【交易技术前沿】区块链驱动金融信息系统的可信安全

研究的实施主体针对目前的证券期货金融系统的关键信息系统基础设施，基于可信安全、人工智能、区块链技术结合提出可信金融安全运维解决DevSecOps的方案。方案的提出要求信息安全建设要充分结合软件全生命周期和敏捷开发的持续迭代与发布流程，将技术的自动化安全融入到DevOps过程当中，如下图所示为Gartner提出的DevSecOps原型框架 ^[1] 。

图1 DevSecOps框架

为了实现上述安全建设框架，结合证券系统建设的实际情况，需要通过技术手段实现：

1. 信息安全在软件生命周期的前置。将传统的软件测试与交付阶段的信息安全工作覆盖到需求设计在内的全生命周期，IBM的统计数据表明产品在发布后修复安全问题的成本是在设计阶段解决成本的4到5倍，而在运维阶段修复成本甚至超出100倍。

2. 安全技术手段的自动化实现。为了能够让信息安全监测有效开展，传统制度和管理手段并不能有效实现信息安全的全生命周期覆盖，需要通过创新的技术手段实现全自动化安全加固。

3. 持续安全态势感知，而非固守传统分析方法。面对实时变化的安全隐患与缺陷，只有结合历史数据与当前状态实时感知安全风险，这也对安全技术实现提出更高的要求。

根据上述原则，需要研究和建立一套以自主研发为核心的软件全生命周期的持续免疫系统。研究的主要内容就是以主动安全免疫方法为基础，结合敏捷开发与证券运维，在智能持续交付运维的过程中实现基础设施系统的持续监测和多数据源分析。 建立自动化金融关键信息系统基础设施的进程白名单与用户行为白名单，有效识别内外部威胁进程。及时辨别内外部的异常行为，有效发现入侵以及渗透 工具 的长期潜伏破坏，第一时间发现并及时处置内外部威胁。对金融关键信息基础设施的关键数据进行区块链技术的存证与传输，有效防止非法异常的恶意篡改与丢失，防止有虚假数据的产生。结合人性化的可视化手段，最终研究出一个从防御、检测、响应、到预测于一体自适应、软件全生命周期的安全解决方案。

为了实现上述信息系统的全生命周期安全，需要考虑软件需求、设计、开发、测试、发布、部署、运维和反馈环节中几十类的安全实践模块设计，其中涉及到白名单检测、数据防篡改、代码溯源、动态安全分析等全新安全实践，需要通过可信计算技术、区块链技术以及人工智能技术实现如图2所示的DevSecOps框架。

图2 软件全生命周期持续免疫

• 可信安全技术实现关键系统的安全可控

可信计算组织（TCG） ^[2] 组织把“可信计算”定义为：“可信计算”是指软件和硬件能够按照它们被设计的行为运行。对于物理平台的完整性而言，可信计算技术提供了一种基于硬件的平台完整性保护方案。通过可信计算能够在信息系统的数据的共享和传输过程中，对所有信息节点进行可信安全检测，主动发现在金融数据共享传输过程中，发生在关键信息系统基础设施的异常恶意工具或者进程；对于物理平台的完整性而言，可信计算技术提供了一种基于硬件的平台完整性保护方案，以TCG组织提出的可信平台模块TPM为信任根，从主机上电开始，到BIOS启动、GRUB及操作系统内核加载的整个过程中逐级建立信任链，通过完整性度量架构（Integrity Measurement Architecture, IMA）将信任链扩展到应用层，并借助远程证实协议允许远程用户证实平台的完整性，如图3所示。而实现的可信安全监控可以被本地和远程实体信任，实体包括用户，软件，实现了证券行业系统行为的完整性和系统的完整性。

图3 可信计算引导流程 ^[3]

可信防护在金融系统建设的实现通过TPM硬件级（或者虚拟芯片VTPM）底层加载实现信息系统可信白名单HASH码证实从而实现对异常进程加载感知，相关技术设计框架如图4所示。在安全防御层面，技术方案即便在面对利用0Day漏洞或内部入侵已经取得ROOT权限后，根据可信链证实仍无法对系统进程进行非法启动和程序修改 ^[3,4,5] 。在安全自动化方面，可信计算白名单由持续免疫系统通过分析该服务器的运维策略、运行语义自动生成，从而极大程度地降低了白名单的管理成本，减小了白名单人工管理的管理复杂度和潜在安全风险。最终能够实现即便入侵者获得了该服务器最高控制权，也无法加载用于实施破坏的恶意程序，如系统后门、病毒、渗透工具，从而极大程度地丰富了传统边界防护的安全模式。

图4 可信防护技术实现框架

• 区块链技术实现信息安全的防篡改与溯源

实现对应金融关键信息系统基础设施的区块链存储与溯源方案，能对在数据共享过程中的关键系统基础设施的关键数据进行基于区块链的存证、传输。对于恶意篡改的关键数据能及时发现，对于虚假数据和非法篡改恶意数据能在使用过程中发现并及时修复。区块链相关技术设计框架如图5所示。

