首席顧問顧問委員會編寫指導委員會編制工作組特別鳴謝本白皮書由北京前沿金融監管科技研究院、浙江網商銀行股份有沈昌祥中國工程院院士隨著國家數字化轉型發展戰略和要求的提出，銀行業作為國家數字化轉型的重要組成部分，其金融應用及服務呈現線上化、數字化、實時化的發展趨勢和特點，信息系統和服務更加開放，數字資產更加在線和密集，網絡邊界更加模糊。在這種發展趨勢下，銀行機構面臨的安全態勢也愈發嚴峻，但傳統的“封堵查殺”（即殺病毒、防火墻、入侵檢測“老三樣”）在新的IT架構下難以應對安全威脅，尤其是0Day、社會工程學、軟硬件供應鏈等高級和未知威脅，嚴重威脅著用戶的個人隱私和數字財產的安全。為了有效應對企業信息系統、業務服務面臨的安全威脅，安全可信成為國家法律、戰略和制度要求：《中華人民共和國網絡安全法》第十六條中要求“推廣安全可信的產品和服務”，2016年12月發布的《國家網絡空間安全戰略》中“（七）夯實網絡安全基礎”中要求“加快安全可信產品推廣應用”，2021年9月1日實施的《關鍵信息基礎設施安全保護條例》第十九條中要求“優先采購安全可信的網絡產品和服務”。如何合法合規的應對數字銀行面臨的高級和未知威脅，主動免疫可信計算的保障體系是最有效的解決方案。主動免疫可信計算是一種新的計算模式，實施計算運算的同時并行進行免疫的安全防護，能及時準確識別身份和狀態度量及加密存儲，從而使攻擊者無法利用存在缺陷和漏洞對系統進行非法操作，達到預期的計算目標；二是建立計算部件+防護部件“二重”體系結構；三是建立可信安全管理中心支持下的主動免疫三重防護框架。加上可信動態訪問控制，全程管控，技管并重，最終達到讓攻擊者“進不去、拿不到、看不懂、改不了、癱不成、賴不掉”的防護效果。網商銀行可信縱深防御體系是對主動免疫可信計算在數字銀行場景很好的落地實踐。所建設的防御體系以硬件可信芯片為信任根、可信軟件基為核心、密碼學為基礎，通過檢測、度量、證明和管控等方法，構建貫穿硬件、固件、系統軟件和應用軟件的完整信任鏈，為信息系統的安全運行和數據的使用計算提供可靠的安全可信底座；在安全可信底座之上，嚴格按策略控制開放的系統服務，僅允許業務依賴且通過安全評估的行為可訪問或可執行，并在數字資產面臨威脅路徑上構建多層可信防護屏障，形成安全可信縱深防御能力。所建設的防御體系能夠有效識別“自己”和“非己”成分，破壞與排斥進入信息系統機體的有害“物質”，為提供互聯網服務的信息系統加持了“免疫能力”，以應對0Day漏洞、社會工程學、軟硬件供應鏈等網絡安全威脅。期待其成為數字銀行主動免疫可信計算防御體系的實踐標本，為金融業及其它行業以主動免疫可信計算防御的有效實踐帶來借鑒及示范。高峰中國銀行業協會首席信息官（CIO）當今，銀行業數字化轉型在向縱深推進，數字化產品與服務給銀行業帶來高效、便捷金融產品的同時，也給銀行業數字安全防護帶來了全新的挑戰。銀保監會發布的《關于銀行業保險業數字化轉型的指導意見》強調數字化轉型風險防范，強化網絡安全防護，完善縱深防御體系，做好網絡安全邊界延展的安全控制。為應對越來越嚴峻的網絡安全攻擊，如何在復雜的安全環境下守住數字銀行安全底線，為銀行業數字化轉型戰略的順利實施提供可靠的安全保障，是數字銀行需要重點研究和解決的問題。網商銀行的實踐表明可信縱深防御體系是一個行之有效的新興安全防護體系，可信縱深防御作為新一代的基礎安全防御體系，是保障銀行業客戶信息和資金安全的基礎底座，也是保證銀行持續穩健經營的安全基石。《數字銀行可信縱深防御白皮書》提出了數字銀行可信縱深防御體系的安全理念與技術方案。設計符合銀行業要求的安全防護體系，可實現事前高效規避風險事件發生的目標，并兼顧數字銀行效率和體驗要求。