【資料圖】
安全與穩(wěn)定是金融機(jī)構(gòu)的生命線。4月27日,網(wǎng)商銀行在安全技術(shù)上的最新實(shí)踐——基于威脅路徑圖的實(shí)戰(zhàn)檢驗(yàn)安全水位體系參展國際金融展。此外,網(wǎng)商銀行受邀成為“金融網(wǎng)絡(luò)安全實(shí)驗(yàn)室”首批籌建單位之一,同樣受邀的還有工行、建行、中行等國有大行,同時(shí)網(wǎng)商銀行也入選“金融網(wǎng)絡(luò)安全能力成熟度等級評價(jià)”先行機(jī)構(gòu)。
“一個(gè)新概念或技術(shù)提出來會(huì)經(jīng)歷一段火熱期,在發(fā)現(xiàn)很難落地后會(huì)逐漸降溫,繼而慢慢開始落地。在我看來,現(xiàn)在正是數(shù)字化轉(zhuǎn)型的落地期。伴隨數(shù)字化轉(zhuǎn)型的逐漸落地,金融機(jī)構(gòu)面臨的挑戰(zhàn)才剛剛開始?!本W(wǎng)商銀行首席信息安全官張園超表示。
張園超談到,在數(shù)字化轉(zhuǎn)型后,企業(yè)面臨的威脅等級、影響面會(huì)擴(kuò)大,安全性和服務(wù)效率體驗(yàn)的矛盾也會(huì)愈發(fā)突出。以銀行數(shù)字化轉(zhuǎn)型為例,有幾類比較難解決的威脅:一是0day漏洞,即系統(tǒng)里潛在的未知漏洞;二是軟件供應(yīng)鏈的漏洞后門;三是社會(huì)工程學(xué)攻擊,利用員工進(jìn)一步侵入系統(tǒng)。
網(wǎng)商銀行構(gòu)建了可信數(shù)字銀行安全免疫體系,而基于威脅路徑圖的實(shí)戰(zhàn)檢驗(yàn)安全水位體系的實(shí)踐,正是免疫系統(tǒng)的重要組成部分。據(jù)張園超介紹,它類似于一套“體檢系統(tǒng)”,通過對企業(yè)所面臨的威脅進(jìn)行建模并抽象出威脅路徑圖,根據(jù)威脅路徑圖進(jìn)行實(shí)戰(zhàn)檢驗(yàn),對已知威脅的防御建設(shè)情況進(jìn)行有效性驗(yàn)證,通過紅藍(lán)演練的方式發(fā)現(xiàn)未知威脅,通過對攻防數(shù)據(jù)的分析和計(jì)算,可以得到企業(yè)當(dāng)前所能應(yīng)對的威脅等級情況,可以得到企業(yè)較為科學(xué)的安全水位數(shù)據(jù),指導(dǎo)未來安全建設(shè),從而全面提升銀行的安全水平。
據(jù)了解,這是業(yè)內(nèi)首個(gè)基于威脅路徑圖的安全實(shí)戰(zhàn)檢驗(yàn)體系。落地近2年以來,該體系共沉淀了46個(gè)攻防場景、形成400多組攻擊技戰(zhàn)法,并提煉出安全產(chǎn)品防御有效率、縱深防御突破率、威脅感知有效率、安全能力覆蓋率、高危威脅方法列表等一整套網(wǎng)絡(luò)安全水位的數(shù)字化指標(biāo)——這在傳統(tǒng)紅藍(lán)攻防演練中難以實(shí)現(xiàn)。
此前,基于威脅路徑圖的實(shí)戰(zhàn)檢驗(yàn)安全水位體系已入選了工信部2022年網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范項(xiàng)目以及北京金融產(chǎn)業(yè)聯(lián)盟2023年的重點(diǎn)建設(shè)項(xiàng)目,受到行業(yè)認(rèn)可。
“以實(shí)戰(zhàn)檢驗(yàn)安全水位技術(shù)為矛,可信縱深防御技術(shù)為盾,是網(wǎng)商銀行數(shù)字金融安全系統(tǒng)的兩大支柱。通過這對矛與盾的不斷打磨升級,可以有效應(yīng)對銀行在數(shù)字化進(jìn)程中面臨的各種資金、業(yè)務(wù)和數(shù)據(jù)的新型威脅,保障網(wǎng)商銀行信息安全?!睆垐@超表示。
此外,據(jù)悉,“金融網(wǎng)絡(luò)安全實(shí)驗(yàn)室”由北京國家金融科技認(rèn)證中心在中國人民銀行科技司指導(dǎo)下發(fā)起,旨在開展前沿網(wǎng)絡(luò)安全理論、政策、標(biāo)準(zhǔn)和技術(shù)研究,探索金融行業(yè)網(wǎng)絡(luò)安全管理新模式。
關(guān)鍵詞:
關(guān)于我們 廣告服務(wù) 手機(jī)版 投訴文章:435 226 40@qq.com
Copyright (C) 1999-2020 www.w4vfr.cn 愛好者日報(bào)網(wǎng) 版權(quán)所有 聯(lián)系網(wǎng)站:435 226 40@qq.com