業(yè)務(wù)安全白皮書-數(shù)字業(yè)務(wù)風(fēng)險與安全

||||||||||頂累,11'DINGXIANGCAICT中國信通院《業(yè)務(wù)安全白皮書》——數(shù)字業(yè)務(wù)風(fēng)險與安金北京頂象技術(shù)有限公司中國信息通信研究院云計算與大數(shù)據(jù)研究所2022年6月版權(quán)說明本白皮書版權(quán)屬于北京頂象技術(shù)有限公司、中國信息通信研究院云計算與大數(shù)據(jù)研究所，并受法律保護。轉(zhuǎn)載、摘編或利用其它方式使用本白皮書文字或者觀點的，應(yīng)注明“來源：北京頂象技術(shù)有限公司、中國信息通信研究院云計算與大數(shù)據(jù)研究所”。違反上述聲明者，編者將追究其相關(guān)法律責(zé)任。編委?成員編委成員（排名不分前后）陳樹華、袁野、戴義正、衛(wèi)斌、郭雪、孔松、李憶晨、宋文利、張曉科、張祖凱、史博、王路超、劉越強。冃u言數(shù)字化時代下，數(shù)字經(jīng)濟飛速發(fā)展，企業(yè)數(shù)字化轉(zhuǎn)型勢在必行,業(yè)務(wù)愈加開放互聯(lián)，關(guān)鍵數(shù)據(jù)、用戶信息、基礎(chǔ)設(shè)施、運營過程等均處于邊界模糊且日益開放的環(huán)境中，涉及利益流和高附加值的業(yè)務(wù)面臨多樣的安全隱患，隨時可能遭遇損失，進而影響企業(yè)運營和發(fā)展。一方面，業(yè)務(wù)安全隱患形式多樣，在電商、支付、信貸、賬戶、交互、交易等形態(tài)的業(yè)務(wù)場景中，存在著薅羊毛、刷單炒信、賬號盜用、虛假賬號、信貸欺詐、刷票刷流量、信用卡套現(xiàn)等欺詐行為；另一方面，欺詐行為日益專業(yè)化、產(chǎn)業(yè)化，利用自動化、智能化的新興技術(shù)，以大規(guī)模牟利為目的網(wǎng)絡(luò)黑灰產(chǎn)業(yè)不斷發(fā)展，具有團伙性、復(fù)雜性、隱蔽性和傳染性等特點。業(yè)務(wù)安全產(chǎn)業(yè)結(jié)合各類技術(shù)，對用戶行為風(fēng)險、業(yè)務(wù)邏輯風(fēng)險、網(wǎng)絡(luò)攻擊風(fēng)險、數(shù)據(jù)泄露風(fēng)險等進行智能評估，通過優(yōu)質(zhì)的業(yè)務(wù)安全產(chǎn)品和服務(wù)幫助企業(yè)有效抵御業(yè)務(wù)欺詐威脅，能夠解決各個業(yè)務(wù)環(huán)節(jié)的安全問題，保證業(yè)務(wù)穩(wěn)定和安全運行?；诖耍本╉斚蠹夹g(shù)有限公司與中國信息通信研究院云計算與大數(shù)據(jù)研究所聯(lián)合推出《業(yè)務(wù)安全白皮書——數(shù)字業(yè)務(wù)風(fēng)險與安全》,旨在幫助企業(yè)梳理數(shù)字化轉(zhuǎn)型浪潮下將面臨的業(yè)務(wù)安全風(fēng)險以及相應(yīng)的防控技術(shù)，為建設(shè)更完備的業(yè)務(wù)安全體系提供策略指導(dǎo)。本白皮書對業(yè)務(wù)安全風(fēng)險的發(fā)展態(tài)勢和關(guān)鍵技術(shù)要求進行分析,梳理了重點行業(yè)業(yè)務(wù)安全建設(shè)時的關(guān)鍵點以及現(xiàn)階段重要的政策指導(dǎo)，進一步明確了業(yè)務(wù)安全體系的建設(shè)流程和評估要素，幫助企業(yè)構(gòu)建更完備高效的業(yè)務(wù)安全能力體系。