本文主要是介绍Trias技术丨区块链驱动金融信息系统的可信安全,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
本文选自《交易技术前沿》总第三十四期文章(2019年3月)
作者:华仁杰 张之浩 / 东吴证券股份有限公司
导读
围绕东吴证券的需求和发展方向,Trias基于区块链公开透明、信息安全等技术特性,结合证券行业的实际应用场景,为东吴证券提供技术支持。
东吴证券与Trias的合作基于区块链的持续免疫+可信运维实践,将全面驱动金融信息系统的可信安全。
一、 提出的背景
随着信息技术高速发展,信息化进程不断推进,我国证券期货金融的行业信息网络基础设施承载着本行业重要业务和经济活动。目前金融领域关键基础信息系统信息化程度高,智能化、网络化程度迅速发展,对网络的依赖性持续增强,一旦遭到攻击破坏不仅可能导致大规模的财产损失,甚至可能威胁国家安全。
2017年6月1日,《中华人民共和国网络安全法》(以下简称网络安全法)的发布则明确将服务商的重要网络和信息系统统称为关键信息基础设施,将其纳入国家重点保护范围。这是我国首次在法律高度提出关键信息基础设施概念,并对关键信息基础设施保护提出具体要求。安全法的提出是我国在关键信息基础设施保护方面取得的重大进步,将促进国家关键信息基础设施网络安全形成新局面。
我国证券期货金融行业的信息系统在数据共享和通讯方面发展迅速,其承载的数据价值越来越高,如何有效通过安全手段保护核心数据成为了行业焦点。传统的安全手段基于黑名单、病毒库、特征库或规则等方法来防止异常进程与恶意文件(比如病毒)的使用。这样的方式确定性强,误报率低,能很快确定具体异常行为。
然而,如果不知道异常行为或者恶意文件的样本(比如0Day漏洞),就会因为没有对应的病毒库或特征库而束手无策。另外一方面,传统安全管理体系下,安全技术在软件生命周期的参与往往关注在系统测试或上线运维阶段,通过程序安全加固和外部入侵防御对开发完成的软件进行保护,但却忽略了需求、设计、开发等前期更为重要的环节。
为了解决上述传统信息安全方式存在的问题,本研究旨在采用可信计算的白名单方法,通过结合区块链和人工智能技术,保障金融数据在其完整生命周期内(收集、承载、处理与分发)的静态安全性与动态安全性。研究的提出是为了响应网络安全法的规定进行落地可行性方案的实施,在金融关键信息基础设施的全生命周期建设方面覆盖评估、预警、事件响应等多个环节流程的安全要求。基于更安全高效的持续软件集成与交付DevSecOps[1]的基础上,切实可行的整合了防篡改与大数据分析技术,为金融关键信息基础设施系统的关键数据建立可信的数据存证与传输,防止有恶意或者虚假数据在金融信息基础设施中产生。
二、 解决思路
研究的实施主体针对目前的证券期货金融系统的关键信息系统基础设施,基于可信安全、人工智能、区块链技术结合提出可信金融安全运维解决DevSecOps的方案。方案的提出要求信息安全建设要充分结合软件全生命周期和敏捷开发的持续迭代与发布流程,将技术的自动化安全融入到DevOps过程当中,如下图所示为Gartner提出的DevSecOps原型框架[1]。
图1 DevSecOps框架
为了实现上述安全建设框架,结合证券系统建设的实际情况,需要通过技术手段实现:
1. 信息安全在软件生命周期的前置。将传统的软件测试与交付阶段的信息安全工作覆盖到需求设计在内的全生命周期,IBM的统计数据表明产品在发布后修复安全问题的成本是在设计阶段解决成本的4到5倍,而在运维阶段修复成本甚至超出100倍。
2. 安全技术手段的自动化实现。为了能够让信息安全监测有效开展,传统制度和管理手段并不能有效实现信息安全的全生命周期覆盖,需要通过创新的技术手段实现全自动化安全加固。
3. 持续安全态势感知,而非固守传统分析方法。面对实时变化的安全隐患与缺陷,只有结合历史数据与当前状态实时感知安全风险,这也对安全技术实现提出更高的要求。
根据上述原则,需要研究和建立一套以自主研发为核心的软件全生命周期的持续免疫系统。研究的主要内容就是以主动安全免疫方法为基础,结合敏捷开发与证券运维,在智能持续交付运维的过程中实现基础设施系统的持续监测和多数据源分析。
建立自动化金融关键信息系统基础设施的进程白名单与用户行为白名单,有效识别内外部威胁进程。及时辨别内外部的异常行为,有效发现入侵以及渗透工具的长期潜伏破坏,第一时间发现并及时处置内外部威胁。
对金融关键信息基础设施的关键数据进行区块链技术的存证与传输,有效防止非法异常的恶意篡改与丢失,防止有虚假数据的产生。结合人性化的可视化手段,最终研究出一个从防御、检测、响应、到预测于一体自适应、软件全生命周期的安全解决方案。
三、 技术方案
为了实现上述信息系统的全生命周期安全,需要考虑软件需求、设计、开发、测试、发布、部署、运维和反馈环节中几十类的安全实践模块设计,其中涉及到白名单检测、数据防篡改、代码溯源、动态安全分析等全新安全实践,需要通过可信计算技术、区块链技术以及人工智能技术实现如图2所示的DevSecOps框架。
图2 软件全生命周期持续免疫
这篇关于Trias技术丨区块链驱动金融信息系统的可信安全的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
