高嵩：数字银行安全体系构建

观点

2023年11月12日，网商银行首席信息官高嵩在2023金融街论坛年会—数字技术助力智能金融发展论坛上发布书籍《数字银行安全体系构建》，并分享了网商银行的实践和思考。

他指出，随着“数字银行”在全球多个国家和地区迅速发展，金融服务更加普惠的同时，数字银行面临的数据泄露与网络安全的问题日益凸显，银行安全体系建设，成为数字银行发展的当务之急。网商银行作为中国最早成立的数字银行之一，已经形成一套完善的安全体系：首先，在规避风险方面，网商银行的默认安全机制，可以识别所有已知的安全风险；其次，网商银行搭建了一套以密码学为基础、可信芯片为信任根、可信软件基为核心的可信纵深防御体系。此外，在日常运行中，网商银行的安全系统还具“瞭望”能力，能够感知威胁，搜集情报并做出即时的反应。与此同时网商银行还通过红蓝攻防实战演练，来提升系统安全性。《数字银行安全体系构建》这本书既是网商银行的实践案例，也不失为一份“操作指南”，对行业具备借鉴意义。

网商银行首席信息官 高嵩

网商银行是一家无网点的互联网银行，也可以说我们的从最开始就是一家云原生的数字银行。接下来我也跟大家分享下，这些年来我们在数字银行的路上，是如何逐步构建我们的安全免疫系统，应对数字化过程中的安全挑战。

今天我跟大家分享的内容主要有三个方面：1、在整个数字化进程中我们面临的安全挑战；2、针对这些挑战，我们做数字银行安全建设的思路是怎样的；3、我们是如何构建我们的安全免疫体系的。

数字化转型是当下金融行业的主要趋势和发展方向。数字化带来了一系列的特点：如业务服务的半径越来越大、服务的体验和效率极大提升、基于数字化决策越来越快等等。然而不可忽视的是，数字化在带来效率显著提升的同时，也必然伴随着风险敞口的增加，特别是来自于网络安全与数据安全方面的挑战。我们认为，主要有三个方面：

（1）风险敞口与影响面扩大。金融服务线上化、场景化、复杂化导致银行信息系统对外暴露的攻击面必然大幅度增加，将会有越来越多的漏洞被黑客发现和利用，攻击成功的概率也将会提升

（2）安全威胁等级将会提升。由于金融业务和资金有关，越来越多的金融服务数字化以后，攻击成功的潜在收益会增加。攻击者也更愿意投入更大的攻击成本，所以数字化转型中面临的安全威胁等级提高。

（3）安全与效率的矛盾将会更加突出。原本依靠网络隔离技术和管理制度约束的机制不一定能继续适应，很可能无法满足业务发展的效率诉求和服务体验需求。因此，如何在应对高等级安全威胁的同时还能兼顾效率和服务体验，也是金融业务数字化转型中一个不可忽视的挑战。

由于安全风险的暴露存在滞后性，我们认为，保护数据要素的安全是银行数字化转型可持续推进的基石，也是数字银行必将面临和解决的问题。系统性来看，在数字化转型过程中，我认为银行业主要面临四个方面的高等级安全威胁。

首先是0Day漏洞攻击。在线系统中使用的硬件、操作系统、软件、服务中都潜藏着很多尚未被发现0Day漏洞。基于0Day漏洞的攻击，攻击方法和特征是不可预测的。

第二是社会工程学攻击。人是安全攻防体系中的薄弱环节，黑客可以通过欺骗员工、发送钓鱼链接、BadUSB、工作场所物理渗透等方式实施社会工程学攻击。利用人性的弱点实施攻击，这是不可避免的风险。

第三是供应链安全威胁。每个企业信息系统使用的软件、硬件、服务中有一大部分都是由其他服务商或者开源社区提供，其中也可能潜藏了大量的后门和漏洞，导致这类风险是金融机构不可控的。

第四是业务滥用攻击。攻击者将业务自身的功能用于非预期的场景，或者攻击业务逻辑中的漏洞，比如欺诈用户、刷单、作弊、绕过业务控制未授权访问爬取数据等。由于这类风险和业务结合很深，很难用统一的方法解决。针对上述一系列调整，接下来分享下我们的应对思路：

银行由于其金融属性，同时也作为强监管行业，对安全是有天然诉求的，对风险容忍度极低。互联网数字化服务追求效率和体验的提升。可以认为数字银行是银行和互联网服务的结合体,因此，数字银行安全体系的目标是既要有银行级的高安全性要求，又要有互联网数字化服务的高效率诉求。

