銀行在數(shù)字化轉(zhuǎn)型過程中面臨哪些新的安全挑戰(zhàn)？近年來，隨著數(shù)字技術(shù)發(fā)展，各銀行都在加速升級核心系統(tǒng)，以實現(xiàn)服務(wù)線上化，提升作業(yè)效率和用戶體驗。與此同時，數(shù)字化的過程進(jìn)一步加大了數(shù)據(jù)和資金等關(guān)鍵要素的風(fēng)險敞口。如何在復(fù)雜的安全環(huán)境下守住數(shù)字銀行安全底線，確保信息安全系統(tǒng)“防得住，防得全”，正在成為每一家銀行在數(shù)字化轉(zhuǎn)型過程中的重要課題。

　　“數(shù)字銀行信息系統(tǒng)主要面臨三方面的威脅，需要更強(qiáng)大的免疫系統(tǒng)。”網(wǎng)商銀行首席信息官高嵩分析認(rèn)為，一是服務(wù)線上化、場景化導(dǎo)致銀行信息系統(tǒng)對外暴露的攻擊面大幅增加；二是安全威脅等級提升，金融業(yè)務(wù)數(shù)字化后的攻擊潛在收益增加，攻擊者愿意投入的成本也越大；三是安全與效率的矛盾更加突出，原本的網(wǎng)絡(luò)隔離技術(shù)和管理制度約束跟不上業(yè)務(wù)發(fā)展速度，使得安全無法落到實處。

　　為應(yīng)對上述安全挑戰(zhàn)，北京前沿金融監(jiān)管科技研究院與網(wǎng)商銀行共同牽頭的《數(shù)字銀行可信縱深防御白皮書》首次提出了“可信縱深防御”的數(shù)字安全理念，并明確了實施路徑。據(jù)悉，可信縱深防御體系是一種新的安全防御體系架構(gòu)，以密碼學(xué)為基礎(chǔ)、可信芯片為信任根、可信軟件基為核心，對面向互聯(lián)網(wǎng)開放的應(yīng)用服務(wù)，確保應(yīng)用運(yùn)行所依賴的資源、行為在啟動時和運(yùn)行中均是可預(yù)期且可信的。其中，可信計算是一種新計算模式，能夠在實施業(yè)務(wù)計算的同時進(jìn)行主動免疫防護(hù)，使攻擊者無法利用存在的缺陷和漏洞對系統(tǒng)進(jìn)行非法操作；而縱深防御的理念來自于戰(zhàn)爭學(xué)，建立計算部件+防護(hù)部件的多重安全體系結(jié)構(gòu)，并通過可信安全管理中心和多層級安全觸點實現(xiàn)全程管控，避免單點防御措施失效導(dǎo)致風(fēng)險事件的發(fā)生，最終達(dá)到讓攻擊者“進(jìn)不去、拿不到、看不懂、改不了、癱不成、賴不掉”的防護(hù)效果。

　　“在線系統(tǒng)使用的硬件、操作系統(tǒng)、軟件、服務(wù)中都潛藏著很多尚未被發(fā)現(xiàn)的漏洞，在被正式上報前，基于這些漏洞的攻擊方法和特征都是不可預(yù)測的。但在可信縱深防御體系里，僅允許業(yè)務(wù)依賴且通過安全評估的行為訪問與執(zhí)行，對攻擊導(dǎo)致的異常行為就能‘免疫’?！备哚哉J(rèn)為，“可信縱深防御能有效識別‘自己’和‘非己’成分，破壞與排斥進(jìn)入信息系統(tǒng)機(jī)體的有害行為，并且不需要通過物理隔離等手段實現(xiàn)，兼顧了效率與安全”。

　　中國工程院院士沈昌祥認(rèn)為，主動免疫可信計算的保障體系是合法合規(guī)應(yīng)對數(shù)字銀行面臨的高級和未知威脅的最有效解決方案。銀行嘗試可信縱深防御體系是數(shù)字銀行場景下對主動免疫可信計算體系很好的實踐，能夠為金融業(yè)及其他行業(yè)主動免疫可信計算防御的有效應(yīng)用帶來借鑒及示范。