TOC\o"1-5"\h\z\o"CurrentDocument"1、 構(gòu)筑數(shù)字化業(yè)務(wù)安全防線，推動企業(yè)業(yè)務(wù)健康發(fā)展 1\o"CurrentDocument"1.1數(shù)字化進程快速發(fā)展，數(shù)字經(jīng)濟成為經(jīng)濟高質(zhì)量發(fā)展的重要支撐1\o"CurrentDocument"1.2數(shù)字業(yè)務(wù)遭遇新風(fēng)險，業(yè)務(wù)安全監(jiān)管逐漸清晰化 3\o"CurrentDocument"1.3業(yè)務(wù)安全有效應(yīng)對新風(fēng)險，保障數(shù)字產(chǎn)業(yè)健康發(fā)展 6\o"CurrentDocument"2、 業(yè)務(wù)欺詐與業(yè)務(wù)安全始終處于博弈發(fā)展之中 72.1業(yè)務(wù)欺詐特點分析 7\o"CurrentDocument"2.2業(yè)務(wù)欺詐典型技術(shù)分析 82.3業(yè)務(wù)欺詐常見場景分析 9\o"CurrentDocument"3、 構(gòu)建數(shù)字業(yè)務(wù)的安全云，滿足企業(yè)業(yè)務(wù)安全新需求 13\o"CurrentDocument"3.1企業(yè)業(yè)務(wù)安全隨著數(shù)字業(yè)務(wù)的發(fā)展產(chǎn)生新需求 13\o"CurrentDocument"3.2構(gòu)建全網(wǎng)業(yè)務(wù)安全云，為不同業(yè)務(wù)場景提供安全防護 14\o"CurrentDocument"3.3業(yè)務(wù)安全云的典型應(yīng)用 17\o"CurrentDocument"4、 新形勢下數(shù)字業(yè)務(wù)安全發(fā)展趨勢與展望 19\o"CurrentDocument"4.1業(yè)務(wù)安全整體將呈立體化、精細(xì)化、智能化、云化發(fā)展 19\o"CurrentDocument"4.2新技術(shù)與業(yè)務(wù)防控技術(shù)的組合應(yīng)用助力業(yè)務(wù)安全創(chuàng)新升級 21\o"CurrentDocument"4.3業(yè)務(wù)安全逐漸規(guī)范化，推進標(biāo)準(zhǔn)化建設(shè)助力產(chǎn)業(yè)高質(zhì)量發(fā)展 24\o"CurrentDocument"附錄1頂象防御云典型行業(yè)應(yīng)用實踐 25\o"CurrentDocument"附錄2中國信息通信研究院云計算與大數(shù)據(jù)研究所簡介 28#4.3業(yè)務(wù)安全逐漸規(guī)范化，推進標(biāo)準(zhǔn)化建設(shè)助力產(chǎn)業(yè)高質(zhì)量發(fā)展業(yè)務(wù)安全產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)將進一步完善。中國信息通信研究院云計算與大數(shù)據(jù)研究所相關(guān)團隊，聯(lián)合業(yè)內(nèi)眾多專家，共同編制了《業(yè)務(wù)安全能力要求》系列標(biāo)準(zhǔn)，具體包括《內(nèi)容風(fēng)控安全能力安全要求》、《交易風(fēng)控安全能力要求》、《信貸風(fēng)控安全能力要求》、《營銷風(fēng)控安全能力要求》、《釣魚風(fēng)控安全能力要求〉〉、《防偽溯源安全能力要求》、《私域安全能力要求》等標(biāo)準(zhǔn)，適用于對服務(wù)提供商在提供業(yè)務(wù)安全服務(wù)時的功能設(shè)計、產(chǎn)品研制等方面進行指導(dǎo)和監(jiān)督，同時適用于企業(yè)對自身業(yè)務(wù)安全體系進行設(shè)計、管理和評價時進行參照使用。未來，中國信息通信研究院云計算與大數(shù)據(jù)研究所相關(guān)團隊將持續(xù)推進在業(yè)務(wù)安全重要技術(shù)應(yīng)用和重點行業(yè)應(yīng)用等方向的研究，逐漸完善業(yè)務(wù)安全標(biāo)準(zhǔn)體系。