在数据收集阶段，用户数据被加密传输入区块链中，以保障机密性和不可篡改性。用户同时指定数据处理契约，规定只有满足指定条件的可信处理应用才能在计算机运行环境中解密提取区块链中的数据。其次，在数据承载与处理阶段，验证每一个数据处理应用的可信性，并确保该应用始终处于可信状态。协调各数据处理方和区块链数据提供方的数据数据处理契约，制定可信数据访问策略，并依据策略授权可信应用解密并处理区块链中数据。数据处理结果被加密存入区块链中。在数据分发阶段，加密返回区块链中数据处理结果，并同时返回可信审计记录。该记录都是基于区块链进行使用，将显示在以上处理的全过程中关键行为以保证记录本身的不可篡改和有效可信。

方案最终能够实现信息系统DevSecOps过程中所有关键数据、审计信息无法被篡改。外部攻击日志，恶意内部入侵与其渎职行为的不可修改的记录。

图5 区块链存证技术实现框架

上述区块链存证和普通存证的区别主要体现在，区块链存证是一个“去中心化”的分布式系统，通过自身分布式节点，结合共识机制、密码学、时间戳等技术进行数据的存储、验证、传递和交流，从而实现点对点传输、更加安全且不可篡改的特性，增强了金融关键数据的可信度。而普通存证只是将数据以备份的形式存放在传统中心服务器上，中心化的方式决定了其真实性无法自证，存在被篡改的风险。 除了具备去中心化和防篡改的特性，区块链还必须具有高吞吐能力。共识机制是制约区块链吞吐能力的核心因素，当前主流共识算法主要有以下几类，分别是：

1. POW算力挖矿，通过哈希碰撞来随机分配记账权，节点规模最大，但是吞吐率最低；

2. POS和DPOS，基于权益分配记账权，可能出现权益高度集中的问题，而且目前分叉处理机制还不完善；

3. BFT(拜占庭共识)，安全高效但规模难保证。一般讲节点规模越大，则区块链吞吐量越低。

其中BFT拜占庭共识的特点是整个系统共同维护一个状态，所有服务器采取一致的行动。一般包括3种协议:一致性协议、检查点协议和视图更换协议。系统正常运行在一致性协议和检查点协议下,视图更换协议则是只有在主节点出错或者运行缓慢的情况下才会启动,负责维系系统继续执行客户端请求的能力 ^[6] 。

在分析当前共识算法后，针对金融行业私有链或联盟链，提出的方法针对存证的吞吐性能和故障处理来定制优化的BFT共识系统。具体实现为一方面基于可信计算选择足够规模的可信节点组作为参与BFT共识的超级节点；另一方面对BFT协议基于Zyzzyva策略 ^[7] 等进行优化，来提升区块链存证的吞吐量性能。在本区块链存证中BFT优化的主要流程如下：

1. 没有错误节点时，主节点与共识节点达成一致并将成功账本结果返回给应用；

2. 存在错误副本时，根据拜占庭共识返回账本结果，并修复错误副本。

3. 主节点发生错误时

启动视图改变，重新选择好的主节点，然后进行共识；

执行视图改变，同时保证安全的恢复命令历史；

• 基于人工智能感知和预判信息安全事件。

随着金融信息技术的发展积累了越来越多的数据，其中运维相关数据成为了IT数据资产中的核心。对DevSecOps过程中的关键信息系统基础设施的操作日志进行用户行为画像（UEBA），能主动辨别用户行为属性，及时识别内外风险；以用户业务连续性、体验和安全为主，通过对整个金融运维系统全生命周期的采集、监控、分析、预测、总结，形成金融信息基础系统的全链闭环的持续优化运维，相关技术框架如图6所示。

通过采用行业最佳实践知识，建立反向传递神经网络（Back Propagation Neural Network）和决策树、随机森林等机器学习算法进行结合，完成监督学习的最佳实践的金融信息基础系统的运维行为建模。能高效的转换行业已有经验，快速提升和训练出适合自己业务系统的运维智能模型，帮助金融基础信息系统在运维环节不断最佳实践的优化提升。

采用深度学习和迁移学习相结合的方式，对目前具有噪音的海量金融信息基础系统运维数据进行计算机的非监督学习分析，挖掘在已有行业经验之外的深度高质量信息与策略。对信息系统的过去、现在、未来进行实时分析、总结、预测。研究通过人工智能、动态基线、双模健康度、系统性能容量分析及预测、故障分析定位等技术手段辅助运维，解决行业目前普遍面临的故障发现慢、定位难、预判能力差、容量管理难度大等系统运行难题，提高业务连续性与用户体验，降低系统故障带来的损失。

