中國(guó)移動(dòng)陜西公司（以下簡(jiǎn)稱(chēng)陜西移動(dòng)）作為陜西省最大的通信運(yùn)營(yíng)企業(yè)，擁有超過(guò)2700萬(wàn)各類(lèi)用戶(hù)，業(yè)務(wù)范圍涵蓋無(wú)線通信、固網(wǎng)通信、寬帶、數(shù)字業(yè)務(wù)、政企業(yè)務(wù)等數(shù)百種，積累了海量的運(yùn)營(yíng)數(shù)據(jù)。為保障運(yùn)營(yíng)數(shù)據(jù)的安全，防止數(shù)據(jù)泄露，尤其是含有敏感信息的業(yè)務(wù)數(shù)據(jù)泄露，陜西移動(dòng)建設(shè)了一整套數(shù)據(jù)安全管控體系，通過(guò)數(shù)據(jù)應(yīng)用安全、存儲(chǔ)和處理安全、數(shù)據(jù)采集安全、基礎(chǔ)安全管理、基礎(chǔ)設(shè)施管理五位一體協(xié)同保障信息系統(tǒng)的安全管理。隨著4G、高速寬帶、政企業(yè)務(wù)的快速發(fā)展，接入核心數(shù)據(jù)系統(tǒng)的信息點(diǎn)越來(lái)越多，日常運(yùn)維及安全監(jiān)控工作的難度也越來(lái)越大。2017年，在國(guó)家“十三五”信息安全技術(shù)提升要求和移動(dòng)集團(tuán)關(guān)于數(shù)據(jù)安全保障的需求下，陜西移動(dòng)積極推進(jìn)信息系統(tǒng)行為安全審計(jì)體系建設(shè)，順利完成系統(tǒng)部署及實(shí)施。

一、行為安全審計(jì)平臺(tái)建設(shè)背景

目前陜西移動(dòng)在安全審計(jì)領(lǐng)域，基于審計(jì)策略分析結(jié)果日志，利用審計(jì)流程已實(shí)現(xiàn)了審計(jì)任務(wù)下派、填報(bào)和審核。但由于業(yè)務(wù)支撐系統(tǒng)比較復(fù)雜，業(yè)務(wù)變更審計(jì)系統(tǒng)不易及時(shí)更新，使得業(yè)務(wù)支撐系統(tǒng)的業(yè)務(wù)配置規(guī)則難度較大，審計(jì)策略分析結(jié)果不夠嚴(yán)謹(jǐn)，分析結(jié)果數(shù)據(jù)不夠細(xì)致，不能直觀發(fā)現(xiàn)違規(guī)操作行為，不能準(zhǔn)確進(jìn)行人員定責(zé)。為統(tǒng)籌解決以上問(wèn)題，改善公司行為安全審計(jì)短板，加強(qiáng)安全信息管控力度，公司吸收了國(guó)內(nèi)外最新安全審計(jì)理論與經(jīng)驗(yàn)，以大數(shù)據(jù)技術(shù)和大數(shù)據(jù)審計(jì)方法論為指導(dǎo)，將OLAP、數(shù)據(jù)挖掘、智能分析等技術(shù)引入安全審計(jì)工作，實(shí)現(xiàn)實(shí)時(shí)審計(jì)告警、風(fēng)險(xiǎn)關(guān)口前移以及審計(jì)全生命周期自動(dòng)化管理。實(shí)現(xiàn)審計(jì)方式由傳統(tǒng)審計(jì)的事后審計(jì)、周期審計(jì)向連續(xù)審計(jì)轉(zhuǎn)變，審計(jì)抽樣開(kāi)始系統(tǒng)化、模塊化、智能化，并開(kāi)始具有預(yù)測(cè)功能，而樣本最終將擴(kuò)展至全體數(shù)據(jù)，進(jìn)一步促進(jìn)審計(jì)成果的轉(zhuǎn)化與應(yīng)用，從而對(duì)審計(jì)風(fēng)險(xiǎn)進(jìn)行端到端的管理和監(jiān)控。

二、行為安全審計(jì)平臺(tái)架構(gòu)及關(guān)鍵技術(shù)

（一）系統(tǒng)架構(gòu)