縱深防御的理念來自于戰爭學的概念，該理念在信息安全領域也得到了廣泛的使用和推廣。數字銀行可信防護體系為了避免單點防御措施失效導致風險事件的發生，對開放至互聯網的應用服務，采用縱深防御的理念進行可信防御體系的建設。可信計算（TrustedComputing，TC）三項技術能力密鑰安全保護、遠程證明、信任鏈構建至關重要，充分使用安全平行切面體系的架構建立事前應對高級和未知威脅的防護體系，提升安全加固的效率及風險識別的精準度，借鑒零信任的架構理念設計實現網絡層的可信防御體系。建設路徑自下而上傳遞信任鏈（基礎設施可信->應用可信->網絡可信->移動端及終端可信可有效應對入侵導致的數據泄露或者資金被盜威脅，對數字銀行攻防對抗實踐和高效安全加固有著重要指導意義。為達成事前高效規避高級和未知威脅的目標，兼顧數字銀行效率與體驗要求，需要基于數字銀行業務特性及風險場景，結合可信計算、安全平行切面等新興安全體系思想，架構設計面向數字銀行的可信縱深防御體系。在可信縱深防御體系的建設當中，做到以滿足監管合規要求為底線，同時可以高效應對面臨的高級和未知威脅，又可以將可信防御體系的建設成本和管控效率控制在合理的范圍，不會因為防御體系建設過重帶來過多成本、性能和效率的損耗。綜合評估來建設可信級防御體系的深度，在威脅有效應對和數字銀行的合規要求、安全成本投入、管控效率上達到最佳平衡。未來，數字銀行的信息安全防護體系的價值愈加重要，在銀行業面對的網絡安全、數據安全、隱私保護等威脅和挑戰時，必須要通過全棧式、全方位、無死角的安全防護體系才能解決問題。何寶宏中國信息通信研究院云計算與大數據研究所所長黨的二十大要求加快發展數字經濟，打造具有國際競爭力的數字產業集群。數據在成為重要生產要素的同時，也成為百行千業的核心資產。近年來，隨著銀行業數字化轉型的深入推進，銀行應用系統更趨復雜，銀行傳統網絡邊界更加模糊，內外部威脅更加高級未知，保護核心數據資產面臨巨大挑戰。為應對潛在風險，監管層要求銀行業“完善縱深防御體系”。網商銀行立足自身數字銀行的客觀條件，基于事前防范未知威脅的實際需求，首創“可信縱深防御體系”，將可信防御理念與縱深防御理念相結合，針對數字銀行的應用服務，構建金融級的事前縱深防護體系。“可信縱深防御體系”以密碼學為基礎、可信芯片為信任根、可信軟件基為核心，確保業務應用服務運行所依賴的資源、行為在啟動時和運行態均是可預期且可信的，阻止非預期的訪問和運行行為，針對硬件、固件、系統和應用等不同的防御平面部署多層次的防御體系，應對0Day漏洞攻擊、APT攻擊、軟硬件供應鏈攻擊等高級威脅。作為防守方的數字銀行，無法準確預測攻擊者會在何時何地以何種方式進攻應用系統。“可信縱深防御體系”區別于傳統被動基于攻擊者常用攻擊方法不斷優化攔截和阻斷策略的思路。一方面，執行可信理念。立足于數字銀行業務特性，建立白名單化的管控策略，根據業務的代碼、流量數據，清晰定義刻畫系統運行所依賴的預期內的可信行為。另一方面，貫徹縱深防御理念。單點防御措施可能被繞過或運行異常而導致防御失效，基于防御體系的穩定性和可用性，需要在不同的防御平面部署多層的可信防御措施有效應對安全威脅，降低單點防御的不穩定性，使攻擊者無法達成進攻目的或在達成進攻之前就被發現和制止。數字銀行“可信縱深防御體系”從業務特性出發，在終端層、網絡層、應用層和基礎設施層等適配可信策略控制點，建立覆蓋各層的可信管控策略，并將信任關系逐級規約到不可篡改的硬件可信芯片。數字銀行“可信縱深防御體系”以硬件和操作系統的可信為基礎，逐層擴展到虛擬機、容器、應用、網絡等層面，每一層面的信任關系都可以傳遞至下一層，形成完備的信任鏈，最終達成可信縱深防御的效果。