打開(kāi)網(wǎng)易新聞 查看精彩圖片

為響應(yīng)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略，浙江網(wǎng)商銀行積極落實(shí)金融行業(yè)軟件供應(yīng)鏈安全監(jiān)管要求，針對(duì)數(shù)字金融面臨的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)，開(kāi)發(fā)了一套軟件供應(yīng)鏈安全主動(dòng)免疫系統(tǒng)。該系統(tǒng)旨在應(yīng)對(duì)網(wǎng)絡(luò)入侵、勒索攻擊及數(shù)據(jù)泄露等高級(jí)未知威脅，為數(shù)字資產(chǎn)提供更加全面的安全保障。

項(xiàng)目構(gòu)建的軟件供應(yīng)鏈安全主動(dòng)免疫系統(tǒng)貫穿軟件研發(fā)全生命周期，實(shí)現(xiàn)對(duì)軟件供應(yīng)鏈中安全漏洞與后門(mén)的默認(rèn)防護(hù)和主動(dòng)免疫。

首先，項(xiàng)目首創(chuàng)了基于代碼屬性圖的分階段程序分析引擎，通過(guò)設(shè)計(jì)一種新的面向?qū)ο笳Z(yǔ)言的代碼屬性圖構(gòu)建方案，實(shí)現(xiàn)0Day漏洞高效自動(dòng)化挖掘。漏洞發(fā)現(xiàn)效率較人工提升了5倍，人行態(tài)勢(shì)感知平臺(tái)情報(bào)貢獻(xiàn)度連續(xù)兩年排名第一。

其次，創(chuàng)新性地融合AI和AOS技術(shù)，開(kāi)發(fā)了啟發(fā)式后門(mén)定位技術(shù)，實(shí)現(xiàn)軟件后門(mén)的精準(zhǔn)快速檢測(cè)?；诳刂屏鳌?shù)據(jù)流分析和可疑行為多維特征匹配的后門(mén)定位技術(shù)，以及參數(shù)智能推斷的后門(mén)代碼模糊測(cè)試能力，依托AI技術(shù)和海量樣本訓(xùn)練的風(fēng)險(xiǎn)決策方案，更加精準(zhǔn)地識(shí)別軟件異常行為，有效解決了傳統(tǒng)方案對(duì)軟件正常行為誤報(bào)率高、運(yùn)營(yíng)成本高的問(wèn)題。

再次，項(xiàng)目首創(chuàng)了策略自適應(yīng)的軟件運(yùn)行時(shí)可信縱深防御技術(shù)，實(shí)現(xiàn)軟件0Day漏洞與后門(mén)的主動(dòng)免疫。該技術(shù)僅允許業(yè)務(wù)預(yù)期內(nèi)的代碼、系統(tǒng)調(diào)用、函數(shù)、參數(shù)和網(wǎng)絡(luò)行為通過(guò)，默認(rèn)攔截利用漏洞和后門(mén)的攻擊行為，達(dá)成未知漏洞與后門(mén)的“主動(dòng)免疫”效果。自研的策略智能生成與自適應(yīng)更新技術(shù)，能夠自動(dòng)采集關(guān)鍵行為數(shù)據(jù)，應(yīng)用語(yǔ)義分析算法與安全大模型等能力，動(dòng)態(tài)分析與生成非預(yù)期行為管控策略。同時(shí)，構(gòu)建低成本且獨(dú)立于業(yè)務(wù)邏輯的下發(fā)通道，實(shí)現(xiàn)管控策略的自動(dòng)、動(dòng)態(tài)配置與升級(jí)，攻 擊攔截準(zhǔn)確率超過(guò)99.99%?；贏OS的全棧原生高效管控技術(shù)，構(gòu)建與業(yè)務(wù)正交融合的支持多開(kāi)發(fā)語(yǔ)言、技術(shù)棧的原生策略控制點(diǎn)，實(shí)現(xiàn)安全與業(yè)務(wù)邏輯的解耦，安全加固業(yè)務(wù)無(wú)需改造?？尚欧烙夹g(shù)方案可根據(jù)不同威脅等級(jí)靈活適配，機(jī)構(gòu)可結(jié)合自 身 IT 架構(gòu)的底層技術(shù)棧，選擇適合其安全威脅等級(jí)的可信縱深防御能力，將防御能力擴(kuò)展至應(yīng)用層甚至硬件層，提供全面可信防護(hù)。