行為安全審計(jì)項(xiàng)目建設(shè)小組（以下簡(jiǎn)稱(chēng)項(xiàng)目組）通過(guò)仔細(xì)研究集團(tuán)安全管理規(guī)范，參考業(yè)界前沿的安全技術(shù)手段，結(jié)合多年來(lái)在安全管理方面的經(jīng)驗(yàn)，提出平臺(tái)建設(shè)四部曲——以“支撐—內(nèi)容—要點(diǎn)—目標(biāo)”為層進(jìn)體系的行為安全審計(jì)平臺(tái)建設(shè)體系，如圖1所示。該體系以組織架構(gòu)和安全審計(jì)框架為支撐點(diǎn)，重點(diǎn)面向業(yè)務(wù)部門(mén)，并以業(yè)務(wù)部門(mén)的實(shí)際工作為落腳點(diǎn)，建立安全審計(jì)框架，以保證建設(shè)成果與業(yè)務(wù)緊密結(jié)合，使效果落在實(shí)處。一期建設(shè)重點(diǎn)關(guān)注金融積分類(lèi)、客戶(hù)信息類(lèi)、高危業(yè)務(wù)類(lèi)、風(fēng)險(xiǎn)行為類(lèi)四大類(lèi)行為20余個(gè)點(diǎn)的行為審計(jì)常態(tài)化監(jiān)控預(yù)警體系，重點(diǎn)對(duì)業(yè)務(wù)差錯(cuò)、業(yè)務(wù)真實(shí)性、業(yè)務(wù)合規(guī)性、異動(dòng)合規(guī)性等進(jìn)行安全審計(jì)，確保行為操作合規(guī)，杜絕行為風(fēng)險(xiǎn)，實(shí)現(xiàn)業(yè)務(wù)真實(shí)、資金到賬安全可靠、風(fēng)險(xiǎn)防范有據(jù)可依的業(yè)務(wù)目標(biāo)。

（二）關(guān)鍵技術(shù)

1.基于行為全生命周期的“信息熵”評(píng)判技術(shù)。在行為安全體系及行為安全平臺(tái)建設(shè)中，項(xiàng)目組在實(shí)踐集團(tuán)規(guī)范的同時(shí)，積極吸收業(yè)界最新行為安全理論與安全技術(shù)，并將最新理論技術(shù)運(yùn)用到實(shí)踐中。由于安全行為是由數(shù)十種安全指標(biāo)組成，傳統(tǒng)的安全指標(biāo)計(jì)算都是通過(guò)多維度進(jìn)行分析，缺乏整體的行為安全評(píng)估值，多維度的安全評(píng)估值有時(shí)還會(huì)對(duì)整體的安全形勢(shì)造成誤判?；诖?，項(xiàng)目組引入“信息熵”理論，通過(guò)趨同理論和疏遠(yuǎn)理論進(jìn)行綜合計(jì)算，得到具體時(shí)刻行為主體的“歸一化信息熵”值，從而構(gòu)建基于熵體系的全生命周期“熵”曲線，進(jìn)行持續(xù)、全面、實(shí)時(shí)的審計(jì)實(shí)踐，提升了行為審計(jì)效率。根據(jù)“信息論之父”香農(nóng)對(duì)信息熵的定義，信息熵是系統(tǒng)復(fù)雜度綜合衡量值，是排除了冗余后的平均信息量，并將該綜合衡量值稱(chēng)為信息熵。香農(nóng)定義并給出了“信息熵”的計(jì)算公式：

針對(duì)行為安全領(lǐng)域，項(xiàng)目組借鑒信息熵的計(jì)算方法，提出如下行為安全信息熵算法：

第一步：確定使用信息熵的場(chǎng)景。在一定時(shí)期內(nèi)實(shí)施有限頻次的審計(jì)，為了更好地發(fā)現(xiàn)異常行為，項(xiàng)目組建立了用戶(hù)行為綜合畫(huà)像，每個(gè)畫(huà)像包含60-80個(gè)行為特征項(xiàng)，對(duì)具體畫(huà)像的指標(biāo)進(jìn)行權(quán)重定義。