其中，硬件可信芯片是“可信縱深防御體系”信任的根基，可信策略控制點是“可信縱深防御體系”的骨架，可信策略中心是“可信縱深防御體系”的免疫系統，可信管控中心是“可信縱深防御體系”的大腦中樞，自下而上的信任鏈、安全保障及穩定性保障是“可信縱深防御體系”建設的基石。數字經濟的發展離不開安全的護航。2021年我國數字經濟規模45.5萬億元，占GDP比重為40%，預計未來一段時間，該規模將持續穩健增長。數字銀行“可信縱深防御體系”是銀行業數字化轉型過程中對安全保障進行的有益探索，是新一代信息技術在掌握安全主動權的生動實踐，相信數字銀行“可信縱深防御體系”對構建防御生態、保障行業數字化轉型、呵護數字經濟安全發展等方面的重要作用將越發凸顯。據、區塊鏈等新興數字技術，以移動APP、小程序等為載體，在互聯網環境下，編制工作組希望通過白皮書的方式將網商銀行可信縱深防御的最佳實踐共1數字銀行可信縱深防御體系背景概述 11.1銀行業數字化轉型新要求新安全挑戰 11.1.1國內外銀行業數字化轉型政策與趨勢 11.1.2銀行業數字化轉型新安全挑戰 21.2國內外新興安全技術方案簡介 41.2.1可信計算 41.2.2安全平行切面 51.2.3零信任 51.3可信縱深防御概念 61.3.1可信防御理念 71.3.2縱深防御理念 72數字銀行可信縱深防御體系架構設計 92.1設計目標 92.2體系架構 93數字銀行可信縱深防御體系建設方案 133.1建設原則 3.1.1安全可信 3.1.2多層覆蓋 3.1.3自身安全保障 143.1.4穩定性保障 3.2建設基線 3.3關鍵能力建設 173.3.1基礎設施可信 173.3.2應用可信 3.3.3網絡可信 3.3.4端安全可信 3.3.5信任鏈構建 303.3.6可信策略 323.4技術保障 393.4.1安全性保障 393.4.2穩定性保障 403.5實戰牽引 423.5.1威脅路徑圖建設 423.5.2紅藍演練機制建設 443.5.3實戰攻防檢驗 453.6體系演進 454數字銀行可信縱深防御體系實踐應用 474.10DAY漏洞防御 474.2釣魚攻擊防御 494.3軟件供應鏈風險應對 524.4高效安全加固實踐 545總結與展望 55參考文獻 5611數字銀行可信縱深防御體系背景概述體驗、業務拓展渠道等諸多方面明確了數字化轉型動優先（MobileFirst）”戰略，2017年又進一步提出以“簡單化、數字化、銀行等國際投行也都是在2014年左右開啟數字化轉型項意見》）、《金融科技發展規劃（2022—2025年）》（以下簡稱《規劃》）。基于數字化轉型的新政策新發展要求，銀行業金融應用及服務將呈現線上2交易多次臨時中斷。2019年2月馬耳他歷史最悠久的金融服務商瓦萊塔銀行被了所有現代化交易渠道，不僅銀行網站脫機，ATM/分支機構/手機銀行一系列電32019年7月，世界第五大信用卡簽發方的第一資本銀行數據庫遭受黑客攻擊，約數字銀行需要更加注重效率和體驗的提升。數字銀行在業務策略上需要小步4因此，如何在日益嚴峻、復雜的網絡安全環境下守住數字銀行安全底硬件安全模塊支持下的可信計算平臺，以提高系密鑰及簽注私鑰永遠密封在芯片，且只允許在芯片內其中平臺身份證明是指用平臺身份私鑰完成內部PCR中保存的完整性擴展值的過平臺身份公鑰來驗證平臺的遠程證明的簽名，從5合使用來保證發出的信息只能被發出證明要求的程安全治理高效和安全布防靈活的核心優勢。6資源。