技术方案书-2022年中国联通省分公司反诈安全管理平台研发.docx

《技术方案书-2022年中国联通省分公司反诈安全管理平台研发.docx》由会员分享，可在线阅读，更多相关《技术方案书-2022年中国联通省分公司反诈安全管理平台研发.docx（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2022年中国联通省分公司安全综合管理平台研发技术方案书2022年11月用户登录口令有复杂性检查，发现用户是弱口令时强制要求用户修改登录 口令后再登录。对于需要登录系统访问的用户，必须通过产品提供的安全策略强制实现用 户口令安全规则，如限制口令长度、限定口令修改时间间隔等，保证其身份的 合法性。应用系统必须支持对系统运行所必须的用户名与密码周期性更改的要求。登录页面具有防范暴力破解风险的措施，如设置图形验证码、短信认证 等。安全管理平台系统中存在应用服务器和数据服务器，对于关键服务器的系 统本身和运行于其上的应用，应给予专门的保护，防止未授权用户的非法访 问。其具体要求体现如下：1、可以限制用

2、户访问主机资源，不同部门或类型的用户只能访问相应的文 件或应用，可以采取授权方式限定用户对主机的访问范围。2、对于需要登录系统访问的用户，可以通过产品提供的安全策略强制实现 用户口令安全规则，如限制口令长度、限定口令修改时间间隔等，保证其身份的 合法性。3、应提供完善的漏洞扫描手段，及时发现系统的安全隐患，并据此提供必 要的解决方案。4、能够对主机的安全事件进行详细的记录，并根据需要随时进行查阅。5、具备对针对WEB服务器的专门保护。4.3应用系统安全管理应用系统的用户管理、权限管理应充分利用操作系统和数据库的安全性； 应用软件运行时须有完整的日志记录。应用系统的用户管理、权限管理充分利用操作

3、系统和数据库的安全性；应 用软件运行时须有完整的日志记录。日志信息包括操作人、操作时间、操作源 IP、操作对象、操作内容和操作正确是否等内容。用户管理：对网管用户权限进行控制，用户在启动网管客户端后，需用 已经建立的网管用户登录，并且只能以用户属性中设定的权限执行相关的网管 应用、操作相应的设备、执行相应的命令等。权限管理：系统通过可配置的界面，直观地配置每个用户的权限，这些 权限参数包括用户所在的管理区域、所要操作的设备、所要启动的应用和所要 执行的命令。操作日志管理：对用户执行的敏感操作进行记录，管理员可以浏览本网 管系统所有已经执行过的用户敏感操作信息，并提供日志过滤与删除等维护功 能。

4、应用系统日志记录至少包括以下信息：操作人操作时间操作源IP操作对象操作内容操作成功与否系统支持对系统管理员的角色细分，可按照系统管理员、分公司管理者 等进行独立授权，以确保安全审计的独立性。应用系统必须支持操作失效时间的配置，当操作员在所配置的时间内没 有对界面进行任何操作则该应用自动失效。系统提供对系统管理员的操作审计，以加强对管理员权限的约束。对关键业务操作（例如客户资料的增加/删除/修改操作、批量查询下载客户资料、修改金额、积分等），应用系统有相应日志记录。应用系统操作具备违规行为可预警、行为记录可检索的功能。应用系统中对于系统访问具有细致的权限控制，能够控制账号对非授权 信息的查看，对

5、于信息查看的字段能够实现选择性的控制，避免敏感信息存在 被非授权人员获取的风险。用户所有访问请求需在服务器侧进行校验，不得以用户提交的数据进行操作（权限检查基于服务器端记录而非用户提交数据）定制统一出错页面，不使用系统默认出错页面。用户端与服务器端交互数据必须进行校验（一致性检验、完整性检验等）, 不得未经验证直接处理用户端提交数据。通过对网管用户权限进行控制，对用户执行的敏感操作进行记录，管理 员可通过浏览用户操作日志来取得系统的所有管理操作信息。主要功能包括：备份管理：系统的数据备份和数据恢复管理，能够在线完成数据备份和 恢复的功能。5 .设备和第3方软件5.1 服务器设备数据清洗、计算整