第二步：形成信息熵。利用信息熵理論和行為特征數(shù)據(jù)，自動(dòng)篩選出最有價(jià)值的行為特征項(xiàng)。特征項(xiàng)的信息熵越大，表示其特征項(xiàng)取值表現(xiàn)出相同或相近的特點(diǎn)（平均概率），即行為趨同，差異性小，該特征項(xiàng)對(duì)行為測(cè)算的參考作用就越小?？赏ㄟ^(guò)行為特征項(xiàng)的信息熵來(lái)確定特征項(xiàng)在行為分群計(jì)算中的風(fēng)險(xiǎn)度。通過(guò)對(duì)行為安全的信息熵進(jìn)行分析，針對(duì)安全領(lǐng)域風(fēng)險(xiǎn)進(jìn)行探測(cè)。

圖1 行為安全審計(jì)系統(tǒng)架構(gòu)

2.多模型復(fù)合審計(jì)技術(shù)。在具體的審計(jì)實(shí)踐中，行為安全審計(jì)系統(tǒng)引入多模型審計(jì)技術(shù)，通過(guò)把握不同模型的技術(shù)特征，將業(yè)務(wù)模型運(yùn)用到同一數(shù)據(jù)源不同的時(shí)序階段中，并對(duì)計(jì)算結(jié)果進(jìn)行交集或并集計(jì)算（擬合），使輸出結(jié)果更為精確，周界更為清晰。如圖2所示，傳統(tǒng)的針對(duì)行為特點(diǎn)進(jìn)行整合分析，運(yùn)用K-Means算法來(lái)進(jìn)行聚類(lèi)分析后進(jìn)行結(jié)果輸出。該方法無(wú)法對(duì)噪音數(shù)據(jù)進(jìn)行排除，數(shù)據(jù)邊界也不清晰。改進(jìn)后的安全審計(jì)模型則是在運(yùn)用K-Means算法的基礎(chǔ)上融合DBSCAN算法，能夠有效地去除“白噪音”，更精準(zhǔn)地輸出結(jié)果數(shù)據(jù)，并對(duì)周界進(jìn)行判定。基于雙算法模型理論，對(duì)營(yíng)業(yè)員操作CRM系統(tǒng)的敏感行為進(jìn)行審計(jì)，過(guò)程及結(jié)果如圖3所示。

圖2 雙算法模型初篩結(jié)果復(fù)合示意圖

圖3 雙算法模型對(duì)操作頻次安全審計(jì)結(jié)果分析

3.基于AI的安全探測(cè)引擎。為使行為安全審計(jì)平臺(tái)更智能，使用更便捷，項(xiàng)目組在開(kāi)發(fā)過(guò)程中引入人工智能（AI）技術(shù)。通過(guò)事件掃描，動(dòng)態(tài)推理、啟發(fā)分析，構(gòu)建安全探測(cè)引擎，實(shí)現(xiàn)行為安全審計(jì)與人工智能技術(shù)的結(jié)合。AI安全探測(cè)引擎及運(yùn)行保障流程如圖4所示。AI安全探測(cè)引擎工作流程包括執(zhí)行流程和保障流程：（1）AI行為探測(cè)引擎執(zhí)行流程。探測(cè)引擎先對(duì)審計(jì)事件進(jìn)行綜合掃描，形成特征審計(jì)事件，而后運(yùn)用動(dòng)態(tài)推理機(jī)對(duì)特征事件進(jìn)行綜合解析，接著由啟發(fā)式分析機(jī)對(duì)解析結(jié)果做出判斷，預(yù)測(cè)用戶(hù)接下來(lái)的行為，并在交互式頁(yè)面進(jìn)行提示。（2）AI行為探測(cè)引擎保障流程。為保障探測(cè)引擎的精準(zhǔn)運(yùn)行，設(shè)計(jì)了模型設(shè)計(jì)、ETL作業(yè)及調(diào)度、數(shù)據(jù)質(zhì)量把控、時(shí)間窗等關(guān)鍵保障流程，通過(guò)對(duì)數(shù)據(jù)運(yùn)行、模型運(yùn)行、質(zhì)量保障、運(yùn)行調(diào)度進(jìn)行統(tǒng)一監(jiān)控與統(tǒng)一調(diào)度，實(shí)現(xiàn)探測(cè)引擎的安全穩(wěn)定、持續(xù)可靠運(yùn)行。相比傳統(tǒng)審計(jì)電子流，AI審計(jì)引擎具有兩個(gè)優(yōu)勢(shì)：一是將原有的知識(shí)庫(kù)“被動(dòng)查詢(xún)”演進(jìn)為“主動(dòng)匹配”。數(shù)據(jù)在處理過(guò)程中，根據(jù)解析后的字段及目標(biāo)，知識(shí)庫(kù)能夠通過(guò)掃描字段及參數(shù)，主動(dòng)給出具體的適配模型，并通過(guò)血緣關(guān)系組件給出其他參考知識(shí)。該技術(shù)極大地簡(jiǎn)化了審計(jì)人員的操作復(fù)雜度，使平臺(tái)更易用。二是在日志信息處理流程中，引入工作流程與保障流程相結(jié)合的雙運(yùn)行機(jī)制。由于日志審計(jì)業(yè)務(wù)量大，數(shù)據(jù)采集廣泛，使用人員眾多，缺乏保障流程會(huì)對(duì)數(shù)據(jù)處理造成干擾，甚至造成頁(yè)面崩潰等問(wèn)題。保障流程能夠?qū)κ录鞯奶幚硇蛄羞M(jìn)行全程保障，避免集中數(shù)據(jù)頻繁操作造成頁(yè)面假死等問(wèn)題，提升了使用體驗(yàn)。

