第 一部分 數(shù)字銀行安全體系 10 第 1 章 數(shù)字銀行與安全體系概述 11 1.1 數(shù)字銀行面臨的機(jī)遇與挑戰(zhàn) 11 1.1.1 傳統(tǒng)銀行的成本挑戰(zhàn) 11 1.1.2 數(shù)字銀行的商業(yè)邏輯 12 1.1.3 數(shù)字銀行面臨的安全風(fēng)險(xiǎn) 13 1.2 業(yè)界典型網(wǎng)絡(luò)安全架構(gòu) 14 1.2.1 什么是安全架構(gòu) 14 1.2.2銀行業(yè)典型網(wǎng)絡(luò)安全架構(gòu) 15 1.2.3 互聯(lián)網(wǎng)企業(yè)典型網(wǎng)絡(luò)安全架構(gòu) 16 1.2.4 安全業(yè)界新思路和新方法 17 1.3 小結(jié) 18 第 2 章 數(shù)字銀行安全體系架構(gòu)設(shè)計(jì) 19 2.1 重新審視安全體系的有效性 19 2.1.1 安全目標(biāo)與方向的正確性 20 2.1.2 安全責(zé)任范圍是否明確 20 2.1.3 安全體系的合理性與完備性 21 2.1.4 安全資源投入度與重點(diǎn)風(fēng)險(xiǎn)的重視度 22 2.1.5 安全能力與風(fēng)險(xiǎn)匹配度 22 2.1.6 安全能力的持續(xù)有效驗(yàn)證 22 2.2 數(shù)字銀行安全架構(gòu)設(shè)計(jì) 22 2.2.1 數(shù)字銀行安全體系建設(shè)思路 23 2.2.2 默認(rèn)安全：上線前規(guī)避已知風(fēng)險(xiǎn) 25 2.2.3 可信縱深防御：運(yùn)行時(shí)防護(hù)未知風(fēng)險(xiǎn) 28 2.2.4 威脅感知與響應(yīng)：預(yù)設(shè)風(fēng)險(xiǎn)還是會發(fā)生 30 2.2.5 實(shí)戰(zhàn)檢驗(yàn)：防護(hù)效果持續(xù)充分檢驗(yàn) 30 2.2.6 安全數(shù)智化：極致的安全加固效率 31 2.2.7 數(shù)字銀行安全整體架構(gòu) 32 2.3 小結(jié) 33 第二部分 默認(rèn)安全 33 第 3 章 默認(rèn)安全及其架構(gòu) 34 3.1 什么是默認(rèn)安全 34 3.1.1 默認(rèn)安全機(jī)制 34 3.1.2 默認(rèn)安全與SDL、DevSecOps 35 3.2 默認(rèn)安全架構(gòu) 36 3.2.1 設(shè)計(jì)目標(biāo) 36 3.2.2 設(shè)計(jì)思路 37 3.3 小結(jié) 39 第 4 章 默認(rèn)安全體系建設(shè)方案 39 4.1 信息安全基線 40 4.1.1 安全基線設(shè)定的目標(biāo) 40 4.1.2 信息安全基線結(jié)構(gòu) 41 4.1.3 安全基線運(yùn)營體系 52 4.2 安全資產(chǎn)建設(shè) 53 4.2.1 資產(chǎn)范圍 53 4.2.2 數(shù)據(jù)資產(chǎn) 55 4.2.3 資產(chǎn)數(shù)據(jù)質(zhì)量 59 4.2.4不可忽視的大數(shù)據(jù)平臺類資產(chǎn) 59 4.2.5 風(fēng)險(xiǎn)治理、防護(hù)與度量 60 4.3 增量風(fēng)險(xiǎn)管控 60 4.3.1 變更感知與管控 61 4.3.2 風(fēng)險(xiǎn)剖析與處置 70 4.3.3 防護(hù)組件默認(rèn)集成 79 4.3.4 安全心智運(yùn)營 85 4.4 存量風(fēng)險(xiǎn)治理 87 4.4.1 漏洞自動化處置 88 4.4.2 常態(tài)化風(fēng)險(xiǎn)巡檢 92 4.5 風(fēng)險(xiǎn)發(fā)現(xiàn)體系演進(jìn) 93 4.5.1 背景 93 4.5.2 安全產(chǎn)品的轉(zhuǎn)變 95 4.5.3 實(shí)現(xiàn)思路 96 4.5.4 安全團(tuán)隊(duì)間的職能變化 103 4.5.5 運(yùn)營實(shí)踐 104 4.6 小結(jié) 107 第 5 章 默認(rèn)安全治理應(yīng)用實(shí)踐 