軟件定義邊界技術旨在利用基于身份的訪問控制以及完備的權限認證機的行為可以執行即主動免疫，而且可信防御能夠實現對所有威脅路徑的多層覆蓋，大幅降低風險事件發生的概率。與此同時，它建立了完備的信任鏈，將信防御體系，以有效地應對0Day攻擊、社會工程學攻擊、7發起攻擊是無法預測的，但是數字銀行信息系統的運行狀態是可以基于網絡流時針對被攔截的訪問行為將會記錄行為日志，做到數字銀行信息系統運行環境、依賴的資源和行為均是經過安全評估無風險8對開放至互聯網的應用系統，為了有效應對入侵導致的數據泄露或資金被盜威問者身份和權限的可信管控能力，做到訪問來源IP、請求的域名、請求的接口在基礎設施層，基于硬件可信芯片對設備BIOS、BMC、板卡固件、OSLoader、OS內核進行可信管控，保證其啟動及運行的可信。同時基于硬件可信芯片的可信存儲和密碼技術建立了從BIOS->板卡固件->OSLoader-威脅狀況、業務特性、IT架構、建設成本、管控效率等因素綜合評估判斷，在92數字銀行可信縱深防御體系架構設計圖1數字銀行可信縱深防御體系全局架構基于硬件可信芯片和密碼學方法對物理機的啟動參數和啟動程序進行可信系統OS等均是安全可信的。同時基于硬件可信芯片構建信任鏈基于數字銀行IT架構分析、選型或者設計可信策略控制點，實現對于風險面提供的原生安全控制點能力，以實現安全管控與業務應用的既融合又解耦，并實現跨維的檢測、響應與防護；同時安全能力可編程、可擴展，與業務各自面的可信策略控制點，并配置符合可信防御強度要DetectionandResponse,EDR）能力作為可信策略控制點，針對用戶的日常操和執行的，以有效抵御惡意軟件的加載和運行及木馬、病毒的Self-protection,RASP）及安全容器系統切面為可信策略控制點，對容器、應保障體系可以降低可信防御能力和策略在落地過程中穩定性風險事件發生的概3數字銀行可信縱深防御體系建設方案圖2構建數字銀行可信縱深防御體系3.1.1安全可信在數字銀行安全防御體系的建設當中高級和未知威脅的應對是面臨的難點3.1.2多層覆蓋同層面覆蓋可信防護能力和管控策略；針對威脅路徑較短的信息系統和數字資3.1.3自身安全保障3.1.4穩定性保障能力，結合各個場景的安全可信要求建設可表數字銀行可信縱深防御體系場景定義分層子分類可信定義防護場景基礎設施可信硬件可信針對硬件加載時的硬件類型、版本、固件內容、配置等進行可信驗證，確保系統運行前依賴的硬件是符合預期的。目的是抵御硬件供應鏈風險：若硬件在生產和采購過程中被替換或植入后門，需要在啟動時檢測并阻止硬件使用。OS啟動時可信針對OS引導、啟動的每個環節進行可信驗證和管控，確保OS啟動的過程是符合預期的。目的是抵御來自攻擊者入侵后植入的可駐留的OS級別的后門和Rootkit的風險。以及攻擊者控制了OS供應鏈，并植入后門的風險。OS運行時可信針對OS運行狀態持續進行可信驗證和管控，確保運行中OS是不被篡改的。目的是抵御OS級別的Rootkit。虛擬機可信針對虛擬機Hypervisor持續進行可信驗證和管控，確保虛擬化機制狀態是符合預期的；同時也需要驗證和管控通過虛擬機啟動的OS，確保是符合預期的，實現虛擬化場景的安全可信。目的是抵御在虛擬化場景中，攻擊者通過在虛擬機Hypervisor層或者虛擬機OS中植入惡意代碼的攻擊行為。應用可信容器可信針對容器Driver持續進行可信驗證和管控，確保容器底層機制的運行狀態是符合預期的；同時進一步驗證，確保容器鏡像符合預期，禁止加載不安全的鏡像。目的是抵御在容器化場景中，容器鏡像存在軟件供應鏈的攻擊威脅。應用啟動可信針對主機、容器中啟動的應用程序進行可信驗證和管控，確保啟動的應用代碼和配置是符合預期的。