6、合、建模等场景利用现有大数据平台之上以租户的形式 申请服务器资源，或者以物理PC机方式搭建计算集群，Web应用场景使用PC服 务器的虚拟机。针对本期项目的性能指标，结合省实际业务情况，预估机器资源如下名称配置数 量功能说明数据处理节点32 核 CPU、256GB 内存、30TB 磁盘10部署Hadoop、spark等大数 据组件管理节点24 核 CPU、128GB 内存、12TB 磁盘2大数据集管理节点接口服务器24 核 CPU、128GB 内存、30TB 磁盘2采集数据并做文件合并等预 处理结果解析/数据库服务器32 核 CPU、128GB 内存、4TB 磁 盘2开源数据库服务器，冗余部 署

7、web服务器/负载均衡16 核 CPU、128GB 内存、4TB 磁盘2web服务器，负载均衡冗余 部署合计一185.2 存储设备本系统核心数据存储处理采用hadoop集群方式，hadoop默认采用2个副本。业务数据以分布式存储架构存储，并且提供多副本方式存储避免单点故障 和数据丢失。6 .网络安全网络安全是指保护网络不被非授权用户访问，本系统支持访问控制、安全 检测、攻击监控等一系列安全功能，提供完整的网络安全监控、报警和故障处 理功能。具有入侵检测的功能，监控可疑的连接、非法访问等，采取的措施包括实 时报警、自动阻断通信连接或执行用户自定义的安全策略，入侵检测系统对违 背安全事件记录并报警

8、；定期检查安全漏洞，根据扫描的结果更正网络安全漏洞和系统中的错误配 置。提供有关网络安全的详细说明，公网上传输的数据，以国家标准的加密算 法加密；与其它网络的连接设置防火墙，并定义完备的安全配置策略进行隔离。7 .应急响应措施7.1.1 电话响应我方设立7X24的值班响应电话，当系统出现故障时，可以通过我方指定的 值班响应电话进行报障。7.1.2 远程支持服务对于通过电话指导不能解决的故障，可以通过远程接入手段，登录到对应 系统或服务，进行故障诊断，查找故障出现的原因，指导现场维护人员处理故 障或远程处理。联通提供必要的远程技术支援的设备。我方服务人员登录到故障设备，通 过诊断，分析故障产生的

9、原因，制定故障解决技术方案后，电话通知相关人 员，待技术方案经可行批准后，才能进行故障解决方案的具体实施。7.1.3 现场服务我方按合同规定数量配备相应的现场服务人员。对于通过电话支持和远程 支持都不能解决的设备故障，我方迅速提供现场支持服务，安排经验丰富的技 术支持工程师赴现场分析故障原因，制定故障解决方案，并最终排除故障。1 .项目概述1.1 背景简介近几年来，电信骚扰及诈骗犯罪多发，比如冒充淘宝客服、杀猪盘、贷款 诈骗等成为社会广泛关注的焦点，中国联通无论从社会责任还是经济效益方面 出发，都在积极地履行着遏制和打击相关不法分子违规行为的义务。但是，由 于不法分子骚扰及诈骗手段不断变化、使

10、用技术不断更新、相关政府部门的策 略不断调整，凸显出在反骚扰欺诈方面的数据统一性、标准性、信息共享机制 的建立、利用技术能力提升工作效率及支撑水平等方面重要性，因此通过建立 安全综合管理平台，通过数据进行建模分析预测，实现号码风险等级，减少骚 扰诈骗的发生，从源头遏制此类事件的发生。1.2 建设范围和目标联通为用户打造安全的通信环境，保护人民群众的财产安全，通过对电信 网络诈骗安全管理平台的建设开发，充分挖掘基础数据，从通话行为中找到恶 意号码和受害者号码，为职能部门进行诈骗行为打击提供有效数据支撑，为疑 似受害用户进行提醒劝阻。建立仿冒领导熟人诈骗、仿冒公检法、网购诈骗、 中奖诈骗、重点区域