围绕不让风险发生和数字化效率两个点，我们设计实施了多层次的主动免疫可信纵深防护体系，规避预期外的已知和未知安全风险，保障数据要素被有效保护与合法使用。总体思路包括以下几个部分。一是默认安全风险治理，规避已知安全风险。新增业务默认经过安全评估和安全措施覆盖。类似针对已知疾病的疫苗与抗体，对于已知类型风险，达到投产即安全的状态。二是可信纵深防御，构建多层次的数字免疫系统。类似人体免疫系统，有效识别“自己”和“非己”成分，只允许预期内已授权的行为被执行，阻断预期外行为，实现未知风险的主动免疫。三是全局威胁感知与对抗，掌握全局的安全态势，及时响应处置安全风险。四是红蓝攻防实战检验安全水位，验证并驱动安全有效性提升。五是安全数智化提效，实现自动化风险评估与决策，兼顾数字化效率与质量。

第三部分跟大家讲讲我们具体是怎么做的。回顾历史上出现的安全事件，我们发现很多事件看上去都是老生常谈的低级问题导致的，比如老系统没升级、弱口令、高危服务开放到公网、配置不当等。但要完全杜绝这类风险却是一个系统性的高级工程问题。这类风险是本质上是由于目标实体发生状态变化引入的。因此，我们建立了一套默认机制来规避已知风险。主要包括全面变更感知、风险的评估与处置、安全防护组件的集成以及验卡准入，来实现将风险在事前规避，在解决风险同时也极大降低了各种损失。

针对未知类型的风险，我们建立了可信纵深防御体系，只允许预期内的行为可以执行，即主动免疫。并且，通过将多层可信防御部署，形成纵深级防御体系，层层防护，以达到大幅降低风险事件发生的概率。与此同时，它建立了完备的信任链，将信任关系逐级规约至硬件芯片可信根，保障防御体系自身的安全。可信纵深防御，能有效识别“自己”和“非己”成分，阻断与排斥进入信息系统机体的有害“行为”，为信息系统加持“免疫能力”，有效应对0Day攻击、社会工程学攻击、供应链攻击等高级和未知威胁。

我们的业务在快速发展和迭代，再加上安全本身也是一个持续对抗的过程，我们只能假设没有绝对的安全，因此需要构建全局立体化的威胁感知与对抗体系，掌控全局安全态势。确保威胁事件发生前、发生中、发生后都能被快速感知以及止血。

大家都知道红蓝对抗，通过实战演练检验安全体系有效性，但是如何知道实战检验对我们自身的覆盖度呢？尤其是在银行内部的物理资产、数字资产非常多。我们建立了“基于威胁路径图模型的信息安全水位评估技术”，以该理论为基础，我们的紫军进行高效、有序、全面的实战检验，来得出安全水位。威胁路径图是根据我们自身的资产状况以及可能遭受的攻击手段而建立的数字化模型。我们通过对自身的全面梳理、前沿攻防手段的研究、以及不断攻防演练迭代和升级而成。基于威胁路径图，模拟黑客尽可能地覆盖所有可能的攻击方法，通过一轮又一轮的常态化攻防，不断丰富我们的威胁路径图，同时也在不断提升我们的安全水位。同时为了应对数字化迭代效率和金融安全的平衡，必须要让整个安全运营治理能够尽量自动化、数字化、智能化，为此我们建立了编排自动化底座、安全产品的编排策略、以及统一的安全运营中心，以此来实现安全风险治理的高效推进和执行。

以上就是我们的这些年探索和事件的相关工作，同时我们也将这些经验总结成了《数字银行安全体系构建》这本书，今天正式发布！欢迎更多的专家、同仁、领导可以参阅，多多交流，批评指正！相信在行业共同的努力下，安全一定会成为银行业数字化转型可持续发展的基石，让我们在前行时无后顾之忧。

-报名 | 2024第11届中关村数字金融大会全面启动！-

-分组赛 | 保险科技专场、新一代信息技术专场 -

火热报名中

- 2023中关村金融科技30强 -

火热报名中

- 第三届中国金融科技应用场景创新优秀案例大赛（2023） -

火热报名中

-走进新加坡金融科技节（参展、参会）-

火热报名中

-2023“光大杯”中关村番钛客金融科技国际创新大赛-

火热报名中