在全社会推进数字化转型的今天，数据资产已经成为继技术和人才之后企业的又一个不可或缺的核心资产，是新时代的“石油”。数据安全也因此成为又一个重要的热点话题。随着数字化转型的推进，企业和社会面临融入生态、开放网络和业态的现实要求，数字安全也就面临着更加复杂的场景和威胁。

银行业数字化转型的安全挑战

银行业数字化转型将带来如下改变:

①服务线上化，越来越多的金融服务将会通过互联网在线提供。

②线上服务复杂度增加，服务的类型与场景将会变得更加丰富与复杂。服务形态也会存在多种形式，包括Web服务、移动App、小程序、IoT设备等。在线服务采用的技术也会多种多样，如云计算、云原生、智能算法、机器学习、知识图谱、区块链等。

③数据驱动业务经营管理，数据应用的范围不断扩大，基于数据分析可实现高效的业务经营与决策。

④开放与融合，服务提供者将会越来越深入地相互开放、相互融合、相互依赖。

⑤更高的服务效率与更便捷的体验，可以说服务的效率提升和便捷性是数字化转型的关键目标。

银行业数字化转型又会带来哪些安全挑战呢？

一方面，安全威胁等级将会提升。服务线上化和场景复杂化导致银行信息系统对外暴露的风险敞口和攻击面必然大幅度增加，会有越来越多的漏洞被黑客发现和利用，攻击成功的概率也将会提升。由于银行业务基本都与资金有关，越来越多的金融服务数字化以后，黑客攻击成功后的潜在收益会大幅度增加。黑客投入更大攻击成本进行攻击的动机也会随之提升，所以银行业数字化转型中面临的安全威胁等级必然提高。

另一方面，安全与效率的矛盾将会更加突出，也更难兼顾。数字化转型的一个关键目标就是提升效率，并提供体验更好、更便利的服务。由于服务形态和技术形态的变化，有些安全技术措施和机制可能已经不再适用，有些安全方案无法满足业务发展的效率诉求和服务体验需求，影响了数字化转型目标的达成。

因此，如何在复杂泛化的资产业务体系中融入安全基因，在传统合规和安全赛道式建设的基础上构建一个动态综合、实战化运营的防御体系，都是非常艰巨的工作，相信随着银行业数字化转型的深入，越来越多的银行从业者都将面临安全方面的问题和挑战。

数字银行可信纵深防御体系

近年来为应对越来越严峻的安全攻击局势，国内外安全领域的企业、专家提出了多种新兴的安全理念与技术方案。基于数字银行业务特性及面临的威胁状况，结合可信计算、安全平行切面等新兴安全体系思想，设计面向数字银行的可信纵深防御体系。该体系以可信根为支撑，以可信软件基为核心，以密码学方法为主要手段，通过度量、检测、证明以及管控等手段，构建贯穿硬件、固件、系统软件、应用软件和网络行为的完整信任链，为信息系统的运行提供安全可信的底座。可信防御措施进行多层覆盖，以大幅降低风险事件发生的概率。最终达成事前高效规避已知（含高级）和未知威胁的目标，兼顾数字银行效率与体验要求。

图1 数字银行可信纵深防御体系整体架构

面向数字银行的可信纵深防御体系整体架构（见图1）包含四个关键部分：硬件可信芯片、可信策略控制点、信任链和可信管控中心，由安全防护部件形成的可信防护体系与由计算部件形成的计算体系形成双体系结构。其中可信管控中心又由可信策略管控系统、可信策略刻画系统、安全保障系统、稳定性保障系统四部分组成。在整体架构设计上以硬件可信芯片为信任根；以可信软件基为核心，它由基础设施层、应用层、网络层及移动端和终端层等各层构建的可信策略控制点组成；基于硬件可信芯片构建的信任链来保障可信策略控制点的安全可信；基于可信策略刻画系统及密码学技术生成的“免疫基因抗体”对数字银行信息系统的运行环境、资源加载和交互行为进行可信管控，有效识别“自己”和“非己”成分，破坏与排斥进入信息系统机体的有害物质，为信息系统加持“免疫能力”，保障信息系统和数字资产的安全性；安全保障和稳定性保障技术为整体可信纵深防御体系的落地提供支撑，防止在可信纵深防御体系建设中产生安全漏洞和稳定性风险事件，导致业务受损。

1.基于硬件可信芯片构建信任根

基于硬件可信芯片和密码学方法对物理机的启动参数和启动程序进行可信管控，同时提供静态和动态信任链的校验机制，确保硬件芯片、启动参数、OS等均是安全可信的。同时基于硬件可信芯片构建信任链以将信任关系从基础设施层逐层传递至应用层和网络层，最终形成完备的信任链，以支持对数字银行信息系统和数字资产的可信管控。

2.基于安全平行切面构建可信策略控制点以实现平行体系结构

基于数字银行IT架构分析、选型或者设计可信策略控制点，实现对各类已知和未知风险场景的数据内视和可信管控。在可信策略控制点的部署上，充分利用安全平行切面提供的原生安全控制点能力，实现安全管控与业务应用既融合又解耦，即安全能够深入业务逻辑，不再是外挂式安全；业务上线即带有默认安全可信的能力，并实现跨维的检测、响应与防护；同时安全能力可编程、可扩展，与业务各自独立演进。

数字银行可信纵深防御体系架构如图1所示，针对开放的应用系统服务，在访问链路上，在移动端及终端层、网络层、应用层及基础设施层建立不同层面的可信策略控制点，并配置符合可信防御强度要求的安全防御策略。

在移动端及终端层，以移动端安全切面或SDK及终端检测与响应(Endpoint Detection and Response, EDR)能力作为可信策略控制点，针对用户的日常操作行为及员工的办公行为，对使用管控能力，做到仅允许预期内的小程序、软件、进程、网络行为是可以加载和执行的，以有效抵御恶意软件的加载和运行及木马、病毒的回连等行为。

在网络层，以统一访问代理网关流量切面为可信策略控制点，建立针对访问主体身份、权限、环境、行为的可信管控策略，确保访问主体仅能通过预期内的身份、权限，在安全的环境下，按照预期内的行为进行应用系统的使用，异常的身份冒用、越权操作、不可信的环境及网络攻击行为将直接被拦截并上报为安全事件。

在应用层，以应用切面和应用运行时防护(Runtime Application Self-protection，RASP)及安全容器系统切面为可信策略控制点，对容器、应用调用的类、方法、函数、文件和网络行为建立白名单的可信管控策略，确保容器和应用仅能按照预期内的方式启动或运行。

在基础设施层，基于以硬件可信芯片为信任根，以及各安全管控组件或模块，对物理机节点的启动和运行进行可信管控，确保使用的物理机是可信的。

如上所述，通过各个层面建立的可信策略控制点，配置可信管控策略，建立覆盖数字银行信息系统和数字资产全链路的可信纵深防御体系，有效应对数字银行面临的高级和未知威胁。

3.基于信任链保障可信防御产品或能力的安全可信

可信策略控制点是数字银行实施可信管控依赖的关键能力，如何保障可信策略控制点的安全性至关重要。如果实施可信管控依赖的能力自身是不安全的，则对于业务信息系统的可信管控将无法保障，同时这些能力本身也可能会引入新的安全风险。因此，在可信策略控制点的建设中需要充分利用硬件可信芯片提供的可信存储和密码技术，逐步构建并完善信任链，将整个信任机制由硬件可信芯片逐层传递至基础设施层、应用层和网络层等各个层面的可信策略控制点，保障可信策略控制点的安全性，为数字银行业务信息系统和数字资产的可信管控提供基础能力支撑。

4.基于可信管控中心实施可信管控

可信管控中心是可信纵深防御体系的大脑中枢，负责可信策略的生成、配置下发、事件上报和行为审计等工作，同时为整个可信纵深防御体系的运行提供安全性和稳定性保障。可信管控中心由可信策略管控、可信策略刻画、安全保障、稳定性保障等系统组成。

(1)可信策略管控

可信策略管控系统通常由策略下发、异常拦截、行为审计等功能模块构成。基于可信策略刻画系统生成的管控策略，该系统根据数字银行面临的安全威胁进行策略的配置下发，以保障数字银行信息系统和数字资产按照预期的方式运行和使用。

(2)可信策略刻画

可信策略刻画系统是可信纵深防御体系“免疫抗体”的生产中心。它根据在移动端和终端、网络、应用、容器主机和基础设施等位置采集的数据和日志，利用大数据平台的数据分析能力，进行可信策略的分析，有效刻画出预期内的可信行为，并生成相应的管控策略。策略内容需要通过密码技术进行加密保护，以保障策略内容的机密性和完整性。将可信策略配置上线后即可发挥作用，有效地识别出预期内和非预期的行为并进行威胁应对。

(3)安全保障及稳定性保障

安全保障体系可以保障所建设的可信防御能力及策略本身的安全性，稳定性保障体系可以降低可信防御能力和策略在落地过程中稳定性风险事件发生的概率，防止对业务造成负增值。

结语

网商银行以可信计算为基石，深度融合硬件、固件、系统软件及应用软件全栈安全维度，构建起“端到端”信任链与立体化纵深防御体系，精准破解数字化业务敏捷创新与高安全合规的共生难题，实现安全原生化，对攻击产生最小代价天然免疫。其在数字银行场景的实践成果，不仅验证了“全链可信”技术架构的落地效能，更形成了一套兼具技术穿透力与行业普适性的安全转型范式，为银行业数字化进程中的安全能力建设提供了可复用的“标杆路径”。