11、诈骗、正常用户模型分析等场景的建模分析，以实现工信 部投诉平台电信欺诈投诉案例的下降为目的。同时实现不良号码及行为的多模 型综合分析和管理，具备多模型组合、管理、开放共享能力，不良号码建模层 可对外开放，实现多模型组合、模型迭代、模型管理等能力。引入新的不良号 码及行为的监测和分析模型，具体包括异常通话诈骗剧本分析模型、异常入网 行为侦测模型等，后期增加异常渠道侦测模型和针对新型欺诈行为的分析模 型，全面提升平台的综合分析能力。通过本平台，新建“安全综合管理平台”作为针对省内涉及电话诈骗行为 进行统一监测、处置和预警的系统，通过信令数据、通话数据、结合外部数据 原导入数据、如外部导入12321

12、数据、省内公安通报数据等协同，提供有效的 技术手段，着眼于降低省内涉诈行为的发生率和投诉率，满足考核达标同时协 助联通省份机构并配合公安机关打击新型电信网络违法犯罪相关工作。本次系统建设的目标是:在大数据环境中建立安全综合管理平台系统，变被动根据举报信息实施处 置为主动预防、主动处置，能有效针对联通诈骗号码进行监控、精确打击。1.3 建设原则在本期系统平台建设、设计和系统实现过程中，应遵循如下指导原则：经济性：满足要求的前提下，采用基于X86的PC服务器和开源软件的技术 架构，充分利用现有设备与系统，节省投资。实用性：操作简单、快捷，紧密结合业务；满足系统要求的查询效率与响 应时间。有良好的人

13、机接口与灵活多样的展现方式。可扩展性：架构设计与功能划分模块化，考虑各接口的开放性、可扩展 性，便于系统的快速扩展与维护，便于第三方系统的快速接入。可靠性：系统采用的系统结构、技术措施、开发手段都应建立在已经相当 成熟的应用基础上，在技术服务和维护响应上同用户积极配合，确保系统的可 靠；对数据指标要保证完整性，准确性。安全性：针对系统级、应用级、网络级，均提供合理的安全手段和措施， 为系统提供全方位、立体化的安全实施方案，确保企业内部信息的安全。规范性：系统设计和实现时按照系统工程的方法和标准的质量体系进行组 织和管理；系统在使用中注重用户流程的规范性。2 .建设步骤本期项目以大数据处理层、不

14、良号码建模层、不良号码应用层、号码信息 查询、监控平台五个方向为建设重点，实现本省号码涉案率下降为目标。大数 据处理层需形成大数据ETL、数据准备、模型准备等能力。不良号码建模层可对 外开放，实现多模型组合、模型迭代、模型管理等能力，本期需实现仿冒领导 熟人诈骗、仿冒公检法、网购诈骗、中奖诈骗、重点区域诈骗、正常用户模型 分析等场景模型等。不良号码应用层需要具备结果数据可视化、报表统计、黑 白名单管理、欺诈用户处置、欺诈用户溯源、疑似用户监控等功能。号码信息 查询提供号码业务信息的查询。监控维护平台需实现对系统的自动监控、可维 护等能力。2.1 数据采集层对接外部数据全域数据汇聚中心，通过采集

15、、清洗、转换、加工等方式， 将用户的基础数据及相应指标沉淀到数据库中，以便高效支撑系统功能模型。 并且自动完成数据的各模型间层级的加工为系统应用提供数据支撑等能力。2.2 不良号码建模层利用维度建模、算法预测、结果预测、类推法等方式，对模型计算的结果 进行进一步的分析和识别。2.3 不良号码应用层对模型处理计算的结果进行管理，包括结果数据输出、首页展示、报表统 计、疑似号码监控、疑似号码溯源等功能，同时支持与处置审核管理功能对 接，实现自动及人工审核关停处置，并且模型输出结果通过接口打标处置方 式，展现到处置界面。2.4 号码信息查询提供对单个号码或批量号码业务信息查询功能。2.5 监控维护台

