2018年8月3日，由中国互联网协会互联网金融工作委员会、金融科技创新联盟主办，由金融科技创新联盟金融网络安全专业委员会主任单位国泰君安证券股份有限公司承办的金融科技创新论坛（第八期）暨金融网络安全专业委员会第一次工作会议在上海国泰君安证券股份有限公司总部成功举办。

 

本次会议以“金融网络安全技术与挑战”为主题，360企业安全银行事业部行业技术总监赵梦虎就《数据驱动金融科技安全》作主题演讲。

 

以下为赵梦虎发言实录：

 

尊敬的各位领导，各位业界同仁，大家下午好！

 

接下来我演讲的主题是数据驱动金融科技安全2.0我们360公司主要的方向还是讲安全的，因为我们360主要是做安全方向的，我讲一下我们的理念。刚才在开篇的时候，听到陈静司长，也听到俞总这边关于很宏观的战略视角和分析都是偏大的，接下来我会找几个方向视角来切入讲讲我们这边对于咱们的主题，今天是FINTECH，金融科技，我们是怎么来看待金融科技的，我们认为金融科技里应该做哪几块的安全来提供更加可靠的环境。

 

我本人赵梦虎，我是从业于360企业安全集团的，因为今天大家知道，金融科技是很大的话题，它的范畴很广，可以说是趋近于无限大，今天时间有限，我着重讲一讲想传达的理念汇报给各位。如果哪块讲得不够深入，不够清楚，下来之后欢迎各位随时与我沟通。

 

第一页主要想陈述的是金融科技和安全的关系是什么样的，就回到刚才主题了，因为我们是做安全的，现在是新的时代，这幅图大家理论上都不陌生，很容易理解，我们一般的术语叫做云大物移，云计算、大数据、物联网、移动，移动科技、移动支付这些都是，这是新兴的技术。一般会带来新兴的挑战，恰好我们的金融科技现在非常非常火，非常非常成功，它底层的技术就是基于上面我所述新兴的技术。

 

在此之前，我看到一个新闻，就是咱们上海建设银行这边有一个无人银行，我估计本地很多的领导，咱们的行业朋友应该都去过，我一直想去看看，也一直没有机会。从我这么多年的从业经验来说，我个人觉得第一个无人银行从技术上来说，不见得一定是非常完美的，我相信还有很多的地方，大家觉得有点糙，这是很正常的，现在是有和无的问题。随着下一步的发展金融科技的兴起和技术不断地完善，它将来会越来越好，很重要的是现在它已经有了，这是非常重要的。

 

因为我们服务很多银行，我们都知道，每个大的银行都有自己非常强的安全体系和自己的安全理念。其实包括建设银行他们也是一样的。所以，在整个的金融科技里，我们应该如何做好安全，这是他们之前沟通过很多事情。

 

除此之外，包括现在的工总行也是，之前我们说银行是最安全的地方，两地三中心，最近工总行那边实现了同城双活的架构，我们在很多地方与很多的客户沟通这个方案怎么样实行，如何达到的情况。

 

所以我们可以看到金融科技背后的大量技术支撑，每一个技术要深究的话，都有它的安全隐患以及安全的挑战，应该如何去做。

 

从这里面，我们可以看到，随便举一个例子，比如云计算就是很新的技术，它给我们带来弹性的空间。云计算技术来自2007、2008、2009年，它的模式是亚马逊提出来的，最早是谷歌实现的。云计算之父，目前依然就职在谷歌，最早算太阳系统的CEO嘲笑谷歌的云计算系统就是拿胶带粘起来的技术，后来他们的帝国就是被这个交代粘起来的技术给推翻的，足见云计算是非常的强大。

 

传统网络采用传统的安全设备就可以做好防护，但是云计算架构不行。。因为它的数据交互方式发生根本的改变，因为都在云的主机里面，所以我们说它的变化不是来自于新的攻击的问题，而是新兴技术导致的功能失效，不是说功能不完善，它失效了，它什么都看不见了，根本就防不了。

 

