省级农信互联网金融零信任架构设计和规划

文 / 湖南省农村信用社联合社信息科技部  张赢

随着数字化金融的建设进程加速，互联网金融领域网络安全面临着网络暴露面大幅增加、内外部威胁愈演愈烈、行业监管持续加强等挑战。传统的基于边界的网络安全架构捉襟见肘，零信任架构给出了新思路。本文立足于面向C端用户的互联网金融APP安全，引入零信任架构重构互联网金融安全体系。

互联网金融安全挑战

在互联网金融背景下，银行大量采用移动终端进行业务的开展和远程办公活动，大量移动终端的使用将引入更多的网络暴露面，在如今愈演愈烈的内外部威胁态势下，这些新增网络暴露面势必导致企业信息资产风险的持续加剧。另外，国家的法律法规，持续加强的行业监管也都是银行安全从业人员必须面对的课题，银行领域的互联网金融安全体系建设面临诸多不容忽视的挑战。

鉴于此，省级农信安全从业人员应该尽快转变安全思维，深度审视各类安全挑战的本质，体系化去思考和应对严峻的互联网金融安全挑战，利用零信任架构重塑互联网金融安全体系，其核心思想就是：默认情况下不应该信任任何网络内部和外部的任何人/设备/系统，需要基于动态认证和授权重构访问控制的信任基础。

互联网金融零信任架构设计的关键点

从业界实践来看，零信任架构是适合互联网金融APP安全场景的，但互联网金融APP安全又具有特殊性。在互联网金融安全场景下实施零信任架构，需要考虑如下几个关键点。

一是更低的性能占用。相比于PC终端，移动终端性能差距更大，作为通用型的安全解决方案，应考虑使用者移动终端的最低性能水平，在安全能力运行时不导致移动终端整机性能的可感知下降。

二是更小的侵入性。在互联网金融场景下，安全能力需面向使用群体更加庞大的C端客户，互联网金融APP安全方案需要考虑更小的侵入性。

三是收缩暴露面。在零信任架构中，省级农信部门可通过搭建统一的应用代理层将业务服务端隐藏，收缩暴露面。如遇攻击风险在应用代理层阻断相应的请求，不会影响其他应用正常运营。

四是重建网络空间访问主体。在互联网金融的零信任架构中，“访问主体”的概念被延伸，泛指人员、设备、应用的有机结合。因此，需要构建“人员、设备、应用”三者组成的“访问主体”。

五是持续评估，动态授权。在零信任架构中通过持续信任评估机制，采用大数据和机器学习技术对终端、访问行为、环境因素进行持续评估，动态地对访问主体进行信任评分。当访问主体的信任评分变化时，需要实时地对访问权限进行调整，实现风险闭环，最大限度缓解威胁可能导致的损失。

省级农信轻量级金融APP零信任平台建设探索

为迎接互联网金融时代的到来，省级农信未来会规划互联网金融安全体系的建设布局。为了满足各级法律法规和监管要求，满足省级农信互联网金融的业务发展需求，应对各种复杂的内外部威胁形式，需要构建基于“零信任”的轻量级金融APP零信任平台。

轻量级金融APP零信任平台基于零信任架构，由安全封装平台、可信大数据控制中心、应用代理网关组成，以设备、人员、应用三个维度构建“访问主体”，基于访问主体所处环境动态调整访问权限，最大限度地保障用户金融安全。

图  轻量级金融APP零信任平台组件架构

1.金融APP安全封装平台

互联网金融APP完成初始版本开发后，将APP安装包提交金融APP安全封装平台进行二次封装，二次封装过程中为金融APP注入各类安全能力，并输出封装加固后的APP安装包。封装后应具有如下安全能力。

