在國家數(shù)字經(jīng)濟(jì)邁入深化應(yīng)用、規(guī)范發(fā)展和普惠共享的新階段，中國人民銀行和中國銀保監(jiān)會相繼發(fā)布《金融科技發(fā)展規(guī)劃（2022-2025年）》和《關(guān)于銀行業(yè)保險業(yè)數(shù)字化轉(zhuǎn)型的指導(dǎo)意見》，全面指導(dǎo)金融業(yè)數(shù)字化轉(zhuǎn)型向縱深推進(jìn)，面對新的系統(tǒng)架構(gòu)、數(shù)據(jù)架構(gòu)、應(yīng)用架構(gòu)和基礎(chǔ)架構(gòu)，金融機(jī)構(gòu)全方位加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，做好網(wǎng)絡(luò)安全邊界延展的安全控制是數(shù)字化轉(zhuǎn)型必須攻克的難題之一。而如何量化衡量整體的網(wǎng)絡(luò)安全防御能力，直觀展現(xiàn)信息安全水位，需要專業(yè)化的檢驗方法和技術(shù)支持。

　　網(wǎng)商銀行基于自身業(yè)務(wù)現(xiàn)狀及面臨的網(wǎng)絡(luò)安全威脅特點，探索出一套基于威脅路徑圖的信息安全水位評估技術(shù)，并研發(fā)了配套的應(yīng)用系統(tǒng)進(jìn)行落地實踐，至2024年12月，信息安全水位評估系統(tǒng)已持續(xù)運行3年時間，通過多個指標(biāo)切實有效評估且便捷展現(xiàn)了網(wǎng)商銀行的安全防御水位。

　　該技術(shù)的總體思路是首先建立符合企業(yè)自身面臨的網(wǎng)絡(luò)安全威脅現(xiàn)狀的威脅路徑圖，威脅路徑圖模型如圖1所示，威脅路徑圖是對企業(yè)可能遭受的網(wǎng)絡(luò)攻擊風(fēng)險建立的數(shù)字化模型，模型將企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)抽象成圖，在圖中補充所有黑客可能的攻擊技術(shù)及企業(yè)應(yīng)對攻擊的各項能力，網(wǎng)商銀行根據(jù)自身資產(chǎn)和網(wǎng)絡(luò)環(huán)境等關(guān)鍵信息抽象出了自己的威脅路徑圖。其次，以威脅路徑圖為基礎(chǔ)，由攻防藍(lán)軍通過自動化檢驗的方式，持續(xù)驗證企業(yè)應(yīng)對攻擊的預(yù)防、防御、感知能力，再通過紅藍(lán)演練方式不斷發(fā)現(xiàn)新的風(fēng)險。最后，根據(jù)演練和檢驗數(shù)據(jù)，運用水位指標(biāo)計算得出威脅路徑預(yù)防率、威脅路徑防御率、威脅路徑感知率、威脅路徑縱深防御率等指標(biāo)體現(xiàn)企業(yè)整體信息安全水位。

　　九游體育平臺app 九游體育網(wǎng)址

　　信息安全水位量化問題，由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性，企業(yè)的安全能力在真實的攻擊事件中的有效性難以保證，此外企業(yè)也無法準(zhǔn)確評估當(dāng)前信息安全水位和面臨的主要風(fēng)險。需要量化指標(biāo)從全局視角展示當(dāng)前的信息安全水位情況，通過指標(biāo)數(shù)據(jù)企業(yè)能夠及時發(fā)現(xiàn)潛在的安全問題和風(fēng)險，進(jìn)而采取適當(dāng)?shù)陌踩胧﹣肀Ｕ掀髽I(yè)網(wǎng)絡(luò)的穩(wěn)定運行和數(shù)據(jù)的安全。

　　提出的信息安全水位評估技術(shù)融合了數(shù)據(jù)建模、指標(biāo)建設(shè)、攻擊模擬和檢驗、應(yīng)用系統(tǒng)，是一套完整的信息安全水位檢驗技術(shù)，能夠持續(xù)檢驗企業(yè)的安全水位指標(biāo)、暴漏風(fēng)險、推動企業(yè)安全能力建設(shè)。