目的是抵御攻擊者入侵到主機、容器后，嘗試執行自己的木馬程序以進一步攻擊或者留后門的攻擊行為。運行時可信針對主機、容器當中運行的應用進程持續進行可信驗證和管控，以判斷程序運行空間的代碼是否被篡改、程序行為是否符合預期。目的是抵御攻擊者入侵到主機、容器中的某個應用，在應用進程代碼執行空間中插入自己的惡意代碼的行為。網絡可信訪問者身份可信訪問者定義為業務場景當中請求的發起方，此處包括人員、終端、應用、WEB、RPC、DB服務等。針對網絡服務的訪問者進行授權，并持續的對授予的身份可信驗證和管控，以判斷訪問者身份是否符合預期的。目的是抵御攻擊者通過0Day漏洞或APT攻擊獲得一定權限，進一步攻擊辦公網、生產網內開放的服務，利用其中的漏洞入侵竊取數據。訪問者狀態可信針對訪問者所處的運行環境和運行狀態持續進行可信驗證和管控，以確保發起訪問者的運行環境、運行狀態和身份是可信的，而非攻擊者偽造的。目的是抵御攻擊者利用已經入侵的應用服務器或利用其身份發起攻擊來擴大攻擊面的風險。信息傳輸可信針對訪問者信息傳輸的鏈路進行加密，建立安全的信息傳輸通道，以確保發起訪問者的身份及傳輸的信息是可信的，沒有被攻擊者篡改的。目的是抵御攻擊者利用已經入侵的應用服務器劫持傳輸鏈路當中的敏感信息來獲取敏感數據或敏感配置。移動端及終端可信終端進程可信針對訪問者使用的終端使用的應用和進程行為建立白名單的管控策略，以確保發起者的終端運行時的應用進程是可信的，非攻擊者的惡意應用程序。目的是抵御攻擊者利用已經入侵的終端運行惡意的病毒、木馬軟件。終端網絡可信針對訪問者使用的終端的網絡行為建立白名單的管控策略，以確保發起者的終端網絡行為是可信的，非攻擊者的惡意后門和惡意數據、文件的外發行為。目的是抵御攻擊者利用已經入侵的終端建立持久化的后門或者進行敏感數據和文件的外發。小程序加載可信針對訪問者使用的小程序應用加載前進行簽名驗證，只有滿足驗簽通過的小程序才會被APP加載。同時會驗證小程序啟動參數，對不滿足預期的啟動參數，不允許小程序加載目的是抵御攻擊者利用惡意小程序或利用小程序漏洞獲取非法權限進而導致用戶敏感信息泄露。小程序運行時可信針對訪問者使用的小程序運行過程中運行模式，調用的Jsapi，運行的插件、使用的標簽等進行運行時白名單校驗，對于不滿足預期的內容不允許小程序使用。目的是抵御攻擊者利用小程序運行時依賴的組件、接口漏洞獲取非法權限進而導致用戶敏感信息泄露3.3.1基礎設施可信信管控體系，消除傳統對于BIOS、內核等基礎設施軟硬件和組件的隱式信任，圖3基礎設施可信能力架構圖3.3.2應用可信容器鏡像可信圖4容器鏡像可信架構圖容器鏡像可信整體技術方案分為容器鏡像安全檢測及容器鏡像可信準入兩大.容器鏡像安全檢測路徑圖5容器鏡像安全檢測圖解a)可信研發平臺完成鏡像構建及簽名后將b)可信研發平臺將鏡像名稱、存儲位置、簽名信息錄.容器鏡像可信準入路徑圖6容器鏡像可信準入圖解h)容器調度平臺根據準入插件評估的結果執行后續操作，決策通過則獲取等組件。容器鏡像準入插件會繼承在Kubernetes集群中。同時由于需容器鏡像可信能力基礎規則的升級需要定期從內外部漏洞數據庫采集漏洞容器應用可信圖7容器應用可信系統架構圖攔截、追溯和審計，具體實施上可以基于gViso.網絡可信：支持對系統監聽端口及網絡請求的可信管控。.容器應用可信系統策略配置需要支持細化到應用和鏡像維度。.告警日志需支持截斷，避免告警大量輸出對系統造成性能影響。.策略配置下發需要支持可灰度、可監控、可回滾的能力。.熔斷的差異化配置機制，線下禁止觸發熔斷，線上需支持熔斷。應用運行時可信圖8應用運行時可信系統架構圖.