那云计算问题怎么办？很多的东西都是这样的，大数据的安全，我最早是跟银行去聊，大概是2016年，他们说他们想了解大数据这块的安全技术，但是那时候很遗憾，那时候真的没有。我不知道在座的各位有没有知道的，那时候我们业界沟通了好多，确实没有很成熟的方案，直到2017年的ISC大会，我在展台来回走，我看到一个厂商他们她出了大数据安全方案，但是我们聊的话，很多还是在理念层面，很多还是在尝试层面，还没有真正的到商业的推广。

 

其实移动包括物联网都是一样的，移动经常提的概念就是BYOD，到现在我们基本不怎么提这个概念了。因为在移动的科技里有很多东西跟我们的理念是不一样的，我们金融科技今天的情况如何去做好安全？还有前面我要跟各位汇报的情况，左下角的图，我们以前比如说各位很多的CIO去做防护，我们防护好网络，保护好我们的服务器就OK了。随着今天越来越多的数字传媒，很多的传统企业，包括我们的服务为了便利，都会上越来越多的应用，那你应用越来越多，我们的数据资产就越来越多，这时候你防护的范围就越来越大，也就是说你的漏洞可能性就越来越大。

 

这是我们现在面临非常大的挑战，我们在实际情况与很多的客户聊的时候，要做好安全梳理它的资产，很多的客户说不知道自己有多少的资产，这是目前面临很大的一个群众性的挑战，属于大多数人都会遇到的，这种情况特别多，这都是我们当前面临非常大的问题。

 

可能我们觉得数字资产有那么重要吗？其他有很好的举例，刚才的嘉宾说到长城，中国的长城咱们叫万里长城，主要是为了防守北部的游牧民族。一定要修得特别长，因为我们中国太大了，从东到西，尤其是唐朝那时候更大。大家可能知道在英格兰的北部地区，还有一个长城叫哈德良长城，我们的长城是万里长城，大概是六千多公里，真的是一万两千多里，而那个长城长度约一百二十多公里，因为它岛国的宽度面儿小，所以只防很小的一面就可以了，这与我们现在的数字资产是一样的，你的数字资产越大、越宽，你越不好防护，我们对外暴露的东西就越多，这也是我们的安全隐患。

 

再除此之外就是我们右下角的边际有点模糊，我们要防护安全，在过去我们的理念是我放到互联网的出口、数据中心的出口对接的地方，今天我们可以想一下，一个从技术上，我们带着手机，我们有4G上网卡，我们去到哪个地方可以通过这个非常快地上网，我人已经进入这个区域了，我虽然不能连你的网线，也可以上网，通过U盘等各种途径都可以传进来，这是第一部分区域的模糊地带。

 

第二个就是我们的行政组织上，到现在为止我们属于高效的合作化，每个单位都有外包等等的措施，可能会导致有些数据的丢失。这不是说一定的，只是说风险，从风险的角度上来说。

 

所以，基于刚才的情况，包括云计算，包括流量有很多是不流出来的，所以导致我们现在要想防护我们的金融科技，要想做好安全，我们必须把我们的视角放在主要的问题上，抓主要的矛盾。

 

主要的矛盾有哪些呢？大概有几类，我们简单地称呼它，大盗、小偷、内鬼三类，比较好理解。

 

大盗就是APT，因为APT做了很多很多事件，其中有很多是盯着金融行业的我前几天刚给一个会议做汇报，包括APT等等的，大概有一个排名，除了政府，除了科研领域，第三大领域被攻击的就是我们的金融行业。所以，被盯得非常非常紧。这个APT就是其中之一，有很多APT是专门攻击金融领域，有的专门攻击银行，还有勒索人的，这个是大盗。

 

因为第一个都是面对的机构，第二个是面对个人了。我估计在座的各位都受到过这种骚扰，短信你转钱吧，我的账号、卡号变了，这有可能是通过运营商发过来的，还有可能通过伪基站，这个人骑着小车绕着周边几公里之内，你就会收到他的短信。这时候有一个网址，基本上一点就中招了，所以我们这个一般叫做小偷，其实再大一点的还包含了现在的羊毛党，薅羊毛。

 

第三个就是内鬼，一般就是我们有一些内部的成员跟外边的人里应外合把数据泄露，这样造成的损失，这是最主要的几类。

 

