面向云计算的零信任体系 第5部分：业务安全能力要求.docx

1

YD/Txxxxx—xxxx

面向云计算的零信任体系第5部分：业务安全能力要求

1范围

本文件规定了面向云计算零信任体系的业务安全能力要求，包括面向零信任的业务安全能力体系适用场景、业务安全总体架构、业务安全能力要求。

本文件适用于服务提供商在提供业务安全服务时的功能设计、产品研制、能力评估，同时适用于用户在进行业务安全能力管理、对自身业务安全体系进行设计和评价时参照使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T32400-2015信息技术云计算概览与词汇

3术语和定义

下列术语和定义适用于本文件。

3.1

云计算cloudconputing

一种通过网络将可神缩、弹性的共享物理和虚拟资源池以按需自服务的方式供应和管理的模式。[来源：GB/T32400-20]

3.2

业务安全businesssecurity

保护业务系统正常逻辑免受被滥用或篡改，减少业务目的与业务结果产生不确定性的措施或手段。

3.3

业务安全风险businesssecurityrisk

业务正常逻辑面临的被滥用或篡改的威胁，进而导致业务目的与业务结果产生不确定性的威胁注：威胁包含但不限于金融欺诈、账户盗刷、内容违规等

3.4

业务安全解决方案businesssecurityrisksolutions

YD/Txxxxx—xxxx

3.5

产。

4业务安全体系适用场景

5业务安全应用体系架构

d)业务风险运营系统针对已识别的业务风险进行后续的运营操作，如风险策略、案件审核(主

n

n

*s

W

图1业务安全应用体系架构图

3

YD/Txxxxx—xxxx

6画像层

画像层对业务数据进行积累汇总，经过数据清洗、加工、统计等操作，在账号、设备、IP、手机号、自然人、内容等多个维度形成了特征画像体系。同时从业务数据中提炼出自然人、账号、设备、

手机号、IP等元素之间的关系，形成业务知识图谱。丰富的数据为后续算法层提供强大的特征支持。

7算法层

7.1判断验证模块

判断验证模块包括用户判断、环境判断与业务逻辑判断三个部分，对业务数据中的人物、时间、地点、事件等具体信息进行刻画。

a)用户判断：通过身份验证、人脸验证、语音验证、账号验证等用户判断模块，对用户进行多个维度的交叉验证。

b)环境判断：通过设备指纹技术与用户的唯一设备id关联，实现对用户的设备环境、网络环境、地理位置等进行风险判断。

e)业务逻辑判断：用户进入至具体的业务流程时，通过从用户的行为数据中提取出业务特征、用户偏好、用户行为序列等信息，对用户业务逻辑进行判断验证。

7.2业务风险量化

业务风险量化模型基于画像数据、用户判断维、环境判断维度、业务逻辑判断维度作为输入，对业务风险进行量化，主要包括以下类型：

a)评分卡模型：又叫做信用评分卡模型，先将分箱后的原始数据进行特征工程变换，再使用线性模型建模，通常在信用风险评估以及金融风险控制领域中广泛使用；

b)机器学习算法：是一类从数据中自动分析获得规律，并利用规律对未知数据进行预测的算法。己广泛应用于数据挖掘、计算机视觉、自然语言处理、生物特征识别、搜索引擎、医学诊断、检测信用卡欺诈、证券市场分析、DNA序列测序、语音和手写识别、战略游戏和机器人等领域

e)深度学习：是机器学习的分支，是一种以人工神经网络为架构，对数据进行表征学习的算法。深度学习运用了层次抽象的思想，更高层次的特征从低层次的特征学习得到。这一分层结构常常使用贪心算法逐层构建而成，并从中选取有助于机器学习的更有效的特征。深度学习强大的高阶特征提取能力能帮助业务识别出复杂的业务欺诈模式：

d)小样本学习：是机器学习的一个分支，专注于解决在数据缺少的情况下如何训练模型的问题，小样本学习能有效解决风控领域样本不足的问题

e)无监督学习：也是机器学习任务的一种，它从无标记的训练数据中推断得出结论。无监督学习算法能不依赖历史样本，实现风险的自动感知能力

f)图计算：是研究客观世界当中的任何事物和事物之间的关系，对其进行完整的刻划、计算和分析的一门技术。在业务风控领域能有效针对业务中存在的团伙欺诈、仿冒盗用等欺诈问题进行建模分析。

8业务风险运营

业务风险运营系统针对已识别的业务风险进行后续的运营操作，如风险策略、案件