注入安全檢查邏輯：通過字節碼修改技術，Hook應用網絡訪問，文件訪地應用可信端口用來接收應用策略。守護進程實時從服務端拉取應用策3.3.3網絡可信網絡身份行為可信圖9統一訪問代理網關可信功能架構圖網絡身份行為可信方案的關鍵點是需要在網絡交互合適的位置構建網絡層數字銀行分發的辦公終端需要默認安裝終端安全管控組件，當員工使用該辦公終端訪問辦公系統時，統一訪問代理層的可信網關會采集終端設備相關信息，通過校驗設備信息與使用的賬號信息，確保使用的終端是可信的。如果校驗發現來源的設備是可信的則放行訪問請求。如發現來源的設備是非可信的，則直接攔截或需要完成多因子認證后并校驗通過后才允許本次的訪問行為。多因子認證需要優先選擇具有可變更屬性的認證技術，如二次密碼、動態令牌等，確保應用系統訪問者的身份是可.運行時和管理時行為可信：統一訪問代理網關承載了開放應用服務的全量實時請求，是實現網絡行為可信能力建設的關鍵點。因此，在統一訪問代理網關處需要按照不同的業務類型進行拆分，并針對性地建立多業務場景的可信管控策略，如針對于開放至互聯網的服務，需要根據來自互聯網的訪問請求嚴格地校驗來源的IP、用戶的身份和權限期的，以有效規避越權類的安全風險；針對開放至辦公網的數據、資金類后臺，嚴格地校驗來源的終端、員工身份、員工權限和員工的行為是符合預期的，才能允許后臺功能的操作，以有效地規避員工違規操作等風險事件的發生；針對于生產網內部應用接口之間的調用，需要對于來訪的應用、主機、接口和服務進行校驗，確保是符合預期的應用服務之間的調用，以有效地規避生產網內部接口的濫用風險。通過如上所述方.開啟安全管控模塊：針對數字銀行所建立的統一代理網關層，根據管控.配置基礎語義策略：在統一訪問代理層通過編寫語義代碼實現對流量中的事件屬性和行為內容進行數據內視和可信管控，并基于判斷結果對內.配置可信管控策略：每一條語義知識作為一個特征，通過規則邏輯設置網絡出向交互可信圖10網絡出向交互可信架構圖.流量劫持：所建立的出口流量網關能力可支持對應用的識別、灰度引流及流量代理功能，通過流量代理管控集群進行.TLS證書植入：在應用運行時場景中存在應用系統與外部域名進行TLS握手的需求，如HTTPS協議的交互首先需要通過流量代理管控集群與外聯外部域名進行TLS握手，此時會有域名校驗不通過問題。此處需要結合數字銀行內部CA頒發的證書及管控模塊或組件中植入CA根證書，確.出口流量網關的接入：數字銀行需根據自身IT架構建立出口流量網關的流量網關的能力建立域名、API路徑和詳細參數精細化的可信管控能力。3.3.4端安全可信移動端安全可信據下發的配置動態注冊/注銷切點，最終實現對于線上APP服務的快速管控、防圖11移動端安全可信iOS端架構圖.端動態切面技術原理：利用Objective-C編程和原方法簽名相同的方法的函數指針作為殼。處理消息時，能夠在這個.動態構造管控函數：運行時執行到原函數時，實質上執行的是構造的新函數，會執行到自定義的函數里（這個函數的參數格式是固定的），這里可以獲得所有參數的地址和返回值以及自定義數據。最后通過ffi_call函數來調用其他函數，這個.靈活的安全配置：該方案不會侵入APP構建流程。僅需集成Pod即可，終端安全可信圖12終端安全可信架構圖終端可信管控能力的落地，需要基于建立的終端EDR等.終端設備可信：前文提到的統一代理網關層網關會與終端進行聯動，對發起請求的設備進行可信管控。員工辦公終端默認安裝終端安全管控模塊或組件，該模塊或者組件會收集當前終端的唯一標識、登錄賬戶名、IP等信息，將編碼后的設備信息通過接口傳遞給接入層網關，接入層通過校驗設備信息與賬號信息以及其他指紋等信息，確定終端設備是否可信，如發現是可信設備，則允許訪問。