(资料图片)

安全与稳定是金融机构的生命线。4月27日，网商银行在安全技术上的最新实践——基于威胁路径图的实战检验安全水位体系参展国际金融展。此外，网商银行受邀成为“金融网络安全实验室”首批筹建单位之一，同样受邀的还有工行、建行、中行等国有大行，同时网商银行也入选“金融网络安全能力成熟度等级评价”先行机构。

“一个新概念或技术提出来会经历一段火热期，在发现很难落地后会逐渐降温，继而慢慢开始落地。在我看来，现在正是数字化转型的落地期。伴随数字化转型的逐渐落地，金融机构面临的挑战才刚刚开始。”网商银行首席信息安全官张园超表示。

张园超谈到，在数字化转型后，企业面临的威胁等级、影响面会扩大，安全性和服务效率体验的矛盾也会愈发突出。以银行数字化转型为例，有几类比较难解决的威胁：一是0day漏洞，即系统里潜在的未知漏洞；二是软件供应链的漏洞后门；三是社会工程学攻击，利用员工进一步侵入系统。

网商银行构建了可信数字银行安全免疫体系，而基于威胁路径图的实战检验安全水位体系的实践，正是免疫系统的重要组成部分。据张园超介绍，它类似于一套“体检系统”，通过对企业所面临的威胁进行建模并抽象出威胁路径图，根据威胁路径图进行实战检验，对已知威胁的防御建设情况进行有效性验证，通过红蓝演练的方式发现未知威胁，通过对攻防数据的分析和计算，可以得到企业当前所能应对的威胁等级情况，可以得到企业较为科学的安全水位数据，指导未来安全建设，从而全面提升银行的安全水平。

据了解，这是业内首个基于威胁路径图的安全实战检验体系。落地近2年以来，该体系共沉淀了46个攻防场景、形成400多组攻击技战法，并提炼出安全产品防御有效率、纵深防御突破率、威胁感知有效率、安全能力覆盖率、高危威胁方法列表等一整套网络安全水位的数字化指标——这在传统红蓝攻防演练中难以实现。

此前，基于威胁路径图的实战检验安全水位体系已入选了工信部2022年网络安全技术应用试点示范项目以及北京金融产业联盟2023年的重点建设项目，受到行业认可。

“以实战检验安全水位技术为矛，可信纵深防御技术为盾，是网商银行数字金融安全系统的两大支柱。通过这对矛与盾的不断打磨升级，可以有效应对银行在数字化进程中面临的各种资金、业务和数据的新型威胁，保障网商银行信息安全。”张园超表示。

此外，据悉，“金融网络安全实验室”由北京国家金融科技认证中心在中国人民银行科技司指导下发起，旨在开展前沿网络安全理论、政策、标准和技术研究，探索金融行业网络安全管理新模式。