最后，項(xiàng)目首創(chuàng)了基于安全憑據(jù)和可信管控的默認(rèn)安全控制技術(shù)，實(shí)現(xiàn)主動(dòng)免疫能力的全面及時(shí)覆蓋。利用DHCP和802.1x入網(wǎng)認(rèn)證，確立不可繞過(guò)的控制點(diǎn)，僅允許經(jīng)過(guò)嚴(yán)格認(rèn)證的可信設(shè)備連接網(wǎng)絡(luò)，并結(jié)合軟件研發(fā)全生命周期頒發(fā)的安全憑據(jù)，確保軟件經(jīng)過(guò)安全評(píng)估和默認(rèn)接入安全防護(hù)。一旦軟件投產(chǎn)，主動(dòng)免疫能力即刻全面覆蓋，顯著提升系統(tǒng)對(duì)0Day漏洞和復(fù)雜后門(mén)攻擊的防范能力。通過(guò)這些創(chuàng)新技術(shù)的結(jié)合，構(gòu)建了一套高效、精準(zhǔn)的安全防護(hù)體系，為軟件供應(yīng)鏈安全提供了強(qiáng)有力的保障。

打開(kāi)網(wǎng)易新聞 查看精彩圖片

專(zhuān)家點(diǎn)評(píng)

近年來(lái)，我國(guó)軟件和信息技術(shù)服務(wù)業(yè)發(fā)展治理的速度和質(zhì)量令人矚目，但也存在軟件供應(yīng)鏈方面的安全挑戰(zhàn)，如生態(tài)與標(biāo)準(zhǔn)尚待完善、對(duì)外依賴(lài)度高、生命周期安全管理不足等。金融業(yè)作為特殊的信息處理行業(yè)，其軟件供應(yīng)鏈安全更是不僅關(guān)系到金融基礎(chǔ)設(shè)施的自主可控、安全高效，更影響著金融業(yè)數(shù)字化轉(zhuǎn)型與高質(zhì)量發(fā)展的成效。

網(wǎng)商銀行的軟件供應(yīng)鏈安全主動(dòng)免疫系統(tǒng)項(xiàng)目具有較好的實(shí)施效果和價(jià)值，在多個(gè)維度上帶來(lái)了顯著的經(jīng)濟(jì)和社會(huì)效益，對(duì)行業(yè)和社會(huì)貢獻(xiàn)了深遠(yuǎn)的核心價(jià)值和影響力。

在行業(yè)層面，該項(xiàng)目有效規(guī)避了軟件供應(yīng)鏈安全風(fēng)險(xiǎn)，守護(hù)網(wǎng)商銀行小微用戶(hù)數(shù)據(jù)和資金安全。向金融行業(yè)共享了1.6萬(wàn)余個(gè)軟件后門(mén)和0Day漏洞，在人行金融網(wǎng)絡(luò)態(tài)勢(shì)感知平臺(tái)貢獻(xiàn)度連續(xù)兩年排名第一，同時(shí)發(fā)布了《數(shù)字銀行可信縱深防御白皮書(shū)》《數(shù)字銀行安全體系構(gòu)建》，助力金融行業(yè)在軟件供應(yīng)鏈安全領(lǐng)域聯(lián)防聯(lián)控。

在社會(huì)層面，項(xiàng)目推動(dòng)了金融科技安全領(lǐng)域的科研進(jìn)步，促進(jìn)了相關(guān)領(lǐng)域技術(shù)水平的提升。項(xiàng)目還為金融機(jī)構(gòu)提供了高效、精準(zhǔn)的軟件供應(yīng)鏈風(fēng)險(xiǎn)防控實(shí)踐案例。同時(shí)，項(xiàng)目助力國(guó)家網(wǎng)絡(luò)安全建設(shè)，通過(guò)在金融機(jī)構(gòu)和大型企業(yè)中實(shí)施先進(jìn)的安全防護(hù)技術(shù)，驗(yàn)證了項(xiàng)目技術(shù)的跨行業(yè)推廣應(yīng)用價(jià)值，廣泛保護(hù)了國(guó)家經(jīng)濟(jì)安全。總體而言，軟件供應(yīng)鏈安全主動(dòng)免疫系統(tǒng)是金融科技創(chuàng)新的重要成果，也為銀行做好數(shù)字金融大文章提供了更多安全保障。

（此文刊發(fā)于《金融電子化》2025年2月上半月刊）