智库说|乐信刘志诚：从数据安全到业务安全的进阶之路

与智者同行，为行业赋能。

FreeBuf咨询TTSP智库作为行业安全专家聚集区，旨在聚合每一份安全中坚力量，以促进网络安全行业技术创新和知识布道为价值导向，凝聚智者力量，思维碰撞、经验共享，共创安全聚合新力量。

FreeBuf咨询TTSP智库专家 乐信集团信息安全中心总监刘志诚，在2021数据安全与数据治理高峰论坛上分享了议题《从数据安全到业务安全-业务安全进阶之路》。本文对其分享内容进行梳理和展示。

乐信集团信息安全中心总监刘志诚

以下是刘志诚的现场分享实录：

在实际的业务场景中，你会发现安全做到一定程度后会越来越关注跟业务相关的东西。数据安全是和业务最直接相关的，安全重点是为了保护数据。

做完数据安全之后，逐渐考虑业务安全怎么做，它和传统业务风控之间的关系是怎么样的？

数据分类是怎么分的？

大家比较关注的国家出台标准规范、行业标准规范，还有我们自己的实际经验。

数据分类

如果你从事互联网行业，你最关注应该是个人敏感数据。因为国家监管和个人隐私保护的需求越来越旺盛。

公安、通信管理局等部门都在关注APP安全、数据采集、权限管理，这些都跟个人数据相关。

第二个是业务数据，如果你是传统业务，你关注的可能是业务数据本身。

第三个是商业数据，我们一些传统的数据安全解决方案，重点就是解决这方面的一些问题。

很多人谈到数据的生命周期管理，例如采集、传输存储、处理、使用、分享、处置这些环节。

有一点大家可能会忽视，就是收敛环节。如果你是互联网业务，那么收敛是一个非常关键的问题。例如，你有很多业务在存储数据，特别是个人敏感数据，是分散存储还是集中存储；在微服务架构下，对敏感数据调用和API接口如何处理？

我们对整个数据的安全如何保障？

数据安全的保障架构

从技术手段上看，第一是合规要求，要看数据的采集和保护是不是合规。

另外要具备检测和监测能力，你能不能监测到数据风险问题？监测的目的是为了预警，需要你真实地掌握数据安全的全景，要明白风险在哪里，治理效果怎么样。

还涉及到审核和调查。在传统的数据生命周期里，我们都在内部处理数据，但是现在互联网业务环境中，数据不仅是内部，因为你会有合作伙伴。以电商为例，所有商户、物流之间的数据交互，都涉及到用户数据分享的问题。在分享环节，数据的安全怎么保障？如何保证所有合作伙伴在数据安全上不会出问题，要考虑用技术手段实时监控接口和数据分享处理的过程。

再举一个例子，互联网业务都有短信验证码登录或短信业务提醒服务，在这个环节你的短信供应商就面临重大风险，你能保证你的数据不会泄露，但你不能保证合作伙伴的。所以审核合作伙伴的能力也是非常重要的。

除了审核，还有调查。出现数据泄露后，如何溯源、追查，如何监控到问题来源就需要调查。审核调查都是为了形成闭环，能得到系统性的结论，更好地呈现数据安全效果。具备了这些环节，才算构建了一个数据安全的保障体系。

总结一下，我们说数据安全，除了平常看到的标准规范、最佳实践，还需要注意采集合规，传输存储收敛加密、分享控制、风险监测、对合作伙伴的准入和审核机制。

业务安全怎么做？

我们做业务安全要围绕的资产是什么？主要关注两点，一是账号，二是交易。交易包括所有的业务动作和行为。

业务安全重要的是关注漏洞，资产的漏洞其实是欺诈，欺诈会带来账户和交易风险，欺诈则主要来自黑灰产。

我们对安全首先关注的是风险治理，风险被定义之后，我们关注的业务安全要做什么事？怎么能检测出来风险？

这就需要有一个动态监测机制来监测业务安全问题，能够对业务安全问题进行处置、报告，能够体系化地展现实际的业务安全水平。

除了这些措施之外，我们还要有一个完整的机制和相应的团队，要具备处理这些业务安全问题的方法，有方法论指导，有相应的工具产品和平台，有相应的流程和运营体系来支撑你做好这件事情。

风险识别、处理措施和的管理体系才能构成完整的业务安全。

在业务安全中，互联网业务的账户安全，第一是身份问题，例如身份证号码、手机号码、人脸识别，这是判断用户是否是真实用户的关键特征。

第二是用户环境，例如IP地址、地理位置信息以及用户访问业务的终端是APP还是浏览器。

还有用户的行为、访问时间、访问频率。以上这些是我们从账户安全角度考虑，要通过这些特征建立识别模型，可以检测和监测欺诈用户访问业务，并做相应的安全处理。

交易安全这一块，我们是关心的是业务逻辑问题。你的业务行为本身是不是由真实的用户账户产生的，而不是一些机器人访问带来的行为，用户的访问路径是什么，终端环境和访问方法是什么。

