则管理对于营销安全中的规则管理进行要求。a)应支持将规则拆分成不同的子逻辑，对子逻辑可以单独管理；b)应支持每个具体的规则通过子逻辑的组合实现；c)应对规则进行版本化管理，规则的变更都需要通过版本的变化进行跟踪；d)应对规则管理权限进行最小化限制；e)应对规则上线进行管理：f应支持规则在通过测试和模拟后，才可进入生产环境进行上线运行：g)应支持上线中的规则只能查看，不能修改，以防范操作风险：h)应支持业务人员可以不依赖于技术人员自主配置规则：i)应支持规则参数可以通过界面自主调整，而非通过代码修改D.2.3管控策略管控策略对于营销安全中的管控策略进行要求。a)应支持业务人员对管控策略进行配置：b)应支持对存在疑似风险的营销进行暂时终止：c)应支持对暂时终止的营销进行二次验证：d)应支持对存在风险的营销进行冻结a)风控延时应小于100毫秒：b)单节点吞吐量不低于2500TPS:(同时处理的并发量):c)集群吞吐量不低于10000TPS.D.3.2可靠性要求a)应提供7小时×24小时不间断的实时数据采集、检测和告警。D.3.3可扩展性可扩展性对于营销安全中的扩展和升级能力进行要求。a)应方便扩展设备容量和提升设备性能：b)应均确保系统能平滑升级，即在不影响正常使用的条件下进行。性能要求对于钓鱼安全中的产品性能进行能力要求、a)侦测频率不低于2天一个周期：b)境内钓鱼网站、仿冒网站、侵权网站关停时间不超过24小时：c)境外钓鱼网站、仿冒网站、侵权网站关停时间不超过48小时：d)仿冒APP监测应用商城数量不低于400家、监测频率不低于1天一个周期、下架时间不超过48小时；e)仿冒公众号监测频率不低于1天一个周期、冻结时间不超过72小时。YD/Txxxxx—xxxx防伪溯源安全能力要求功能要求是指在设计、开发或部署维护产品时所需具备的能力a)应具备产码、发码、存码、验码能力；b)应具备湖源码不可被伪造穷举的能力：c)应具备溯源信息不可被伪造的能力：d)应具备实时通过溯源码反查产品信息，溯源信息能力。F2防伪湖源技术F2.1湖源码生成规则溯源码生成规则对于防伪溯源过程中的溯源码的生成进行能力要求。a)唯一性。通过生码算法产生的二维码标识需要具备唯一性，在算法规则不变的情况下能够保证30年内不能产生重复编码；b)无序性。二维码标识字符串不能呈现明显的规律，算法在较长时间内无法破解，以降低溯源码被批量仿制的风险；e)稀疏性。二维码标识字符串在算法值域上的分布尽可能分散，以降低通过猜测产生的序列号与由算法产生的序列号发生碰撞的概率：d)自校验。二维码标识字符串中应加入自校验信息，可通过自校验信息验证溯源码标识信息是否完整、合规：e)简明性。在满足以上要求的条件下，标识字符串长度尽可能简短，字符集支持QR码。F2.2基础管理基础管理对于溯源码的基础能力进行要求。a)应支持对称加密和非对称加密两种码包加密方式，以保证码包在传输过程的安全：b)应支持溯源码管理过程涉及的基础业务数据及其属性进行管理和维护，包括但不限于产品品牌、规格、物料、生产厂、车间、物流中心、工业仓库、商业仓库等：c)应支持系统中所涉及需求订单、生码作业单、码包等业务对象及关键软硬件进行编码管理F2.3产码发码产码发码对于溯源码的生产和分发环节进行能力要求a)应支持对溯源码生产计划进行管理，须包括但不限于年度生产计划管理、增补计划管理、计划执行管理、历史计划归档等功能；b)应支持溯源码需求订单管理，实现需求订单填报、审批等功能；c)应支持产码作业管理、产码调度管理、产码作业查询等功能：d)应支持码包的使用过程进行管理，包括上架、码包码包下载、异常申诉等功能。上报存码对于溯源码的上报进行能力要求。a)应支持生产流通过程中的成品下线、工业出库、商业入库、商零配送等溯源码状态及相关数a)应具备主流模拟器(x86架构)设备的识别能力：b)应具备云模拟器(ARM架构)设备的识别能力：c)应具备云手机(ARM架构)设备的识别能力；d)应具备无终端协议直接请求服务的识别能力。G.2.4风险账号识别风险账号识别对于私域安全中的风险账号识别环节进行能力要求。a)应具备虚拟运营商号码的识别能力：b)应具备识别养号的能力：e)应具备猫池号码的识别能力：d)应具备诈骗账号的识别能力；e)应具备虚假账号的识别能力；0应具备团伙众包账号的识别能力；g)应具备非常用账号的识别能力。G.2.5风险信息查询风险信息查询环节对于私域安全中的风险信息查询进行能力要求。a)应建立风险信息库，提供设备指纹、IP、账号、电话等维度的历史风险信息的查询能力：b)应支持第三方风险信息库的接入。G.3.1异常数据分析异常数据分析对于私域安全风控技术中的异常数据分析进行能力要求a)应具备更换设备操作的