在运维行为建模中如何选择特征是个领域和工程问题，一般遵循以下流程来构建特征：

• 任务的确定：根据具体业务确定要解决的问题；

• 数据的选择：收集数据，整合数据；

• 数据的预处理：数据格式化、清洗、采样；

• 特征的构造：利用领域知识和工程化方法构造和选择特征；

• 计算模型：通过模型计算得到模型在该特征上所提升的准确率；

• 上线测试：通过在线测试的效果来判断特征是否有效。

在确认了运维数据和应用场景（业务问题）后，如何建立一个预测模型能尽量的拟合数据，从而使得目标函数最优化则成为了解决运维问题的关键。监督学习的预测模型可以是CNN、SVM、DT或随机森林等。采用深度学习和迁移学习相结合的非监督学习分析，在不指明具体方向的情况下自行探索，发现事件隐含的特性并依据此将相关的事件聚类，总结出特征向量；发现事件与事件、事件与运维结果之间的隐性关联，用于分析事件流和日志信息，从而找出异常的消息簇。这些异常可以与某项运维结果或者事件相联系，从而分析出潜在的原因与症结 ^[8] 。

提出的人工智能研究方法中运维行为建模相关的数学描述和模型如下：

样本输入数据： 即对于维数是n的样本数据，加上偏移量，x定义成n+1维向量。如果总共m个样本数据，任意一个表示为 样本输出数据：，即y是实数标量，任意一个样本输出表示为

参数： ，即n+1维向量（含n个输入特征参数和1个偏移量），表示第j个特征的参数（j>0时）或者偏移量（j=0 时）。j=0,1,2,…n 。

假设函数：

表示线性回归的：多重变量线性回归。

表示逻辑回归。

代价函数：

代价函数梯度：

参数迭代：

深度学习相关的网络结构如图7所示：

图7 深度学习网络结构

深度学习相关的代价函数：

通过运维行为建模和算法的优化，能够对金融核心IT资产进行分析和预测，为运维操作的合理性、安全性以及规范性提供新维度的补充。

提出的DevSecOps全生命周期安全研究方案结合了可信计算、区块链以及人工智能技术，结合公司原有自主研发监控运维平台实际建设情况，完成了东吴证券态势感知系统的开发与测试上线工作。

东吴证券态势平台已经实现了测试环境以及生产内网系统的部署和监控，其中监控模块部署设备1000台以上，部署机房包括东吴核心主机房，同城灾备机房，交易所托管机房以及运营商机房。提出的区块链驱动金融信息系统的可信安全研究实现了部分证券系统的可信防护、区块链防篡改以及部分运维画像内容，相关功能如图8所示：

图8 东吴态势感知主界面

可信防护范围包含互联网边界的网上交易、手机炒股等核心系统等信息节点进行可信安全检测，主动发现在金融数据共享传输过程中，发生在关键信息系统基础设施的异常恶意工具或者进程。

图9 可信防护哈希校验

区块链防篡改针对公司配置相关核心文件、对电子合同，对于恶意篡改的关键数据能及时发现，对于虚假数据和非法篡改恶意数据能在使用过程中发现，并能及时修复。区块链运行环境本身又被可信计算进行保护，确保其运行的安全性。

图10 东吴安全区块链模块

人工智能前期的运维画像功能主要针对运维用户操作以及系统日志进行UEBA分析，提取对应的数据，通过特定的采集层的流转，序列化后进行大数据分析后提供操作和画像的展示，并对异常结果进行预判和报警。

图11 东吴运维UEBA模块

综合当前的应用落地，提出的研究方法主要实现了：

• 创新性的把区块链技术与可信安全技术相结合，应用在金融共享信息通讯系统中。以用户业务连续性、体验和安全为主。对于金融关键数据的传输、共享过程，把区块链和可信安全技术作为数据载体。创新性的实现金融关键数据全生命周期的不可篡改、抵御恶意攻击、高鲁棒性，提升金融关键数据的可靠性与安全性；

• 针对证券行业数据的特性，创新性的为区块链技术提供了通讯和存储大容量非结构化和结构化的基础数据单元架构，可以把区块链技术的透明、公正、安全、可靠、防篡改、去中心化等特征，普适性的应用在证券关键数据的共享与通讯的全生命周期中，可以从根本上提高金融关键数据的透明、可靠与安全性。

• 结合证券行业特性，优化区块链现有主流拜占庭共识算法，改善当前区块链需要穷举或半数以上节点投票共识才能完成交易的高运算特性。借助可信安全技术和区块链优化后的拜占庭共识算法相结合，创新的增加信誉系统的权重共识比例因子，大幅度减少区块链节点信息的共识计算成本，加快区块链上数据的传送速度。通过引入可信计算的机制，对传统区块链节点赋予了信誉系统的因子，大量减少了共识节点的共识结算量，将传统区块链执行时间提高了10倍以上。