108 5.1 軟件供應(yīng)鏈安全治理 108 5.1.1 軟件供應(yīng)鏈面臨哪些風(fēng)險(xiǎn) 109 5.1.2 如何應(yīng)對軟件供應(yīng)鏈安全風(fēng)險(xiǎn) 110 5.1.3 理清臺賬 119 5.1.4 隔離防護(hù) 120 5.2 水平越權(quán)漏洞的檢測 120 5.3 前端安全風(fēng)險(xiǎn)治理 127 5.3.1 背景介紹 127 5.3.2 傳統(tǒng)解決思路 129 5.3.3 默認(rèn)防護(hù) 131 5.4 小結(jié) 133 第三部分 可信縱深防御 134 第6章 可信縱深防御及架構(gòu) 135 6.1 銀行業(yè)數(shù)字化防御體系面臨的挑戰(zhàn) 135 6.2 國內(nèi)外新興安全防御技術(shù)簡介 137 6.2.1可信計(jì)算 137 6.2.2安全平行切面 138 6.2.3零信任 139 6.3 可信縱深防御概念 139 6.3.1可信防御理念 140 6.3.2縱深防御理念 141 6.4 可信縱深防御架構(gòu) 142 6.4.1 設(shè)計(jì)目標(biāo) 142 6.4.2 體系架構(gòu) 142 6.6 小結(jié) 146 第7章 可信縱深防御體系建設(shè)方案 147 7.1 建設(shè)原則 147 7.1.1 安全可信 147 7.1.2 多層覆蓋 148 7.1.3 自身安全保障 148 7.1.4 穩(wěn)定性保障 149 7.2 建設(shè)基線 149 7.3 關(guān)鍵能力建設(shè) 152 7.3.1 基礎(chǔ)設(shè)施可信 152 7.3.2 應(yīng)用可信 154 7.3.3 網(wǎng)絡(luò)可信 160 7.3.4 數(shù)據(jù)使用可信 164 7.3.5 端安全可信 171 7.3.6 信任鏈構(gòu)建 174 7.3.7 可信策略 176 7.4 技術(shù)保障 185 7.4.1安全性保障 185 7.4.2穩(wěn)定性保障 187 7.5 實(shí)戰(zhàn)牽引 189 7.6 體系演進(jìn) 191 7.7 小結(jié) 191 第8章 可信縱深防御體系應(yīng)用實(shí)踐 192 8.1 0Day漏洞防御 192 8.2 釣魚攻擊防御 195 8.3 軟件供應(yīng)鏈風(fēng)險(xiǎn)防御 198 8.4 業(yè)務(wù)數(shù)據(jù)濫用風(fēng)險(xiǎn)防御 200 8.5 高效安全加固實(shí)踐 203 8.6 小結(jié) 203 第四部分 威脅感知與響應(yīng) 204 第9章 威脅感知與響應(yīng)及其架構(gòu) 205 9.1 威脅感知與響應(yīng)面臨的挑戰(zhàn) 205 9.1.1 快速演化的多方面威脅 205 9.1.2 高昂的威脅對抗成本 205 9.1.3 巨大的威脅信息偏差 206 9.1.4 復(fù)雜和多變的系統(tǒng)拓?fù)浣Y(jié)構(gòu) 207 9.1.5 防不勝防的供應(yīng)鏈威脅 207 9.1.6 高時(shí)效性的安全要求 208 9.1.7 自動化過程中的威脅信息丟失 208 9.2 威脅感知與響應(yīng)架構(gòu) 208 9.2.1 設(shè)計(jì)思路 208 9.2.2 能力要求 209 9.2.3 架構(gòu)和技術(shù) 210 9.3 小結(jié) 211 第 10章 威脅感知與響應(yīng)體系建設(shè)方案 212 10.1 感知覆蓋 212 10.1.1 感知數(shù)據(jù)品類 213 10.1.2 感知覆蓋的數(shù)據(jù)流 214 10.1.3 感知數(shù)據(jù)質(zhì)量監(jiān)控 217 10.2 威脅識別 219 10.2.1 威脅場景定義 219 10.2.2 威脅檢測策略 221 10.2.3 策略有效性檢驗(yàn) 227 10.3 威脅研判 228 10.4 威脅響應(yīng) 231 10.4.1 威脅事件響應(yīng)步驟 231 10.4.2 威脅響應(yīng)能力組成 234 10.4.3 威脅響應(yīng)劇本類型 236 