(资料图)
安全与稳定是金融机构的生命线。4月27日,网商银行在安全技术上的最新实践——基于威胁路径图的实战检验安全水位体系参展国际金融展。此外,网商银行受邀成为“金融网络安全实验室”首批筹建单位之一,同样受邀的还有工行、建行、中行等国有大行,同时网商银行也入选“金融网络安全能力成熟度等级评价”先行机构。
“一个新概念或技术提出来会经历一段火热期,在发现很难落地后会逐渐降温,继而慢慢开始落地。在我看来,现在正是数字化转型的落地期。伴随数字化转型的逐渐落地,金融机构面临的挑战才刚刚开始。”网商银行首席信息安全官张园超表示。
张园超谈到,在数字化转型后,企业面临的威胁等级、影响面会扩大,安全性和服务效率体验的矛盾也会愈发突出。以银行数字化转型为例,有几类比较难解决的威胁:一是0day漏洞,即系统里潜在的未知漏洞;二是软件供应链的漏洞后门;三是社会工程学攻击,利用员工进一步侵入系统。
网商银行构建了可信数字银行安全免疫体系,而基于威胁路径图的实战检验安全水位体系的实践,正是免疫系统的重要组成部分。据张园超介绍,它类似于一套“体检系统”,通过对企业所面临的威胁进行建模并抽象出威胁路径图,根据威胁路径图进行实战检验,对已知威胁的防御建设情况进行有效性验证,通过红蓝演练的方式发现未知威胁,通过对攻防数据的分析和计算,可以得到企业当前所能应对的威胁等级情况,可以得到企业较为科学的安全水位数据,指导未来安全建设,从而全面提升银行的安全水平。
据了解,这是业内首个基于威胁路径图的安全实战检验体系。落地近2年以来,该体系共沉淀了46个攻防场景、形成400多组攻击技战法,并提炼出安全产品防御有效率、纵深防御突破率、威胁感知有效率、安全能力覆盖率、高危威胁方法列表等一整套网络安全水位的数字化指标——这在传统红蓝攻防演练中难以实现。
此前,基于威胁路径图的实战检验安全水位体系已入选了工信部2022年网络安全技术应用试点示范项目以及北京金融产业联盟2023年的重点建设项目,受到行业认可。
“以实战检验安全水位技术为矛,可信纵深防御技术为盾,是网商银行数字金融安全系统的两大支柱。通过这对矛与盾的不断打磨升级,可以有效应对银行在数字化进程中面临的各种资金、业务和数据的新型威胁,保障网商银行信息安全。”张园超表示。
此外,据悉,“金融网络安全实验室”由北京国家金融科技认证中心在中国人民银行科技司指导下发起,旨在开展前沿网络安全理论、政策、标准和技术研究,探索金融行业网络安全管理新模式。