中国移动陕西公司（以下简称陕西移动）作为陕西省最大的通信运营企业，拥有超过2700万各类用户，业务范围涵盖无线通信、固网通信、宽带、数字业务、政企业务等数百种，积累了海量的运营数据。为保障运营数据的安全，防止数据泄露，尤其是含有敏感信息的业务数据泄露，陕西移动建设了一整套数据安全管控体系，通过数据应用安全、存储和处理安全、数据采集安全、基础安全管理、基础设施管理五位一体协同保障信息系统的安全管理。随着4G、高速宽带、政企业务的快速发展，接入核心数据系统的信息点越来越多，日常运维及安全监控工作的难度也越来越大。2017年，在国家“十三五”信息安全技术提升要求和移动集团关于数据安全保障的需求下，陕西移动积极推进信息系统行为安全审计体系建设，顺利完成系统部署及实施。

一、行为安全审计平台建设背景

目前陕西移动在安全审计领域，基于审计策略分析结果日志，利用审计流程已实现了审计任务下派、填报和审核。但由于业务支撑系统比较复杂，业务变更审计系统不易及时更新，使得业务支撑系统的业务配置规则难度较大，审计策略分析结果不够严谨，分析结果数据不够细致，不能直观发现违规操作行为，不能准确进行人员定责。为统筹解决以上问题，改善公司行为安全审计短板，加强安全信息管控力度，公司吸收了国内外最新安全审计理论与经验，以大数据技术和大数据审计方法论为指导，将OLAP、数据挖掘、智能分析等技术引入安全审计工作，实现实时审计告警、风险关口前移以及审计全生命周期自动化管理。实现审计方式由传统审计的事后审计、周期审计向连续审计转变，审计抽样开始系统化、模块化、智能化，并开始具有预测功能，而样本最终将扩展至全体数据，进一步促进审计成果的转化与应用，从而对审计风险进行端到端的管理和监控。

二、行为安全审计平台架构及关键技术

（一）系统架构

行为安全审计项目建设小组（以下简称项目组）通过仔细研究集团安全管理规范，参考业界前沿的安全技术手段，结合多年来在安全管理方面的经验，提出平台建设四部曲——以“支撑—内容—要点—目标”为层进体系的行为安全审计平台建设体系，如图1所示。该体系以组织架构和安全审计框架为支撑点，重点面向业务部门，并以业务部门的实际工作为落脚点，建立安全审计框架，以保证建设成果与业务紧密结合，使效果落在实处。一期建设重点关注金融积分类、客户信息类、高危业务类、风险行为类四大类行为20余个点的行为审计常态化监控预警体系，重点对业务差错、业务真实性、业务合规性、异动合规性等进行安全审计，确保行为操作合规，杜绝行为风险，实现业务真实、资金到账安全可靠、风险防范有据可依的业务目标。

（二）关键技术

1.基于行为全生命周期的“信息熵”评判技术。在行为安全体系及行为安全平台建设中，项目组在实践集团规范的同时，积极吸收业界最新行为安全理论与安全技术，并将最新理论技术运用到实践中。由于安全行为是由数十种安全指标组成，传统的安全指标计算都是通过多维度进行分析，缺乏整体的行为安全评估值，多维度的安全评估值有时还会对整体的安全形势造成误判。基于此，项目组引入“信息熵”理论，通过趋同理论和疏远理论进行综合计算，得到具体时刻行为主体的“归一化信息熵”值，从而构建基于熵体系的全生命周期“熵”曲线，进行持续、全面、实时的审计实践，提升了行为审计效率。根据“信息论之父”香农对信息熵的定义，信息熵是系统复杂度综合衡量值，是排除了冗余后的平均信息量，并将该综合衡量值称为信息熵。香农定义并给出了“信息熵”的计算公式：

针对行为安全领域，项目组借鉴信息熵的计算方法，提出如下行为安全信息熵算法：

第一步：确定使用信息熵的场景。在一定时期内实施有限频次的审计，为了更好地发现异常行为，项目组建立了用户行为综合画像，每个画像包含60-80个行为特征项，对具体画像的指标进行权重定义。

第二步：形成信息熵。利用信息熵理论和行为特征数据，自动筛选出最有价值的行为特征项。特征项的信息熵越大，表示其特征项取值表现出相同或相近的特点（平均概率），即行为趋同，差异性小，该特征项对行为测算的参考作用就越小。可通过行为特征项的信息熵来确定特征项在行为分群计算中的风险度。通过对行为安全的信息熵进行分析，针对安全领域风险进行探测。