当然我说的也不全，我们就沿着刚才的原则，因为这个面太大了，主要就是来源于这三类。

 

接下来就是一个理念，360公司经常会有四大假设的论调，在很多的会上我们也会跟各位专家探讨，各位听一听是不是有这种情况在。

 

第一个是业务一定有未发现的漏洞。

 

第二个假设，一定有已发现但是未修补的漏洞。

 

第三个，业务已经被渗透，这是指已经被渗透我们还不知道。

 

第四个就是内部人员不可靠，因为内部人员的问题，我们之前已经出了很多事，我估计这个在座各位是认同的。

 

基于刚才的这些，我们经常来说我们自己比较重要的模型，这个模型是跟刚才李总他们发布的模型展示的是安全能力的叠加，它属于越往右能力越强，但是想强调的是它并不代表的左边没有用。咱们的左边比如架构安全、被动防御这些都是很重要的，它们是基础。有它们在，右边的这些技术基于左边的这些基础会越来越强，所以并不是一个淘汰的演进，它是一个叠加的演进。

 

最左边的架构安全，我们可以理解成我们不吃任何药，该靠强身健体去健身房锻炼。技术上比如我们的管理体系做好规划，做好安全领域划分一些最小的特权，然后加固，这样来强身健体，这是第一个。

 

第二块就是被动防御，我们寄希望于一些纯的安全设备，网络的、终端的由他们来帮我们做好安全。我们的目的是缩小攻击面，提升黑客，或者是一些有恶意的人他们的攻击成本，并不是把他们完全给挡住，能够防70%就是胜利了。

 

接下来第三个和第四个，我们都把它叫为比较主动的防御方式，这两个经常是连起来做的。积极防御主要靠的是人，人在里面该做持续监测和响应。在我们的客户里有好多专门成立了监测室24小时不换人的，持续地监测和响应，由人的参与来做好防控体系做得更加的完善。

 

但是只靠人又不行，我们必须有情报，就像过去的古战场的探子一样，有了情报，基本上我们就是稳操胜券了。

 

所以，积极防御，威胁情报是很重要，最右边的进攻反制，可以断网，把网给停到，比如网信可以把服务关停，还有国家这套，可以诉诸于法律，一般从技术手段我们不过多地考虑最右边。

 

我们这个场景大家估计都不陌生，这是一个电影的照片，就是一个案件线索墙，我觉得2000年左右，香港电影好多的破案悬疑都会看到这样的场景，ISC2017大会期间，我们请了华人神探李昌钰，我估计在座的各位对他都很熟，他当时排队售书，队都排到楼下了，人特别多，他也讲了当年破案的方法，总之我们在这里面第一我们能看到他收集了很多很多线索，因为每一条线索都可以只靠那一条线索，对于我们做大的破案没有帮助，我们一定需要线索很多，就像线索墙一样。

 

第二点，他可能还需要他的分析能力，如果只是有一墙的线索，可能换做非专业人员也许分析不出什么来，但是这个人可能是专家，他脑子里有很多的方式方法，有分析的模型，他就可以做到这一些。所以我们可以知道大数据是很重要的，情报很重要，模型很重要，方法很重要。

 

这个在无论是物理世界，还是虚拟的网络世界，这都是一样的，道理是相通的。

 

所以，说到我们的安全理念上，因为是做安全，很多时候跟破案是很类似的。很多时候当有一些被中招了，然后找我们能不能溯源一下查问题在哪，思路是非常的雷同。首先我们会想到数据驱动安全的大数据，有了这个大数据之后我们就可以做很多很多的事情，比如我们可以通过威胁情报和态势感知结合大数据，当威胁情报之后，我们知道我们抓的一个IP他是好还是不好，这个IP比如两个月前做过什么样的事情，我可以知道。态势感知是我知道我自己本身的问题在哪，比如说我哪块补丁没有打，哪块有漏洞，态势感知都可以告诉我。

 

除此之外，我结合大数据，大数据的来源非常多，海量的数据、业务的数据、中间件等等的数据可以去做建模，做好跟刚才的态势感知威胁情报做一个协同，这是我们大致的理念，跟刚才线索墙的破案方式是如出一辙的。

 

