1. 案例背景
在國家數字經濟邁入深化應用、規范發展和普惠共享的新階段,中國人民銀行和中國銀保監會相繼發布《金融科技發展規劃(2022-2025年)》和《關于銀行業保險業數字化轉型的指導意見》,全面指導金融業數字化轉型向縱深推進,面對新的系統架構、數據架構、應用架構和基礎架構,金融機構全方位加強網絡安全防護,做好網絡安全邊界延展的安全控制是數字化轉型必須攻克的難題之一。而如何量化衡量整體的網絡安全防御能力,直觀展現信息安全水位,需要專業化的檢驗方法和技術支持。
2. 技術方案
網商銀行基于自身業務現狀及面臨的網絡安全威脅特點,探索出一套基于威脅路徑圖的信息安全水位評估技術,并研發了配套的應用系統進行落地實踐,至2024年12月,信息安全水位評估系統已持續運行3年時間,通過多個指標切實有效評估且便捷展現了網商銀行的安全防御水位。
該技術的總體思路是首先建立符合企業自身面臨的網絡安全威脅現狀的威脅路徑圖,威脅路徑圖模型如圖1所示,威脅路徑圖是對企業可能遭受的網絡攻擊風險建立的數字化模型,模型將企業網絡結構抽象成圖,在圖中補充所有黑客可能的攻擊技術及企業應對攻擊的各項能力,網商銀行根據自身資產和網絡環境等關鍵信息抽象出了自己的威脅路徑圖。其次,以威脅路徑圖為基礎,由攻防藍軍通過自動化檢驗的方式,持續驗證企業應對攻擊的預防、防御、感知能力,再通過紅藍演練方式不斷發現新的風險。最后,根據演練和檢驗數據,運用水位指標計算得出威脅路徑預防率、威脅路徑防御率、威脅路徑感知率、威脅路徑縱深防御率等指標體現企業整體信息安全水位。
圖1 威脅路徑圖模型
3. 解決問題
信息安全水位量化問題,由于網絡環境的復雜性,企業的安全能力在真實的攻擊事件中的有效性難以保證,此外企業也無法準確評估當前信息安全水位和面臨的主要風險。需要量化指標從全局視角展示當前的信息安全水位情況,通過指標數據企業能夠及時發現潛在的安全問題和風險,進而采取適當的安全措施來保障企業網絡的穩定運行和數據的安全。
4. 創新亮點
5. 應用落地
通過該水位評估技術,可以從實戰角度沉淀實戰攻防數據,幫助安全能力運營人員及時發現潛在的風險。通過沉淀的攻防數據可以形成多個信息安全水位量化指標,管理層可以從風險域、安全能力等多角度的量化指標數據了解企業信息安全水位現狀,幫助企業更好的認識目前可以防御的威脅等級及面臨的風險,幫助企業更好的進行風險數字化管理,將安全建設從安全事件驅動轉化為風險驅動。
網商銀行借助該技術結合網商銀行實際情況建立了信息安全水位評估系統,通過該系統以月度為單位進行周期性的自動化檢驗,保證了安全能力的有效性,體現安全能力建設進展及效果,通過量化指標了解現有信息安全水位防御等級和風險。通過系統中威脅路徑圖的指導進行了多次紅藍演練,對可能的威脅路徑進行全面有序覆蓋,提前暴露風險。