图1 行为安全审计系统架构

2.多模型复合审计技术。在具体的审计实践中，行为安全审计系统引入多模型审计技术，通过把握不同模型的技术特征，将业务模型运用到同一数据源不同的时序阶段中，并对计算结果进行交集或并集计算（拟合），使输出结果更为精确，周界更为清晰。如图2所示，传统的针对行为特点进行整合分析，运用K-Means算法来进行聚类分析后进行结果输出。该方法无法对噪音数据进行排除，数据边界也不清晰。改进后的安全审计模型则是在运用K-Means算法的基础上融合DBSCAN算法，能够有效地去除“白噪音”，更精准地输出结果数据，并对周界进行判定。基于双算法模型理论，对营业员操作CRM系统的敏感行为进行审计，过程及结果如图3所示。

图2 双算法模型初筛结果复合示意图

图3 双算法模型对操作频次安全审计结果分析

3.基于AI的安全探测引擎。为使行为安全审计平台更智能，使用更便捷，项目组在开发过程中引入人工智能（AI）技术。通过事件扫描，动态推理、启发分析，构建安全探测引擎，实现行为安全审计与人工智能技术的结合。AI安全探测引擎及运行保障流程如图4所示。AI安全探测引擎工作流程包括执行流程和保障流程：（1）AI行为探测引擎执行流程。探测引擎先对审计事件进行综合扫描，形成特征审计事件，而后运用动态推理机对特征事件进行综合解析，接着由启发式分析机对解析结果做出判断，预测用户接下来的行为，并在交互式页面进行提示。（2）AI行为探测引擎保障流程。为保障探测引擎的精准运行，设计了模型设计、ETL作业及调度、数据质量把控、时间窗等关键保障流程，通过对数据运行、模型运行、质量保障、运行调度进行统一监控与统一调度，实现探测引擎的安全稳定、持续可靠运行。相比传统审计电子流，AI审计引擎具有两个优势：一是将原有的知识库“被动查询”演进为“主动匹配”。数据在处理过程中，根据解析后的字段及目标，知识库能够通过扫描字段及参数，主动给出具体的适配模型，并通过血缘关系组件给出其他参考知识。该技术极大地简化了审计人员的操作复杂度，使平台更易用。二是在日志信息处理流程中，引入工作流程与保障流程相结合的双运行机制。由于日志审计业务量大，数据采集广泛，使用人员众多，缺乏保障流程会对数据处理造成干扰，甚至造成页面崩溃等问题。保障流程能够对事件流的处理序列进行全程保障，避免集中数据频繁操作造成页面假死等问题，提升了使用体验。

三、行为安全审计平台应用成效

目前平台已逐步替代原有人工行为安全审计模式，按计划自动执行安全审计。为提升系统的应用范围，提高系统的可用性，系统增加了自助审计报告构建、审计结果回溯等新功能，极大地方便了业务部门在业务安全方面的使用体验，展现了系统先进的设计理念和良好的扩展性能。

图4 AI安全探测引擎及运行保障流程

图5 陕西移动行为安全审计平台风险画像描述

在日志审计方面，系统构建了基于充值缴费、详单查询等7类风险主题，并基于风险行为固化了14项风险模型。上线以来，成功识别风险5000余例，涉及安全风险金额850多万元，督导修正风险流程11例，挽回行为风险损失约300万元，并协助相关业务部门核查违规操作23例，协助修订系统操作手册1例。系统使用快速普及，使用范围不断拓展。

在行为安全审计实践中，针对用户异常行为，构建了异常行为画像，如图5所示。通过大数据可视化技术实时展现行为异常动态，使操作人员能够更快速、更方便地获取行为监测信息，并进行及时整改。

行为安全审计平台为信息系统及通讯、网络的安全可控、敏感行为的及时监测、数据防泄漏提供了强有力的保障。下一阶段，陕西移动将持续优化行为安全审计平台，不断拓展平台使用领域，持续推进系统深化应用，并提供更多的可视化应用效果，提升使用的便捷性和人机交互体验，最终实现信息系统行为安全审计全覆盖及快速响应，杜绝因行为异常导致的潜在风险发生。