今天这个时代所面临的一些问题，也知道了我们的理念，针对于主要的一些问题点，大盗、小偷、内鬼我们应该分别怎么办。刚才说的大盗是APT组织非常多，最近应该也至少是几十个。因为有很多都是国际先发，有一小部分是自己首发的，我们就列一个很典型与我们行业有关系的。大家都熟知的我们跟行业相关的黄金眼，这是一个代号，对它的名字不见得一样，对于这个事基本都是雷同的。

 

我们看下面的组织，它的人是非常多，分成好多不同的小团队，它是一个APT组织，可以干很多的事情。首先组织里有写木马的，这个木马不是一般的木马，而是科技性非常强，基本上不弱于国家级的APT木马能力。测试是必要的，要不然什么事都办好了，木马不给力也达不到他们的目的。

 

第三个就是免杀测试、稳定性测试，因为现在的安全软件非常多，要保证最起码市面上常见的软件杀不了它。为什么稳定性很重要？大家知道一个APT的潜伏期大概是在少则几年，多则十几年，非常的厉害。我写的黄金眼首发是在2004年有的，但是我们第一次感知到这个木马是2016年，也就是说它潜伏了12年，大家可以想象到这个组织的坚固性和先进性非常的可怕。

 

除此之外还需要社会工程学，需要特定的人员其他能力的配套都能把这个事干成。

 

最后他们干成了，干得非常厉害。我们在这里面有一个大概简要的介绍，黄金眼整个行动最后的效果是实时地获取证券交易企业的核心数据，包括交易委托记录，基本上都有。除此之外怎么获利呢？就是长期地进行利率控制，然后读取数据，在资本市场自己可以去挣这个钱，随着大的形势去买进卖出，除此之外这个工作做得很好，还把自己的木马拿到黑市和暗网上去卖，也就是他们这段时间卖了很多钱。后来这个组织被发现之后，整个的过程大概分这么几步，检测、处置、取证、拓展、研判、回溯等等，一定要基于有大数据的能力和专业的人员才能分析出来。这里面情报很重要，我们用的右边这套标准情报，可以在八个维度上去做控制。

 

对于内鬼来说，内鬼一般是从内部，他可以查一些东西去卖，在金融里有一些信息是卖的，现在我们接到骚扰电话是定向地打电话，说明你的信息已经被贩卖了。我们怎么发现内部的人员呢？我们大概有几个方案，首先最左边的收集信息，然后从不同的维度上去分类这些信息，通过我们的不断优化规则、模型等等这样的技术分析出来可疑的行为，最后做成可疑的事件。他到最后发现的是违规查询征信接口，这就违反了内部的规定。

 

我说的这个方式在业界来说一般叫做UEBA，用户与实体行为分析，这是很重要的技术点，强调的是从不同的技术、不同的维度基于大数据，这边写的是数据湖以及数据仓储等等的东西，我们来实现最终的UEBA的效果。

 

基本上下来是四个步骤，第一个是数据的收集，第二块是数据画像、用户画像，他的画像是很必要的一步，因为只有你画像画得成功，才能真正到最后基于用户的行为，基于画像找到跟大众的行为不太一样的就是有问题的，我们基于时间维度、空间维度以及行为的情况来发现这个问题。

 

再就是通过机器学习的算法有基于内部的算法来发现不同的用户跟其他的大众用户之间的不一致性，最后果断地发现异常检测发现。

 

我们用户1、用户2、用户N，每一个用户的行为是不一样的、时间点是不一样的，但是如果有其他的大部分都不一致的，那很可能就是有问题的。

 

这是我们对于内鬼判断的方式，刚才我说我们一共有三个在FINTECH主要的问题点，咱们刚刚也大致解释了，无论你是薅羊毛的还是发伪基站的，实际上也要通过大数据的方式进行。首先有一些数据都有了，通过风控的规则、模型这些方式有一个大致的方向来走。

 

其实我们一般一说数据，大家想到的好比如硬件资产的数据、安全数据、基础服务数据等等日志都是有的。这些可能不一定达到很好的效果，比如我们十来年都在践行的SOC，但是最终的效果，大量存在误报，也缺少了人在里面登录的分析。所以，我们认为应该做更多维度的信息收集，就是包括我们可以看后边终端和网络以及业务，尤其是终端和网络，我们收集网络上面的数据，收集终端的行为数据，这个不同的维度，我们一般称呼网络的真相存在于终端和网络当中，所以我们这两个是非常非常重要的。