三、行為安全審計(jì)平臺(tái)應(yīng)用成效

目前平臺(tái)已逐步替代原有人工行為安全審計(jì)模式，按計(jì)劃自動(dòng)執(zhí)行安全審計(jì)。為提升系統(tǒng)的應(yīng)用范圍，提高系統(tǒng)的可用性，系統(tǒng)增加了自助審計(jì)報(bào)告構(gòu)建、審計(jì)結(jié)果回溯等新功能，極大地方便了業(yè)務(wù)部門(mén)在業(yè)務(wù)安全方面的使用體驗(yàn)，展現(xiàn)了系統(tǒng)先進(jìn)的設(shè)計(jì)理念和良好的擴(kuò)展性能。

圖4 AI安全探測(cè)引擎及運(yùn)行保障流程

圖5 陜西移動(dòng)行為安全審計(jì)平臺(tái)風(fēng)險(xiǎn)畫(huà)像描述

在日志審計(jì)方面，系統(tǒng)構(gòu)建了基于充值繳費(fèi)、詳單查詢(xún)等7類(lèi)風(fēng)險(xiǎn)主題，并基于風(fēng)險(xiǎn)行為固化了14項(xiàng)風(fēng)險(xiǎn)模型。上線以來(lái)，成功識(shí)別風(fēng)險(xiǎn)5000余例，涉及安全風(fēng)險(xiǎn)金額850多萬(wàn)元，督導(dǎo)修正風(fēng)險(xiǎn)流程11例，挽回行為風(fēng)險(xiǎn)損失約300萬(wàn)元，并協(xié)助相關(guān)業(yè)務(wù)部門(mén)核查違規(guī)操作23例，協(xié)助修訂系統(tǒng)操作手冊(cè)1例。系統(tǒng)使用快速普及，使用范圍不斷拓展。

在行為安全審計(jì)實(shí)踐中，針對(duì)用戶(hù)異常行為，構(gòu)建了異常行為畫(huà)像，如圖5所示。通過(guò)大數(shù)據(jù)可視化技術(shù)實(shí)時(shí)展現(xiàn)行為異常動(dòng)態(tài)，使操作人員能夠更快速、更方便地獲取行為監(jiān)測(cè)信息，并進(jìn)行及時(shí)整改。

行為安全審計(jì)平臺(tái)為信息系統(tǒng)及通訊、網(wǎng)絡(luò)的安全可控、敏感行為的及時(shí)監(jiān)測(cè)、數(shù)據(jù)防泄漏提供了強(qiáng)有力的保障。下一階段，陜西移動(dòng)將持續(xù)優(yōu)化行為安全審計(jì)平臺(tái)，不斷拓展平臺(tái)使用領(lǐng)域，持續(xù)推進(jìn)系統(tǒng)深化應(yīng)用，并提供更多的可視化應(yīng)用效果，提升使用的便捷性和人機(jī)交互體驗(yàn)，最終實(shí)現(xiàn)信息系統(tǒng)行為安全審計(jì)全覆蓋及快速響應(yīng)，杜絕因行為異常導(dǎo)致的潛在風(fēng)險(xiǎn)發(fā)生。