1. 案例背景
在国家数字经济迈入深化应用、规范发展和普惠共享的新阶段,中国人民银行和中国银保监会相继发布《金融科技发展规划(2022-2025年)》和《关于银行业保险业数字化转型的指导意见》,全面指导金融业数字化转型向纵深推进,面对新的系统架构、数据架构、应用架构和基础架构,金融机构全方位加强网络安全防护,做好网络安全边界延展的安全控制是数字化转型必须攻克的难题之一。而如何量化衡量整体的网络安全防御能力,直观展现信息安全水位,需要专业化的检验方法和技术支持。
2. 技术方案
网商银行基于自身业务现状及面临的网络安全威胁特点,探索出一套基于威胁路径图的信息安全水位评估技术,并研发了配套的应用系统进行落地实践,至2024年12月,信息安全水位评估系统已持续运行3年时间,通过多个指标切实有效评估且便捷展现了网商银行的安全防御水位。
该技术的总体思路是首先建立符合企业自身面临的网络安全威胁现状的威胁路径图,威胁路径图模型如图1所示,威胁路径图是对企业可能遭受的网络攻击风险建立的数字化模型,模型将企业网络结构抽象成图,在图中补充所有黑客可能的攻击技术及企业应对攻击的各项能力,网商银行根据自身资产和网络环境等关键信息抽象出了自己的威胁路径图。其次,以威胁路径图为基础,由攻防蓝军通过自动化检验的方式,持续验证企业应对攻击的预防、防御、感知能力,再通过红蓝演练方式不断发现新的风险。最后,根据演练和检验数据,运用水位指标计算得出威胁路径预防率、威胁路径防御率、威胁路径感知率、威胁路径纵深防御率等指标体现企业整体信息安全水位。
图1 威胁路径图模型
3. 解决问题
信息安全水位量化问题,由于网络环境的复杂性,企业的安全能力在真实的攻击事件中的有效性难以保证,此外企业也无法准确评估当前信息安全水位和面临的主要风险。需要量化指标从全局视角展示当前的信息安全水位情况,通过指标数据企业能够及时发现潜在的安全问题和风险,进而采取适当的安全措施来保障企业网络的稳定运行和数据的安全。
4. 创新亮点
5. 应用落地
通过该水位评估技术,可以从实战角度沉淀实战攻防数据,帮助安全能力运营人员及时发现潜在的风险。通过沉淀的攻防数据可以形成多个信息安全水位量化指标,管理层可以从风险域、安全能力等多角度的量化指标数据了解企业信息安全水位现状,帮助企业更好的认识目前可以防御的威胁等级及面临的风险,帮助企业更好的进行风险数字化管理,将安全建设从安全事件驱动转化为风险驱动。
网商银行借助该技术结合网商银行实际情况建立了信息安全水位评估系统,通过该系统以月度为单位进行周期性的自动化检验,保证了安全能力的有效性,体现安全能力建设进展及效果,通过量化指标了解现有信息安全水位防御等级和风险。通过系统中威胁路径图的指导进行了多次红蓝演练,对可能的威胁路径进行全面有序覆盖,提前暴露风险。
