为金融机构数字化建“免疫系统”,网商银行安全技术参展国际金融展
source link: http://tech.caijing.com.cn/20230427/4933882.shtml
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
为金融机构数字化建“免疫系统”,网商银行安全技术参展国际金融展
安全与稳定是金融机构的生命线。4月27日,网商银行在安全技术上的最新实践——基于威胁路径图的实战检验安全水位体系参展国际金融展。此外,网商银行受邀成为“金融网络安全实验室”首批筹建单位之一,同样受邀的还有工行、建行、中行等国有大行,同时网商银行也入选“金融网络安全能力成熟度等级评价”先行机构。
“一个新概念或技术提出来会经历一段火热期,在发现很难落地后会逐渐降温,继而慢慢开始落地。在我看来,现在正是数字化转型的落地期。伴随数字化转型的逐渐落地,金融机构面临的挑战才刚刚开始。”网商银行首席信息安全官张园超表示。
张园超谈到,在数字化转型后,企业面临的威胁等级、影响面会扩大,安全性和服务效率体验的矛盾也会愈发突出。以银行数字化转型为例,有几类比较难解决的威胁:一是0day漏洞,即系统里潜在的未知漏洞;二是软件供应链的漏洞后门;三是社会工程学攻击,利用员工进一步侵入系统。
网商银行构建了可信数字银行安全免疫体系,而基于威胁路径图的实战检验安全水位体系的实践,正是免疫系统的重要组成部分。据张园超介绍,它类似于一套“体检系统”,通过对企业所面临的威胁进行建模并抽象出威胁路径图,根据威胁路径图进行实战检验,对已知威胁的防御建设情况进行有效性验证,通过红蓝演练的方式发现未知威胁,通过对攻防数据的分析和计算,可以得到企业当前所能应对的威胁等级情况,可以得到企业较为科学的安全水位数据,指导未来安全建设,从而全面提升银行的安全水平。
据了解,这是业内首个基于威胁路径图的安全实战检验体系。落地近2年以来,该体系共沉淀了46个攻防场景、形成400多组攻击技战法,并提炼出安全产品防御有效率、纵深防御突破率、威胁感知有效率、安全能力覆盖率、高危威胁方法列表等一整套网络安全水位的数字化指标——这在传统红蓝攻防演练中难以实现。
此前,基于威胁路径图的实战检验安全水位体系已入选了工信部2022年网络安全技术应用试点示范项目以及北京金融产业联盟2023年的重点建设项目,受到行业认可。
“以实战检验安全水位技术为矛,可信纵深防御技术为盾,是网商银行数字金融安全系统的两大支柱。通过这对矛与盾的不断打磨升级,可以有效应对银行在数字化进程中面临的各种资金、业务和数据的新型威胁,保障网商银行信息安全。”张园超表示。
此外,记者获悉,“金融网络安全实验室”由北京国家金融科技认证中心在中国人民银行科技司指导下发起,旨在开展前沿网络安全理论、政策、标准和技术研究,探索金融行业网络安全管理新模式。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK