风险引擎   风险分析的智慧大脑

　　主动识别风险能力弱

　　企业通常只能在安全事件发生后进行事后处理，而已发生的安全事件可能已经给企业带来难以挽回的损失，缺少风险提前发现和预警的能力。

　　缺少事中控制手段

　　当安全事件发生时，难以定位事件发生的位置和发起人，同时缺乏相应的控制手段立即中止事件

　　事后追溯和分析困难

　　对于已经发生的安全事件，特别是涉及范围较广时，难以串联各方数据形成有效的追踪链条，追溯难度大、效率低，难以快速响应和补救。

　　简介

　　风险引擎是“融合认证服务”的增强组件，作为融合认证服务的“大脑”来分析风险，通过设计风险阻断机制，实时告知组织访问控制存在的潜在风险，实现事前智能风险防范。基于事先预设好的风险管理规则，可实时计算任意访问的风险评分，对用户访问元数据(时间、地点、习惯、账号、关系、行为、权限等)进行控制。应用这种基于上下文级别的行为风险管理，收集用户日常登录系统的操作行为和使用习惯，持续深度学习其行为特征，并基于该计算模型主动收集用户行为相关数据进行建模。通过对组织用户访问元数据的收集、清洗，对用户的访问行为进行实时、全面评估，当系统检测到反欺诈风险时，主动阻断风险以保证用户访问的安全性。

　　产品特性

　　大数据平台

　　风险引擎建立在大数据平台的基础上，采用了Hadoop、Spark、Streaming、ELK、ETL等技术，能够持续汇聚IAM体系和企业资源各个节点的海量数据，支撑风险模型的建立和持续优化。

　　灵活的数据收集

　　对实时数据和非实时数据提供多种灵活的采集手段，提供数据收集适配功能，通过配置灵活的采集不同数据源的不同数据;提供数据收集监控功能，监控数据收集情况。

　　智能风险分析模型

　　利用人工智能领域的相关技术对采集的各类数据进行深度挖掘，从多个维度建立对应的风险模型，在数据积累的过程中不断对模型进行训练，确保风险识别更科学、更准确。

　　动态访问控制

　　结合BAM实现用户访问行为的动态风险检测，对存在风险的访问行为实施动态调整安全策略，如调度二次认证、阻断等，对正常的访问行为提供安全快捷通道，实现安全性与便捷性的平衡。

　　可扩展的风险策略库

　　平台风险策略库除了内置通用支持灵活扩展的能力，能为企业的特定业务和场景定制符合需要的风险模型、风险规则和风险处理策略。

　　风险服务输出

　　平台通过标准接口或SDK的方式对外输出风险检测相关服务，通过赋能，将风险检测能力延展至各类应用、终端和设备的使用场景中，较低成本提升企业信息化资产整体的安全性。

　　应用场景

　　风险监控大盘

　　提供各类风险信息的数字大盘，从账号、应用、场景、行为、预警等多个维度展现平台风险监控信息，实时更新风险动态，便于管理人员及时了解平台总体风险情况。

　　风险检测场景

　　平台支持对B/S应用、C/S应用、移动应用、PC桌面、设备等各类信息化资源的登录、认证、业务操作等场景进行风险检测。

　　预置风险模型

　　平台预置了常见的风险模型及相关风险规则，如异地登录、非信任设备、非常用IP、非习惯行为等风险，能够满足通常访问场景下的风险检测需求。

　　风险分析维度

　　平台从多个维度进行相关数据的采集以确保风险分析的可靠性和准确性，综合设备、地点、时间、资源、认证、行为、环境、权限等方面进行全盘风险分析。

　　UEBA视图

　　提供UEBA分析视图，从访问分布、地点分布、设备分布、风险分布、认证偏好、失败原因、登录排行、活跃用户等多个方面提供统计分析，辅助企业了解用户行为、平台承载量和风险趋势以进行决策。

　　风险审计

　　提供可视化风险审计信息查询，便于管理人员对风险事件进行详细追踪，从风险事件发生的时间和地点、风险账号详细信息、风险处理过程、风险确认和消除情况等方面实现风险闭环审查。

　　产品架构

　　平台基于深度学习技术，对访问控制进行风险计算，对用户访问元数据(时间、位置、习惯、账号、关系、行为、权限等)进行控制，并基于该计算模型主动收集用户行为相关数据进行建模。在数据统一查询、展示方面，风险引擎同时提供了基于一些开源技术实现了数据的可视化、数据的统一查询能力。

　　产品优势

　　风险数据收集

　　基于Elastic Stack体系中Beat + Logstash + Elastic Search对竹云产品的日志数据进行采集、存储，目前内置对竹云统一认证平台+融合认证产品的日志进行收集。同时它自身也具备按需求收集业务系统日志的能力。

　　风险判断服务

　　为具体场景提供不同的风险分析服务，结合“融合认证服务”能为融合认证服务的多因素认证能力变得智能化，如果独立使用也可为应用提供风险的识别，并提供异常行为处理的判断依据。

　　风险规则管理

　　提供灵活的定制化风险规则模块的能力，并可以通过可视化的方式对风险规则模块、风险规则相应的风险策略进行相应的配置。让一个风险规则可以服务于多种场景，并且每种场景可以使用不同的风险策略。

　　渠道管理

　　用于建立应用、应用中的业务点与风险规则的关系，并以场景为服务单位对外提供风险判断服务 ，可以对渠道、场景做新增、删除、启用、禁用、修改、查询、关联风险、风险关联展示等操作。