面向云计算的零信任体系第5部分：业务安全能力要求.pdfVIP

面向云计算的零信任体系第5部分：业务安全能力要求

1范围

本文件规定了面向云计算零信任体系的业务安全能力要求，包括面向零信任的业务安全能力体系

适用场景、业务安全总体架构、业务安全能力要求。

本文件适用于服务提供商在提供业务安全服务时的功能设计、产品研制、能力评估，同时适用于

用户在进行业务安全能力管理、对自身业务安全体系进行设计和评价时参照使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适

用于本文件。

GB/T32400-2015信息技术云计算概览与词汇

3术语和定义

下列术语和定义适用于本文件。

3.1

云计算cloudcomputing

一种通过网络将可伸缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。

[来源：GB/T32400-2015，3.2.5]

3.2

业务安全businesssecurity

保护业务系统正常逻辑免受被滥用或篡改，减少业务目的与业务结果产生不确定性的措施或手

段。

3.3

业务安全风险businesssecurityrisk

业务正常逻辑面临的被滥用或篡改的威胁，进而导致业务目的与业务结果产生不确定性的威胁。

注：威胁包含但不限于金融欺诈、账户盗刷、内容违规等。

3.4

业务安全解决方案businesssecurityrisksolutions

1

协助业务防范业务安全风险和减少损失的产品。

3.5

私域privatedomain

企业自有，可针对从公域或它域引流数据和自身数据进行分析和应用，开展个性化运营的用户资

产。

4业务安全体系适用场景

面向零信任的业务安全体系主要分为业务形态安全以及业务流程安全两个部分，业务形态安全包

括内容安全、钓鱼安全、防伪溯源安全、私域安全四个部分，业务流程安全包括交易安全、信贷安全

与营销安全三个部分。本文件将对内容安全、交易安全、信贷安全、营销安全、钓鱼安全、防伪溯源

安全、私域安全七个部分面向零信任的的业务安全能力要求进行规定。标准使用方可根据实际情况自

行确定符合自身使用场景需求的能力域。

5业务安全应用体系架构

面向零信任的业务安全体系提升业务风控模型的性能，识别并拦截业务风险。业务场景采集到的

业务数据是整个风控系统的主要数据源，业务数据经过风控系统之后产生量化的风险结果，风险结果

传输给风险运营系统进行风险处置，如图1所示。

业务安全体系的流程如下：

a)业务场景通过数据埋点等方式采集业务数据，并输入至风控系统；

b)画像层接收到业务数据之后，关联产生出不同维度的画像特征，并将业务数据和画像数据一

起输入到算法层；

c)算法层执行用户判断、环境判断、业务逻辑判断等模块，并将判断结果输入至风险量化模型

得到风险评估结果，同时将风险评估结果传输至风险运营系统；

d)业务风险运营系统针对已识别的业务风险进行后续的运营操作，如风险策略、案件审核(主

要是交易欺诈和反洗钱场景)、风险处置、敏捷分析、监控告警、安全审计等。

图1业务安全应用体系架构图

2

6画像层

画像层对业务数据进行积累汇总，经过数据清洗、加工、统计等操作，在账号、设备、IP、手机

号、自然人、内容等多个维度形成了特征画像体系。同时从业务数据中提炼出自然人、账号、设备、

手机号、IP等元素之间的关系，形成业务知识图谱。丰富的数据为后续算法层提供强大的特征支持。

7算法层

7.1判断验证模块

判断验证模块包括用户判断、环境判断与业务逻辑判断三个部分，对业务数据中的人物、时间、

地点、事件等具体信息进行刻画。

a)用户判断：通过身份验证、人脸验证、语音验证、账号验证等用户判断模块，对用户进行多

个维度的交叉验证。

b)环境