《网商银行：数字银行可信纵深防御白皮书（2022）（71页）.pdf》由会员分享，可在线阅读，更多相关《网商银行：数字银行可信纵深防御白皮书（2022）（71页）.pdf（71页珍藏版）》请在三个皮匠报告上搜索。

1、II首席顾问沈昌祥中国工程院院士顾问委员会(按姓氏笔划排序)孙瑜可信华泰信息技术有限公司 CTO肖新光中国网络安全产业联盟理事长陈建平安集团首席信息安全总监张建标北京工业大学教授何阳中国信通院云计算与大数据研究所金融科技部主任杜宁中关村金融科技产业发展联盟副理事长孟楠中国信通院安全所副所长贲圣林北京前沿金融监管科技研究院院长、浙江大学国际联合商学院院长聂君北京知其安科技有限公司董事长谭晓生北京赛博英杰科技有限公司董事长编写指导委员会高嵩、韦韬、王宇、李婷婷、彭晋III编制工作组张园超、孔令河、陆碧波、付颖芳、段云洁、冯丽娜、姜志辉、雍迪、阎淬、姜楠、马超、孙维挺、李博文、高祖康、王飞宇、韩绪仓

2、、冯程、刘孝贵、陆俊、陈德峰、吴飞飞、高亭宇、王龙、高佩明、龙孝武、赵永福、王滨、周钊宇、姚锐、陈明、戴鹏飞、李恒、王伟、杨鹏迪、戴梦杰、陈宇、柳寒、陈嘉钰特别鸣谢(按姓氏笔划排序)丁云翔、于永恒、卫振强、王国伟、牛纪雷、方亮、方超、白晓媛、白鹏、刘宇江、刘润、刘鹏程、闫守孟、江英豪、许蓓蓓、苏航、李志鹏、李强、杨玉彪、杨昭宇、杨超、肖磊、吴克柱、沈安琪、宋玉成、张石轶、张永、张洪全、张绪峰、张聪、陈逸凡、陈超、陈遥、陈歆、武鹏、郑旻、赵启方、赵跃明、胡全、南野、钟青锋、侯伟星、祝辰、贾依真、顾为群、徐子腾、谈鉴锋、黄琳、巢震阳、彭泽文、蒋维杰、靳宇星、赖寒冰、阚广稳、谭杰、谭国涛、谭翔本白皮

3、书由北京前沿金融监管科技研究院、浙江网商银行股份有限公司牵头撰写。由于编者水平有限，本白皮书内容难免存在疏漏，不足之处恳请各位专家、同仁批评指正。随着国家数字化转型发展战略和要求的提出，银行业作为国家数字化转型的重要组成部分，其金融应用及服务呈现线上化、数字化、实时化的发展趋势和特点，信息系统和服务更加开放，数字资产更加在线和密集，网络边界更加模糊。在这种发展趋势下，银行机构面临的安全态势也愈发严峻，但传统的“封堵查杀”（即杀病毒、防火墙、入侵检测“老三样”）在新的 IT 架构下难以应对安全威胁，尤其是0Day、社会工程学、软硬件供应链等高级和未知威胁，严重威胁着用户的个人隐私和数字财产的安全

4、。为了有效应对企业信息系统、业务服务面临的安全威胁，安全可信成为国家法律、战略和制度要求：中华人民共和国网络安全法第十六条中要求“推广安全可信的产品和服务”，2016 年 12 月发布的国家网络空间安全战略中“（七）夯实网络安全基础”中要求“加快安全可信产品推广应用”，2021 年9 月 1 日实施的 关键信息基础设施安全保护条例 第十九条中要求“优先采购安全可信的网络产品和服务”。如何合法合规的应对数字银行面临的高级和未知威胁，主动免疫可信计算的保障体系是最有效的解决方案。主动免疫可信计算是一种序 言沈昌祥中国工程院院士新的计算模式，实施计算运算的同时并行进行免疫的安全防护，能及时准确识别身

5、份和状态度量及加密存储，从而使攻击者无法利用存在缺陷和漏洞对系统进行非法操作，达到预期的计算目标；二是建立计算部件+防护部件“二重”体系结构；三是建立可信安全管理中心支持下的主动免疫三重防护框架。加上可信动态访问控制，全程管控，技管并重，最终达到让攻击者“进不去、拿不到、看不懂、改不了、瘫不成、赖不掉”的防护效果。网商银行可信纵深防御体系是对主动免疫可信计算在数字银行场景很好的落地实践。所建设的防御体系以硬件可信芯片为信任根、可信软件基为核心、密码学为基础，通过检测、度量、证明和管控等方法，构建贯穿硬件、固件、系统软件和应用软件的完整信任链，为信息系统的安全运行和数据的使用计算提供可靠的安全可

6、信底座；在安全可信底座之上，严格按策略控制开放的系统服务，仅允许业务依赖且通过安全评估的行为可访问或可执行，并在数字资产面临威胁路径上构建多层可信防护屏障，形成安全可信纵深防御能力。所建设的防御体系能够有效识别“自己”和“非己”成分，破坏与排斥进入信息系统机体的有害“物质”，为提供互联网服务的信息系统加持了“免疫能力”，以应对 0Day 漏洞、社会工程学、软硬件供应链等网络安全威胁。期待其成为数字银行主动免疫可信计算防御体系的实践标本，为金融业及其它行业以主动免疫可信计算防御的有效实践带来借鉴及示范。当今，银行业数字化转型在向纵深推进，数字化产品与服务给银行业带来高效、便捷金融产品的同时，也给