如發現非可信設備，則會觸發接銷毀等行為進行監控，通過將檢測和響應的深度協同，實現事前的進程可信管控。終端安全管控模塊或組件會注冊驅動，且驅動會在系統啟動早期階段啟動并對后續啟動的進程進行管控。通過文件監控和過濾，校驗啟動文件的文件名、文件哈希值、簽名，輔助檢查常用啟動路徑、進程樹等信息，判斷進程是否可信。如在著名的Putty軟件供應鏈攻擊事代碼后，會執行被植入的病毒文件。進程可信.終端網絡行為可信：為了防止攻擊者利用可信進程發起攻擊，需要對終端的網絡行為進行可信管控。網絡行為在流量方面，主要有兩個協議。一是TCP協議的流量，即五元組信息；二是DNS流量，即域名解析。通.終端設備可信：統一代理網關層默認調度終端安全管控模塊或組件開放的接口，在接入層對可信設備進行驗證。因此，終端設備可信的覆蓋率.終端進程可信：通過收集和統計終端上的進程及進程樹信息，統計出初始的可信進程集。以此初始可信集作為基準上線進程可信白名單策略，并為被攔截的進程預留申請通道。如因特殊工作場景原因，需要在終端上使用新的軟件，在經過安全評估之后，可將相關的進程加入至可信白名單當中。對于研發日常工作所必須使用或依賴的系統進程，如.終端網絡行為可信：通過收集數字銀行所屬的公網資產、辦公網系統資此初始可信集作為基準上線網絡可信白名單策略，并為被攔截的域名、3.3.5信任鏈構建圖13基于硬件可信芯片的信任鏈傳遞在系統加電啟動時，定制研發的安全芯片優先于CPU啟動，實現對BIOS的平臺控制模塊（TrustedPlatformControlModule，TPCM），其包含了平臺安全處理器（PlatformSecurityProcessor，PSP由TPCM實現對系統OS件的邏輯和可信策略基線對OSLoader進行可信度驗證，驗證通過的邏輯和策略對操作系統進行可信驗證，驗證通過后，可加載啟動操作的邏輯和策略對應用程序進行可信驗證，驗證通過后，可加載執行應用程序，系統啟動完成，由此進入一個可信的啟動環境。在云架構及云原生架構模式下，依托于云架構的優勢應用層及網絡層的管控能力主要基于軟件形態開發實現。因此，對于應用程序的信任鏈傳遞機制在方案上e)針對內嵌至應用程序的安全組件或者模塊，在功能設計上需設計實現組件或者模塊的守護程序來對內嵌至應用的組件或模塊進行可信驗證，驗通過如上流程建立完備的信任鏈來保障全量可信策略控制點自身的安全可信，為數字銀行的信息系統和數字資產的可3.3.6可信策略可信策略能力設計數字銀行建立的可信防御策略需要與數字銀行的業務特性和形態進行有機策略可以有效應對面臨的高級和未知威脅，同時.身份認證及身份標識缺陷:包括服務調用方的身份和服務被調用方的身由發起方控制在網絡協議里面的明文身份，可被重置的密碼找回問題，以使用任意方法等。需要注意的是不同協議的方法字段所在的位置不一.其他類型攻擊:如DOS及中間人攻擊等。針對以上安全缺陷風險，結合數字銀行業務現狀分析出業務可接受的預期行粒度、域名粒度、API及路徑級別和參數級別。粒度上遵從先粗后細的原則，先做到區域級別的隔離：公網->辦公網->測試網->DMZ->生產網，再做到應用級別的微隔離。四層服務默認攔截后成本較高，難以進行高頻次持續性認證，所以通常使用Cookie等手段保企業內部進行多次內部系統調用，理想情況是每次請求都能帶上用戶身限控制（Role-BasedAccessControl，RBAC），權限控制需遵從最小化o權限及時回收，當無業務權限使用需求時，需要及時回收權限。