现在我们业务系统都是微服务接口模式，用户在访问的过程中，是针对一个接口还是针对有业务逻辑接口的模式，这其实是我们要关注的一些重点参数。

另外还要关注账号是不是被盗用，它是交易安全这方面的重点。

所以我们说业务安全要做成一个纵深的防御体系，要具备以下几点。

业务安全的纵深防御体系

第一个是预警能力，当业务风险或者账户和交易欺诈行为进入系统时，你要有能力去预警。预警来自于你的检测和监测能力，它依赖的是情报体系。比如说手机号码，哪些是黑灰产掌控的号码，这些号码本身是不是有风险？还有IP地址的标签和特征。这些第三方情报为你的检测和监测能力提供依据，是为了预警。当然，你通过检测和监测能力也会采集到相应数据，提升情报的质量。这里面会涉到内部的关联分析，然后再做到相应的可视化，可以体现你整个业务安全的技术体系。

第二个是处置能力。我们需要的是实时的处理能力，处理能力包括几种：第一是阻断，通过前面的分析能够及时发现高风险行为用户，这样我们就可以直接把它拒掉。第二是业务蜜罐，让用户在受监控的环境内，我们可以分析用户行为和账号，为整个业务安全提供情报。第三是我们增强校验的手段和方法。我们可以在业务环节增加人脸识别来确保用户的真实性。这是根据你判断的风险程度来采用不同的手段。

为什么在业务安全体系要做到实时处置？这问题其实来源于有多少真实的业务流量。

从流量角度上分析，第一关就是防火墙，ids、ips可以从网络层阻断一批恶意流量，这一步我们会处理比较多的攻击流量。

第二关是WAF层，这批流量就是一些常见的跨站、SQL注入等外部应用安全风险阻断。

第三关是非系统用户产生的流量，不管是黑灰产控制的用户还是假冒欺诈用户，他们想进入我们的业务系统，但他们不能产生业务价值，所以我们也要阻断这一部分流量。

从我们的经验分析，大概有3%的流量是业务安全风险流量，它不是真实用户产生的流量，但它是在我们业务系统之内产生的。它除了给你带来性能和系统上的损耗之外，不会产生任何业务价值，特别是重大促销活动的时候，比例可能还会更高。所以这也是我们为什么要提业务安全。

以上这些刚刚都讲到了。预警需要什么？需要数据源，它来源于你的情报体系、监测能力和分析能力。

在处置环节，当你不能完全判断它是一个高风险时，例如你只有50%的把握时，可以增加业务层的验证机制，比如通过刷脸来提高它的门槛。

如果你有70%或80%的把握，可以让他在沙箱、蜜罐里面去跑整个业务流程，观察他的行为特征和实际业务交易特征，然后再去做准确判断。100%判断被黑灰产控制的账号，或非业务用户，我们就可以直接去阻断。

数据安全和业务安全如何平衡？

在业务过程中，可能业务部门和安全部门对是不是安全流量有不同的看法。业务部门可能希望用户越多越好，他不一定关注用户是否带来业务价值。但安全部门是要提供预警和判断的能力，风险的决策由决策层做。

回归到数据安全主题，你会发现做安全也需要数据，无论是检测、监测能力还是采集能力，都要和用户数据打交道。

从用户数据角度看，第一是法律法规会对数据保护会越来越严，例如获取个人数据需要告知用户和用户授权。要获得黑灰产控制账号的知情权和同意权也是比较困难的一件事情。

第二是最小可用，用户数据采集要遵循最少可用原则。

第三是随时撤销，即使你采集了用户数据，但当用户撤销授权时，你需要删除数据。用户除了有删除权力，还有转移和更正的权力。这些权利是双刃剑，在保护用户的同时，也会对业务和安全有影响。

从业务安全角度看，我们需要识别假冒、伪造、欺骗、篡改和自动化攻击。它和用户数据有关，例如账户安全的数据包括身份证号、手机号、终端、标识位置、交易行为时间和频率等。

从数据安全到业务安全

怎么做到用户数据和业务安全的平衡，我们需要考虑上述问题。

FreeBuf咨询TTSP智库专家正在招募中，期待更多安全中坚力量加入，扫描下方二维码获取更多信息。

刘志诚演讲视频：

智库说|乐信刘志诚：从数据安全到业务安全的进阶之路