 

我们从那么多的数据当中来找我们的方式去分析它的共性在哪里，从技术的维度、数据的维度、人员的维度，找到合理的业务场景，从这里面推断到底哪些是正常的，哪些是非正常的，找到大家的共性所在。

 

防羊毛党的方式就是从这样的方式里来的，因为羊毛党里有大量的不太正常的访问，所以通过这种方式是比较容易的。

 

首先是数据的收集这是没有问题的，接下来是特征工程，很多的就是建模，你提取了哪些数据出来去做建模做成表，我们有用户行为的信息，业务事件的频率，注册多少次，交流多少次，很显然是有问题的，不是正常的用户，业务事件的异常度等等都有，所以包括登录的时间、地域等等都是有问题的。基于特征工程的提取，我们做出来一个模型可以筛选出来团伙、羊毛党等等的。

 

在互联网金融的一些企业可能是涉足比较多一些，因为经常会搞一些活动，这是对于羊毛党。

 

第二块就是反欺诈，经常有一些非本人交易的情况存在，我们对于这种情况怎么处理呢？现在没有一个百分之百能够解决的办法，但是我们正在从中不断地优化。现在我们的客户大银行里有非常成熟的模型，叫做规则引擎，可以防70%到80%的问题，而且速度非常快，我们要通过引入机器模型来发现潜在的欺诈行为，我们通过机器学习来学习就可以分析出来正常行为和非正常行为。

 

接下来是服务理念，我们到现在为止说安全就是我们可以去买服务、买安全模型回来，再到以后，一些走得比较靠前的客户他们的想法是非常的超前，他们不直接买市面上的模型拿回来用，因为他们自己的模式在改，可能很多的模型今年适用，明年不适用了，他们非常希望自己能不能开发模型，以后我们再招人，一定要招有科技背景的金融人，这种人来了之后，是可以自己去写脚本的，所以他就特别希望有这样一个平台，能够让我们自己在这个平台上自己去建模。

 

所以现在360也是基于这些需求，新的方向我们在做普惠模式的事，就是从服务精英到服务大众，将来让有一定脚本语言能力的人在这个平台上自己去开发他所需要的模型，这个客户不需要非常精深的技术能力，同时他懂技术、懂业务是特别难得的，就可以去做这件事了。

 

最后我这边还有两个理念的东西跟各位汇报，一个是大数据对于安全的重要性，这一页是互联网的公司在做安全的时候，实际上都是趋向于用大数据做的，数据本身做互联网本身就有数据的优势，只是这个数据本身是没有罪的，看这个数据怎么去用，保护数据的安全性。到现在为止，数据本身还是非常大的，我们通过大数据来做更好的情报也好，或者通过大数据的方式来辨别有问题的、可疑的行为，所以这是列了一些大数据的公司，有些排名在这。

 

除了大数据之外，还有一个理念就是人，我们在2017年讲到，万物皆变，人是安全的尺度，因为之前我们太强调技术了，到后来又强调的是大数据新兴的能力，再到后来我们发现所有的一切都离不开人。当时老周跟我讲，他去美国的公司去考察，本来那边的技术是非常强的，结果去到那边一看，发现那里有几百人的研究团队在那分析二进制的代码，到后来一打听才知道，那边有大量的都是靠人来分析出来的，所以今天完全没有一套技术能完全脱离开人的，人是安全的尺度，这是我们重新对人的一个定义。

 

也是基于这个，我们发现了很多很多问题，又有大盗又有小偷。小偷和内鬼都比较好画像，难的是大盗，它是一个组织是隐形的，它可以偷走你的数据，也可以毁掉你的应用，我们就通过一些技术抓到这些APT，就是通过我们人去做。

 

这里大家有熟悉的也有不熟悉的，海莲花、肚脑虫大家都熟悉，对于我们整个网络信息安全来说是离不开人的参与。

 

基本上内容就是这么多，谢谢各位。