　　提出基于圖論的威脅路徑圖模型，該模型使用數(shù)字化方法對企業(yè)網(wǎng)絡(luò)狀況、攻擊行為、安全能力進(jìn)行建模。它能夠?qū)⒏鱾€點的攻防能力串聯(lián)起來，從全局視角對企業(yè)面臨的威脅和現(xiàn)有安全能力進(jìn)行數(shù)字化描述。同時解決了企業(yè)無法對自身可能遭受到的網(wǎng)絡(luò)攻擊進(jìn)行量化的問題。

　　提出信息安全水位評估指標(biāo)模型，該模型設(shè)置了預(yù)防能力（發(fā)現(xiàn)并減少風(fēng)險的能力）、防御能力（阻斷風(fēng)險被利用的能力）和感知能力（識別攻擊行為的能力）等多個維度的安全能力。同時指標(biāo)模型從威脅路徑視角設(shè)定了威脅路徑預(yù)防率、威脅路徑防御率、威脅路徑感知率、威脅路徑縱深防御率等指標(biāo)。從威脅路徑角度全面衡量企業(yè)的信息安全水位。

　　結(jié)合自動化檢驗技術(shù)對企業(yè)安全能力進(jìn)行檢驗，通過對威脅路徑圖中的攻擊行為進(jìn)行模擬，能夠全面檢驗企業(yè)對攻擊行為的預(yù)防、防御、感知能力并暴露風(fēng)險，結(jié)合指標(biāo)模型可以從威脅路徑視角體現(xiàn)企業(yè)應(yīng)對威脅的的安全水位。通過周期性的檢驗可以從時間維度體現(xiàn)企業(yè)安全水位的變化。

　　通過該水位評估技術(shù)，可以從實戰(zhàn)角度沉淀實戰(zhàn)攻防數(shù)據(jù)，幫助安全能力運營人員及時發(fā)現(xiàn)潛在的風(fēng)險。通過沉淀的攻防數(shù)據(jù)可以形成多個信息安全水位量化指標(biāo)，管理層可以從風(fēng)險域、安全能力等多角度的量化指標(biāo)數(shù)據(jù)了解企業(yè)信息安全水位現(xiàn)狀，幫助企業(yè)更好的認(rèn)識目前可以防御的威脅等級及面臨的風(fēng)險，幫助企業(yè)更好的進(jìn)行風(fēng)險數(shù)字化管理，將安全建設(shè)從安全事件驅(qū)動轉(zhuǎn)化為風(fēng)險驅(qū)動。

　　網(wǎng)商銀行借助該技術(shù)結(jié)合網(wǎng)商銀行實際情況建立了信息安全水位評估系統(tǒng)，通過該系統(tǒng)以月度為單位進(jìn)行周期性的自動化檢驗，保證了安全能力的有效性，體現(xiàn)安全能力建設(shè)進(jìn)展及效果，通過量化指標(biāo)了解現(xiàn)有信息安全水位防御等級和風(fēng)險。通過系統(tǒng)中威脅路徑圖的指導(dǎo)進(jìn)行了多次紅藍(lán)演練，對可能的威脅路徑進(jìn)行全面有序覆蓋，提前暴露風(fēng)險。

　　請將案例材料（含項目背景、技術(shù)應(yīng)用、實施效果、社會價值等）發(fā)送至指定郵箱，郵件主題注明“金融科技案例投稿+單位名稱”。案例將收錄到中關(guān)村互聯(lián)網(wǎng)金融研究院“金融科技創(chuàng)新案例庫”，典型案例將在研究院官方公眾號專題展示，并優(yōu)先納入《中國數(shù)字金融創(chuàng)新與發(fā)展報告》及年度論壇成果發(fā)布，助力案例成果轉(zhuǎn)化與行業(yè)影響力提升。