16、网络监控、接口监控、任务监控、质量监控、告警管理、告警通知。3 .项目建设内容详细方案3.1 系统架构方案反诈和防骚扰工作平台作为防范打击通讯信息诈骗的基础技术支撑平台， 将要建立并完善信息共享机制、黑名单库、预测与综合研判等能力。反诈和防 骚扰工作平台将要与省内各生产、服务系统建立数据传输连接，与外部公安、 12321热线等都需要建立数据连接，并且允许其他各类手工来源数据可录入系 统，并支持各来源的数据可进行关联分析、挖掘，利用大数据的能力与技术提 高电信诈骗的识别率与处置效率，并能在海量用户中筛选具备类似行为特征的 情况，提前预判甄别诈骗行为，采取相应处置措施。反欺诈的整体系统体系结构由四

17、个部分组成，服务展现层，业务服务层， 数据服务层，数据处理层。整体使用微服务架构，实现了前后端分离的模式， 数据处理层面包括实时处理，批量处理，挖掘算法处理等。前端展现层，主要是前后端分离模式中的前端架构，使用MVVM架构，主 要负责用户业务的前端展现。包括前端展现模块，使用vue , echarts控件等内 容构建前端页面的具体展现；工具类模块，提供前端的相关工具组件，如Vue Timepicker时间组件，axios的http组件；运维模块，如通过npm进行包管理， eslint插件库进行整体风格管控等。业务服务层，主要是前后端分离模式的后端架构，实现防欺诈的业务服务 逻辑，数据访问逻辑等

18、，主要包括业务服务模块，服务监控模块，服务构建模 块。主要是使用SpringCloud作为后端服务的组件，包括eurkia, feign, ribbon 等模块，使用SpringSecuirty作为整体的安全管控，使用springboot作为服务底 层，使用mybatis作为数据服务的0/R mapping,使用druid作为数据源管理。服 务监控模块主要是针对微服务内的所有服务的整体监控运维，实现了服务的高 可用，通过logback进行日志管理等。服务构建模块，是针对微服务的相关的持 续集成的组件，包括jenkins等。数据服务层，主要是对业务数据提供多种类型的服务，使用Kafka实时数据

19、传输的管道，redis数据缓存及查询，使用mysql作为OLTP.业务的数据访问。数据处理层，主要是针对业务数据的采，存，算等。通过FTP/SFTP进行数 据的采集，通过Hadoop平台进行数据处理与存储。3.2 系统功能模块3.2.1 系统登陆认证系统前台需支持与EIAC集成单点登录，以及通过统一认证平台等方式认证 登录;系统需支持图片和短信验证码等反暴力破解的功能；用户及权限1,支持菜单管理、角色管理、用户管理、组织机构管理，支持上述功能的 增、册人改、查功能；2 .具备账号分组功能。3 .具备角色赋权功能，应用层所有功能都可自定义赋权；用户操作审计功能L系统需记录用户的登录日志，包括账号

20、名、登录时间、用户主机IP、注 销登录时间；.系统需记录用户的操作日志：包括菜单点击记录、报表查询（下载、打 ED记录，并提供按账号、日期、菜单、报表等查询条件的日志查询功 能；2 .系统需记录用户清单查询的操作日志：包括用户账号、操作时间、输入 （或导入）的号码、查询条件、查询结果等，并提供按用户账号、操作 时间等条件的日志查询功能；.系统需记录调用外部接口的日志，包括调用的接口名称、调用时间、调 用的参数、调用状态（成功与否）；3 .系统需记录调用被外部接口调用的日志，包括被调用的接口名、调用方 的相关信息（账号、IP或token等信息）、调用时间、调用的参数、调 用状态（成功与否）；4

21、.支持登录用户活跃度统计及使用模块热度统计监控维护台1 .系统自身具备网络、接口、任务、数据质量监控功能，发现异常，可第 一时间发出报警信息。告警内容、告警接收人、告警方式可配置；2 .支持在前台对系统运营任务进行调度和状态监控。3 .3外部数据接入功能模块系统需要提供有不同数据来源类型的导入功能模块3. 3.1公安数据导入系统需要接入外部公安数据的导入，以能够为不良行为模型提供数据依靠。4. 3.2 12321数据导入系统提供对不同来源不同类型的数据的导入,后续为用户行为分析做数据依靠。5. 3.1异常数据导入系统各级管理员（或被授权人）对异常号码数据进行录入，并分类对号码进行 检测。3.4

