(資料圖片僅供參考)

安全與穩定是金融機構的生命線。4月27日，網商銀行在安全技術上的最新實踐——基于威脅路徑圖的實戰檢驗安全水位體系參展國際金融展。此外，網商銀行受邀成為“金融網絡安全實驗室”首批籌建單位之一，同樣受邀的還有工行、建行、中行等國有大行，同時網商銀行也入選“金融網絡安全能力成熟度等級評價”先行機構。

“一個新概念或技術提出來會經歷一段火熱期，在發現很難落地后會逐漸降溫，繼而慢慢開始落地。在我看來，現在正是數字化轉型的落地期。伴隨數字化轉型的逐漸落地，金融機構面臨的挑戰才剛剛開始。”網商銀行首席信息安全官張園超表示。

張園超談到，在數字化轉型后，企業面臨的威脅等級、影響面會擴大，安全性和服務效率體驗的矛盾也會愈發突出。以銀行數字化轉型為例，有幾類比較難解決的威脅：一是0day漏洞，即系統里潛在的未知漏洞；二是軟件供應鏈的漏洞后門；三是社會工程學攻擊，利用員工進一步侵入系統。

網商銀行構建了可信數字銀行安全免疫體系，而基于威脅路徑圖的實戰檢驗安全水位體系的實踐，正是免疫系統的重要組成部分。據張園超介紹，它類似于一套“體檢系統”，通過對企業所面臨的威脅進行建模并抽象出威脅路徑圖，根據威脅路徑圖進行實戰檢驗，對已知威脅的防御建設情況進行有效性驗證，通過紅藍演練的方式發現未知威脅，通過對攻防數據的分析和計算，可以得到企業當前所能應對的威脅等級情況，可以得到企業較為科學的安全水位數據，指導未來安全建設，從而全面提升銀行的安全水平。

據了解，這是業內首個基于威脅路徑圖的安全實戰檢驗體系。落地近2年以來，該體系共沉淀了46個攻防場景、形成400多組攻擊技戰法，并提煉出安全產品防御有效率、縱深防御突破率、威脅感知有效率、安全能力覆蓋率、高危威脅方法列表等一整套網絡安全水位的數字化指標——這在傳統紅藍攻防演練中難以實現。

此前，基于威脅路徑圖的實戰檢驗安全水位體系已入選了工信部2022年網絡安全技術應用試點示范項目以及北京金融產業聯盟2023年的重點建設項目，受到行業認可。

“以實戰檢驗安全水位技術為矛，可信縱深防御技術為盾，是網商銀行數字金融安全系統的兩大支柱。通過這對矛與盾的不斷打磨升級，可以有效應對銀行在數字化進程中面臨的各種資金、業務和數據的新型威脅，保障網商銀行信息安全。”張園超表示。

此外，小編獲悉，“金融網絡安全實驗室”由北京國家金融科技認證中心在中國人民銀行科技司指導下發起，旨在開展前沿網絡安全理論、政策、標準和技術研究，探索金融行業網絡安全管理新模式。