一是APP隐私合规检测。根据《信息安全技术个人信息安全规范》《APP违法违规收集使用个人信息自评估指南》《APP违法违规收集使用个人信息行为认定方法》等相关标准，采用沙箱技术对提交的金融APP进行隐私获取合规检测。沙箱采用深度定制ROM为被测应用提供运行时环境，对应用运行过程中应用触发和第三方SDK触发的隐私获取、使用、存储、传输等行为进行识别。采用基于LDA词袋模型的自动化的分析技术对隐私政策协议文本进行内容分析，结合应用实际行为以及法律法规要求，能够自动化发现隐私协议中的超范围申明现象、隐私协议描述是否与应用行为一致、隐私协议中的不符合规范的其他条款、隐私协议是否按规范编写等问题。对未通过APP隐私获取合规检测的APP安装包退回应用开发部门，并提供整改建议，要求完成整改后再次提交。通过APP隐私获取合规检测的APP安装包将在注入各类安全能力后生成新的APP安装包。

二是安全沙箱。原始金融APP安装包被封装后，在移动终端上安装使用后将运行在自创建的安全沙箱运行环境里，当用户点击打开封装应用时，原始APP的所有操作均被沙箱环境所保护和控制，同时不会改变与影像用户的原有使用体验。安全沙箱对于原应用而言是一个无感知的虚拟运行环境，环境中的各类安全模块可以根据系统配置嵌入，与应用程序融为一体，以平台化的建设思路为应用不断完善与增强内生安全能力。

三是运行态自保护。运行态自保护基于安全沙箱向原金融APP注入的安全能力，实时监测、阻断攻击，使程序自身拥有自保护的能力。实现从静态防护、事件驱动，向动态防护、风险驱动、主动防御的转变。系统以全面的数据采集和强大的运算分析能力为依托，挖掘并预测每个应用的风险因子，并将风险因子上报可信大数据控制中心，由可信大数据控制中心分析做出访问决策。并且可信因子获取范围仅包含安全沙箱内部行为因子、与安全沙箱交互的OS行为因子、满足隐私合规的部分OS信息因子三部分，最大程度地减少对用户的侵入性。

四是移动终端环境感知。采用大数据分析和人工智能技术对用户、设备、环境属性进行感知和建模，实现设备风险和可信状态的持续度量。

2.可信大数据控制中心

可信大数据控制中心对接互联网金融应用系统、金融APP安全沙箱和应用代理网关集群，通过金融APP安全沙箱上报的各类风险因子计算每个账户的安全分值，并将安全分值反馈至互联网金融应用系统，由互联网金融应用系统根据安全分值进行细粒度的应用操作权限控制。当账户的安全分值降低至预定阈值之下时，向应用代理网关集群下发阻断指令，并向用户推送预定提示页面。

3.应用代理网关集群

应用代理网关以集群方式部署，并支持横向扩展，以应对互联网金融C端不断增长的访问压力。通过对业务访问的代理，将所有互联网金融应用隐藏于应用代理网关之后，并与互联网金融应用系统对接获取用户认证信息，由应用代理网关进行用户认证，并将通过用户认证的访问代理转发至互联网金融应用系统，实现所有未通过认证的访问均无法到达互联网金融应用系统的“先验证、后访问”模式。

应用代理网关与可信大数据控制中心对接，接收可信大数据控制中心指令实现高风险账户访问的阻断，并向用户推送预定提示页面。

思考与展望

省级农信轻量级金融APP可信保护平台是在互联网金融场景下面向C端客户提出的全新安全防护理念，适应性和创新性强，但业务的发展是动态的、快速的，网络安全形势也是持续演进的，网络安全建设必须和业务发展同步演进，据此提出如下几点思考。

1.用户体验与安全能力如何平衡

C端客户由于用户群体数量巨大，移动终端性能水平参差不齐，对安全防护能力的侵入性要求各不相同，相比企业内部所使用的移动安全防护措施，C端客户移动终端上仍有大量安全措施由于用户体验问题无法部署。

2.业务和安全建设需同步规划、同步推进

互联网金融时代需要汲取过去信息化和安全相互独立并行的教训，在战略规划之初，就将两者同步考虑和部署，只有这样，才能把握住互联网金融的浪潮，实现安全、平稳的互联网金融业务开展。

3.加强用户安全意识

互联网金融场景下，由于用户金融操作便利性大幅提升，个人金融安全事件数量不断攀升。如何通过互联网金融APP的各类提示、引导提升C端客户的安全意识是需要深入探讨的课题。

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。