22、黑白名单管理1. 4. 1黑白名单录入系统各级管理员（或被授权人）可以批量或单个添加黑白名单数据。黑白名单整合系统各级管理员（或被授权人）可以通过手工操作，对本级管理范围内某一个 或一批黑名单进行解禁。或支持各类管理名单的新增、删除、修改、查询功能, 包括对外部数据是否加入黑白名单及是否接触黑名单等功能。2. 5用户基础数据3. 5. 1用户基础属性系统各级管理员（或被授权人）通过该界面，可通过输入用户号码进行查询用户 的基本信息情况。4. 5. 2通话行为系统各级管理员（或被授权人）通过该界面，查询用户的通话行为特征。5. 5. 3位置信息系统各级管理员（或被授权人）通过该界面，查询用户的位

23、置特征。3.6欺诈号码特征分析3. 6.1欺诈用户画像系统各级管理员（或被授权人）通过该界面，可查看历史欺诈用户的用户画像。3. 6. 2欺诈号码行为分析系统各级管理员（或被授权人）通过该界面，可查看历史欺诈号码进行可疑用户 对比。3. 6. 3疑似欺诈号码行为分析系统各级管理员（或被授权人）通过该界面，可查看疑似号码后进行研判。3.7报表中心3. 7.1反欺诈监控监控日报系统各级管理员（或被授权人）通过该界面，可查看日反欺诈监控号码情况。4. 7. 2反欺诈监控监控月报系统各级管理员（或被授权人）通过该界面，可查看月反欺诈监控号码情况5. 系统安全性概述安全管理平台系统涉及用户各类数据，需要

24、一个全面的安全管理，要考虑网络中所有安全薄弱环节的保护，同时要顾及安全策略的集中实现。5.1 网络安全管理安全管理平台系统可满足如下安全功能：网络安全管理包括系统的安全配置检测，渗透性检测，源代码审计和信息安全管理体系，保证系统的网络安全。网络安全管理包含以下几方面：1 .安全配置检测对网络、主机、数据库、应用系统的安全性和稳定性进行检测并修复，杜绝分析安全配置中存在的安全隐患。2 .渗透性检测对网络与信息系统存在的漏洞和隐患实施本地或远程渗透性检测与验证， 发现系统最脆弱的环节并加以完善。3 .源代码审计通过对定制开发的应用程序源代码进行安全扫描和审查，识别出可能导致 安全问题的编码缺陷和漏

25、洞，并加以修改。4 .制定信息安全管理体系结合系统现状，规划系统信息安全管理架构，编制信息安全管理制度，并将 信息安全管理制度落地.通过防火墙等措施对进入内部网络的数据包进行扫描过滤，能够根据 用户、IP地址、访问类型等方式进行访问规则限制，能够对常见的入侵 行为进行判断并阻止。5 .应提供地址翻译功能，屏蔽网络内部细节，防止外部黑客利用IP探测技 术发现内部网络结构和服务器真实地址，从而实现有针对性的攻击。6 .能够对网络通讯进行监控，及时发现任何来自于网络内部或外部的黑 客入侵或可疑的访问行为，并做到及时报警与阻断。7 .应做到对各子网间或远程用户传输中的数据进行安全保护，利用加密 等方式保证数据不被非法截获，并提供用户身份认证、授权等功能。8 .能够对网络通讯及逆行监控，即使发现来自网络内部及外部的入侵或 可以行为的访问，并做到及时报警与阻断.做到对网络中及远程用户传输中的数据进行安全保护，利用加密等方 式保证数据不被非法截获，并提供身份认证、授权等功能。5.2 系统安全管理系统安全提供用户登录口令复杂检查，必须符合用户口令安全规则，定期 更改用户与密码，登录页面具有防范暴力破解风险的措施，保证整个系统的登 录用户的安全。