應用系統行為可信需要重點關注潛在可引起風險的行為，覆蓋范圍需要足夠行為。以攻擊工程中的進程和端口啟動、動態鏈接庫根據應用系統的運行狀態和行為，可分析出應用系統面臨的關鍵風險如下:.系統調用未受管控:由于Linux提供的系統調用syscall眾多，若接的南向網絡攻擊、硬件隱通道攻擊等威脅。通過不受管控的syscall通過對如上風險行為進行分析，可以針對性的研制如下可信規則策略進行風險應對:或者在可控的環境執行如容器內核層執行，例如gVisor。除了syscall比寫的內容更需要控制，讀內容包括敏感數據及配置類信息，典型如加載的二三方包。還有一種文件是配置文件，比如sshd的配置文件/etc/ssh/sshd_config，其中若打開了PasswordAuthentication.端口注冊可信:端口注冊只允許系統注冊安全的端口，比如常見的22、.身份可信及環境可信:對于身份需要使用可信的方式進行身份認證，如sshd則一般使用證書；同時需要確保系統啟動執行的環境是可信的，比用hash進行替代。涉及的組件包括以下幾類:.硬件相關:CPU、內存、主板、顯卡、固件；.操作系統:BIOS、GRUB、內核；.系統組件:可執行文件、RPM文件、Java二三方Jar包、Nodejs二三方.虛擬化組件:容器虛擬化相關組件如Runc、Containerd，半虛擬化技術可信策略模型設計配置和觀察模式同時需要支持全局及規則粒度的配置。前期使用全局配置，根據精細化管控的程度逐步過渡到精細數字銀行業務應用完成可信能力及策略的集成后，需要保證業務安全水位和圖14網絡可信策略生成舉例圖15可信策略生成穩定性保障3.4.1安全性保障數字銀行可信產品在設計和落地過程當中需要充分利用密碼技術，保障設計數字銀行可信產品安全攻防建設，針對建設和引入的可信產品在上線前需經品存在的漏洞和短板，確保每個可信產品在安全性和健壯性上都具備較高的水.可信產品能力和策略已知繞過手法的評估：針對已知安全產品，如EDR、蓋可信產品的API、控制臺等，以保證可信產品自身的安全性。攻擊威脅上，需要緊跟可信縱深防御體系中可信產品相關的前沿技術態可信策略的安全攻防需要對已建立的可信防御策略體系在極端苛刻條件下進3.4.2穩定性保障.可監控:保證各項穩定性指標可以實時監控及告警，基礎指標推薦包括CPU、內存、負載、IO、網絡性能等；業務指標，接口請求成功率、接口.可灰度:可信策略覆蓋要有合理的灰度策略。.可回滾:可信策略在變更過程之后可以隨時回滾。.可應急：建立可快速應急的一鍵應急能力。.評估變更風險等級:在變更前需確定變更涉及的各個資產的變更風險等級，根據線上環境/線下環境、承載的業務等級以及是否涉及敏感資金和.不同批次狀態的變更間隔足夠長:不同批次的變更及不同狀態的變更之圖16數字銀行可信縱深防御體系實戰牽引針對數字銀行已建設的可信縱深防御體系，需要通過實戰的方式檢驗防御體牽引環節，整體框架可以參照圖16，主要包含紅藍演練機制建設、威脅路徑圖3.5.1威脅路徑圖建設威脅路徑圖是對數字銀行應用系統攻防態勢的一個抽象概念，因攻擊路徑交標。節點之間的連線代表攻擊場景，攻擊場景內會在一個有向圖中，只需要確定所有的點，點與點之間的連線就可以通過遍歷在漏洞，交互關系包括直接的網絡交互，間接借助物理介質進行交互等）作為攻擊起始位置和攻擊目標就可以通過遍歷算法計算出所有可能的攻擊路徑。圖17威脅路徑圖抽象圖通過上述得到的威脅路徑圖內只包含了基礎的資產和攻擊場景信息，還需要圖18攻擊方法部分截圖威脅路徑圖中的攻擊場景內細化了該場景內可以使用的所有攻擊方法。同時的替換方案如信息投遞方式可以是微信投遞、QQ投遞、釘釘投遞等，投