10.4.4 威脅響應(yīng)能力驗(yàn)證 239 10.5 小結(jié) 240 第 11章 威脅感知與響應(yīng)體系應(yīng)用實(shí)踐 241 11.1 流量攻防 241 11.1.1 解決方案 241 11.1.2 效果 243 11.2 終端失陷 243 11.2.1 解決方案 244 11.2.2 效果 246 11.3 數(shù)據(jù)盜取 246 11.3.1 解決方案 247 11.3.2 效果 248 11.4 小結(jié) 249 第五部分 實(shí)戰(zhàn)檢驗(yàn) 250 第 12章 實(shí)戰(zhàn)檢驗(yàn)體系 251 12.1 實(shí)戰(zhàn)攻防演練 251 12.1.1 實(shí)戰(zhàn)攻防演練概念 251 12.1.2 實(shí)戰(zhàn)攻防演練流程 251 12.1.3 實(shí)戰(zhàn)演練遇到的問題 252 12.2 有效性檢驗(yàn) 252 12.2.1 有效性檢驗(yàn)概念 252 12.2.2 有效性檢驗(yàn)流程 253 12.2.3 有效性檢驗(yàn)遇到的問題 253 12.3 網(wǎng)商實(shí)戰(zhàn)檢驗(yàn)體系 253 12.3.1 設(shè)計(jì)思路 254 12.3.2 運(yùn)作機(jī)制 255 12.4 小結(jié) 256 第 13章 安全水位評估框架 256 13.1 安全水位定義 256 13.2 威脅路徑圖模型 257 13.2.1 威脅路徑圖模型介紹 257 13.2.2 威脅路徑圖模型數(shù)據(jù)結(jié)構(gòu) 257 13.2.3 威脅路徑圖能力介紹 264 13.3 安全水位指標(biāo) 265 13.3.1 如何評估企業(yè)安全水位 265 13.3.2安全水位量化關(guān)鍵指標(biāo) 267 13.4小結(jié) 269 第 14章 實(shí)戰(zhàn)檢驗(yàn)體系應(yīng)用實(shí)踐 270 14.1 能力、制度和流程建設(shè) 270 14.1.1 能力建設(shè) 270 14.1.2 制度建設(shè) 270 14.1.3 演練流程建設(shè) 273 14.2紅藍(lán)演練發(fā)現(xiàn)未知風(fēng)險(xiǎn) 275 14.2.1 紅藍(lán)演練規(guī)劃 275 14.2.2 紅藍(lán)演練類型 276 14.3 檢驗(yàn)安全能力有效性 279 14.4 演練復(fù)盤 281 14.4.1 復(fù)盤-豐富基礎(chǔ)數(shù)據(jù) 281 14.4.2 復(fù)盤-橫向指標(biāo)對比 283 14.4.3 復(fù)盤-縱向指標(biāo)對比 284 14.4.4 復(fù)盤-關(guān)注指標(biāo)的持續(xù)變化 284 14.5 最佳實(shí)踐 284 14.6 小結(jié) 287 第六部分 數(shù)字化與智能化 289 第 15章 安全數(shù)智化體系架構(gòu) 290 15.1 什么是數(shù)智化 290 15.2 安全數(shù)智化建設(shè)思路 294 15.3 小結(jié) 297 第 16章 安全數(shù)智化體系建設(shè)與應(yīng)用實(shí)踐 298 16.1 安全運(yùn)營中心 298 16.1.1 什么是安全運(yùn)營中心 299 16.1.2 一站式安全運(yùn)營 300 16.1.3 產(chǎn)品技術(shù)支撐架構(gòu) 306 16.2 安全大數(shù)據(jù)平臺 307 16.2.1 技術(shù)架構(gòu) 307 16.2.2 數(shù)據(jù)模型 312 16.2.3 數(shù)據(jù)案例 314 16.3 安全自動化平臺 315 16.3.1 基礎(chǔ)能力 317 16.3.2 典型場景 320 16.4 安全智能平臺 331 16.4.1 智能化演進(jìn)過程 331 16.4.2 智能基礎(chǔ)能力 332 16.4.3 安全智能平臺 336 16.5 安全管控平臺 344 16.5.1 安全管控平臺 345 16.5.2 管控能力案例 350 16.6 小結(jié) 352