(資料圖)

安全與穩(wěn)定是金融機(jī)構(gòu)的生命線。4月27日，網(wǎng)商銀行在安全技術(shù)上的最新實(shí)踐——基于威脅路徑圖的實(shí)戰(zhàn)檢驗(yàn)安全水位體系參展國際金融展。此外，網(wǎng)商銀行受邀成為“金融網(wǎng)絡(luò)安全實(shí)驗(yàn)室”首批籌建單位之一，同樣受邀的還有工行、建行、中行等國有大行，同時(shí)網(wǎng)商銀行也入選“金融網(wǎng)絡(luò)安全能力成熟度等級評價(jià)”先行機(jī)構(gòu)。

“一個(gè)新概念或技術(shù)提出來會經(jīng)歷一段火熱期，在發(fā)現(xiàn)很難落地后會逐漸降溫，繼而慢慢開始落地。在我看來，現(xiàn)在正是數(shù)字化轉(zhuǎn)型的落地期。伴隨數(shù)字化轉(zhuǎn)型的逐漸落地，金融機(jī)構(gòu)面臨的挑戰(zhàn)才剛剛開始?！本W(wǎng)商銀行首席信息安全官張園超表示。

張園超談到，在數(shù)字化轉(zhuǎn)型后，企業(yè)面臨的威脅等級、影響面會擴(kuò)大，安全性和服務(wù)效率體驗(yàn)的矛盾也會愈發(fā)突出。以銀行數(shù)字化轉(zhuǎn)型為例，有幾類比較難解決的威脅：一是0day漏洞，即系統(tǒng)里潛在的未知漏洞；二是軟件供應(yīng)鏈的漏洞后門；三是社會工程學(xué)攻擊，利用員工進(jìn)一步侵入系統(tǒng)。

網(wǎng)商銀行構(gòu)建了可信數(shù)字銀行安全免疫體系，而基于威脅路徑圖的實(shí)戰(zhàn)檢驗(yàn)安全水位體系的實(shí)踐，正是免疫系統(tǒng)的重要組成部分。據(jù)張園超介紹，它類似于一套“體檢系統(tǒng)”，通過對企業(yè)所面臨的威脅進(jìn)行建模并抽象出威脅路徑圖，根據(jù)威脅路徑圖進(jìn)行實(shí)戰(zhàn)檢驗(yàn)，對已知威脅的防御建設(shè)情況進(jìn)行有效性驗(yàn)證，通過紅藍(lán)演練的方式發(fā)現(xiàn)未知威脅，通過對攻防數(shù)據(jù)的分析和計(jì)算，可以得到企業(yè)當(dāng)前所能應(yīng)對的威脅等級情況，可以得到企業(yè)較為科學(xué)的安全水位數(shù)據(jù)，指導(dǎo)未來安全建設(shè)，從而全面提升銀行的安全水平。

據(jù)了解，這是業(yè)內(nèi)首個(gè)基于威脅路徑圖的安全實(shí)戰(zhàn)檢驗(yàn)體系。落地近2年以來，該體系共沉淀了46個(gè)攻防場景、形成400多組攻擊技戰(zhàn)法，并提煉出安全產(chǎn)品防御有效率、縱深防御突破率、威脅感知有效率、安全能力覆蓋率、高危威脅方法列表等一整套網(wǎng)絡(luò)安全水位的數(shù)字化指標(biāo)——這在傳統(tǒng)紅藍(lán)攻防演練中難以實(shí)現(xiàn)。

此前，基于威脅路徑圖的實(shí)戰(zhàn)檢驗(yàn)安全水位體系已入選了工信部2022年網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范項(xiàng)目以及北京金融產(chǎn)業(yè)聯(lián)盟2023年的重點(diǎn)建設(shè)項(xiàng)目，受到行業(yè)認(rèn)可。

“以實(shí)戰(zhàn)檢驗(yàn)安全水位技術(shù)為矛，可信縱深防御技術(shù)為盾，是網(wǎng)商銀行數(shù)字金融安全系統(tǒng)的兩大支柱。通過這對矛與盾的不斷打磨升級，可以有效應(yīng)對銀行在數(shù)字化進(jìn)程中面臨的各種資金、業(yè)務(wù)和數(shù)據(jù)的新型威脅，保障網(wǎng)商銀行信息安全。”張園超表示。

此外，小編獲悉，“金融網(wǎng)絡(luò)安全實(shí)驗(yàn)室”由北京國家金融科技認(rèn)證中心在中國人民銀行科技司指導(dǎo)下發(fā)起，旨在開展前沿網(wǎng)絡(luò)安全理論、政策、標(biāo)準(zhǔn)和技術(shù)研究，探索金融行業(yè)網(wǎng)絡(luò)安全管理新模式。

關(guān)鍵詞：