附錄1頂象防御云典型行業(yè)應(yīng)用實踐1.1金融行業(yè)某上市銀行遇到了欺詐風(fēng)險挑戰(zhàn)。很多客戶的資料被中介進行了包裝偽造，銀行審批中無法客觀掌握該類客戶的風(fēng)險，加上高額中介費導(dǎo)致融資成本激增，發(fā)生群體性逾期甚至不良的風(fēng)險極高?；陧斚蠓烙?，該銀行建設(shè)零售業(yè)務(wù)反欺詐體系。實施后1個月內(nèi)，識別信貸申請高風(fēng)險客戶56個，涉及潛在風(fēng)險金額231.5萬元；識別在異常資金交易高風(fēng)險客戶1170個，涉及潛在風(fēng)險金額6200.6萬元；識別信用卡養(yǎng)卡高風(fēng)險客戶1000個，涉及潛在風(fēng)險金額1700.3萬元。1.2電商行業(yè)某電商平臺是精選全球優(yōu)質(zhì)的商品。每逢平臺網(wǎng)購日或商戶促銷,就有大批羊毛黨進行瘋搶優(yōu)惠商品，給商戶和用戶帶來諸多損失?；陧斚蠓烙疲撾娚唐脚_建設(shè)一套營銷活動反欺詐體系。應(yīng)用一個月后，90%的薅羊毛請求被精準(zhǔn)識別且有效攔截，平臺虛假注冊降低85%以上，極大化提升用戶體驗；發(fā)現(xiàn)并定位5萬多個羊毛黨、外掛秒殺、黃牛黨賬號；營銷費用的投入，較體系部署前降低了95%左右。1.3航空行業(yè)某航空公司網(wǎng)站上出現(xiàn)大量虛假查詢流量、爬票等，損害乘客合法權(quán)益，影響公司正常運營。基于頂象防御云，該航空公司構(gòu)建專屬的航空專業(yè)務(wù)安全體系，應(yīng)用后，B2C平臺上，99%的惡意爬蟲請求被直接攔截；正常旅客的訪問占比提高至90%，訪問效率提高10倍以上，用戶體驗滿意度上升21%;該航空公司每年向中航信應(yīng)交查詢費減少由700萬降為80萬，每年可為公司節(jié)省89%的查詢開支。1.4保險行業(yè)2021年底，“考勤打卡神器”刷屏網(wǎng)絡(luò)。某保險公司員工，利用該工具在家就能實現(xiàn)到公司打卡，能夠全額領(lǐng)取全勤獎。不僅破壞公司正常考勤秩序，給正常考勤上班員工帶來負(fù)面作用，更消耗公司人力成本?；陧斚蠓烙?，某保險公司構(gòu)建一套員工考勤反欺詐體系。部署后，當(dāng)月發(fā)現(xiàn)10000+名代理人通過劫持人臉信息進行虛假考勤打卡，攔截阻止超過15萬次風(fēng)險操作，為分公司挽回500萬元的代理費用。1.5出行行業(yè)某出行公司擁有1億多用戶，活躍用戶超過1000萬，作為典型的移動互聯(lián)網(wǎng)公司，在市場拓展和老用戶回饋活動中，遭遇到薅羊毛、垃圾注冊等風(fēng)險，不僅用戶合法權(quán)益受損，更影響業(yè)務(wù)正常運營?；陧斚蠓烙?，該公司建立一套營銷拓展反欺詐防控體系。能夠有效識別異常用戶和違法操作，同時進一步提升App安全性，增強黑灰產(chǎn)破解攻擊能力。應(yīng)用后，當(dāng)周發(fā)現(xiàn)并定位10萬+異常風(fēng)險設(shè)備,攔截90多萬次異常操作，營銷精準(zhǔn)率提升45%，營銷成本降低39%。2828附錄2中國信息通信研究院云計算與大數(shù)據(jù)研究所簡介中國信息通信研究院（以下簡稱“中國信通院”）是工業(yè)和信息化部直屬科研事業(yè)單位，以“國家高端專業(yè)智庫產(chǎn)業(yè)創(chuàng)新發(fā)展平臺“為發(fā)展定位，在信息通信行業(yè)重大戰(zhàn)略、規(guī)劃、政策標(biāo)準(zhǔn)和測試認(rèn)證等方面發(fā)揮了有力支撐作用。云計算與大數(shù)據(jù)研究所作為中國信通院設(shè)置的核心業(yè)務(wù)單元，旨在對云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等新興技術(shù)展開深入研究，推進相關(guān)標(biāo)準(zhǔn)的制定以及