数字银行安全体系构建读后感锦集

《数字银行安全体系构建》是一本由网商银行信息安全部著作，人民邮电出版社出版的平装图书，本书定价：89.80元，页数：300，特精心收集的读后感，希望对大家能有帮助。

《数字银行安全体系构建》读后感(一)：《数字银行安全体系构建》

《数字银行安全体系构建》是一本针对当前数字金融时代银行业务安全挑战的专业著作。书中不仅系统阐述了数字银行业务的发展背景和安全风险类型，还深入探讨了如何建立有效的安全管理体系和技术防护措施。作者通过实际案例分析，生动地指出了安全体系的必要性，并提供了一系列的实践方法论。这本书对于金融行业的IT专业人员和安全管理者来说，是一本理论与实践并重的宝贵参考资料，尤其值得那些致力于提升数字银行安全性的专业人士阅读。

《数字银行安全体系构建》读后感(二)：一次完整而全面的安全建设之旅

这是一本非常专业的书，创作团队是有阿里背景的网商银行信息安全部。

全书完整地阐述了网商银行安全体系的基本构成，各部分的发展历程、具体做法和对未来的展望，并且花了一个大的部分举例实战应对安全问题的做法和思考。

作为国内第一批数字银行，他们摸索着其有别于传统银行和互联网公司的定位，既要拥有传统银行的足够安全，又要具备互联网公司的开放和快速。

因此，效率与安全的平衡是数字银行安全体系最基本的目标。

基于这个目标，他们提出了很多安全业界的新思路，来帮助他们实现这一目标，包括智能威胁感知、零信任、SDP、微隔离、可信计算、安全平行切面等。

通过这些思路的创新与探索，他们建立了自己的安全体系架构，通过默认安全机制、可信纵深防御以及威胁的感知与响应几个方面进行基本建设，通过不断的实战演练的检验。

完成这一切的探索都需要将日常工作不断地流程化、数字化，以此作为自动化能力建设的前提，把数字化和智能化不断推向前进。

在这个过程中，拥有一整套全局思维是重要的。在全局思维的引领下，他们从基础能力建设开始，不断细化深入典型场景，完成了从无到有的积累，比如数字化与智能化部分，从自动化辅助开始，逐步进化到自动化决策，并且向着智能化决策不断迈进。

他们的经验是宝贵的，趟过的路，踩过的坑，深刻的思考，都值得我们去仔细品读，借鉴和内化。

《数字银行安全体系构建》读后感(三)：金融安全是一场暗战

《数字银行安全体系构建》书评

一、图书信息

书名：数字银行安全体系构建

日期：2024年01月

页码：276

作者：网商银行信息安全部

信息补充：网商银行信息安全部汇集了各领域安全专家的数字银行安全团队，从0到1构建数字银行安全体系。

实践和探索前沿安全技术，构建默认安全体系、可信纵深防御体系以及实战检验体系，致力于通过创新技术守护用户的数据和资金安全。

二、重要内容

本书内容来源于网商银行在网络信息安全方面的一线实战经验，主要介绍一家数字银行是如何进行网络信息安全体系建设的。本书覆盖的安全子领域包括基础设施安全、业务应用安全、数据安全、威胁感知与响应、红蓝演练等。内容总体分为六部分。

第一部分介绍数字银行安全体系，概述了数字银行安全体系和如何设计数字银行安全架构。在阅读第二部分到第六部分之前，建议先阅读该部分，以便更好地理解后续内容。

第二部分介绍默认安全机制，讲述了如何高效控制所有已知类型的安全风险。

第三部分介绍可信纵深防御，讲述了如何应对未知类型的安全风险和高级威胁。

第四部分介绍威胁感知与响应，讲述了对于可能存在的威胁如何有效感知和处置。

第五部分介绍实战检验，讲述了如何通过实战攻防演习的方式检验安全体系的有效性和安全水位。

第六部分介绍安全数智化，讲述了如何通过数字化、自动化、智能化实现安全工作的高效开展。三、精彩段落

4.2.4不可忽视的大数据平台类资产

再来看关联资产，前面提到的资产范围都属于日常运维中关注较多的部分，如域名、IP 及由这些数据细化后的部分。随着业务的不断发展、技术形态的日益多元，一些之前没有投入很多精力关注的产品逐渐变得重要起来。

如数据存储类的各种大数据计算集群（如Hadoop、Spark及其他流处理和批处理）、机器学习相关的GPU集群等，虽然底层硬件资源依然基于物理机、虚拟机、容器构建的，但从安全角度来看，前面提到的细化资产的方法已经不再适用。因为业务流量可能完全体现不出来它的细节，在机器内部也看不到可疑、暴露的端口服务，真正的攻击敞口存在于应用内或应用间的数据流转过程中。例如，公网一处Web服务记录了用户提交的数据，由大数据集群中的流处理任务对这些用户数据进行分析，当流处理处理任务调用了低版本的Fastjson时，可能会出现攻击者只是想对公网Web应用做个测试，却利用此攻击敞口最终攻陷了后台计算集群的情况，更危险的是，各类防护措施往往会重点照顾暴露在公网的业务，后台应用防护水位缺失，这种攻击路径的破坏性可能更大。

安全风险依附于资产而存在，这是前文所述的前提之一，在这种新形态下也不例外。虽然新形态业务的风险评估一直是个难题，但站在安全资产的角度上，可以着重加强代码库、镜像、供应链相关的收集能力，毕竟最终风险实体大概率还是会出在研发的代码、镜像中的软件、供应链的依赖组件中。

6.4可信纵深防御架构

面向数字银行的可信纵深防御体系整体架构包含四个关键部分：硬件可信芯片、可信策略控制点、信任链和可信管控中心，由安全防护部件形成的可信防护体系与由计算部件形成的计算体系形成双体系结构。其中可信管控中心又由可信策略管控系统、可信策略刻画系统、安全保障系统、稳定性保障系统四部分组成。在整体架构设计上以硬件可信芯片为信任根；以可信软件基为核心，它由基础设施层、应用层、网络层及移动端和终端层等各层构建的可信策略控制点组成；基于硬件可信芯片构建的信任链来保障可信策略控制点的安全可信；基于可信策略刻画系统及密码学技术生成的“免疫基因抗体”对数字银行信息系统的运行环境、资源加载和交互行为进行可信管控，有效识别“自己”和“非己”成分，破坏与排斥进入信息系统机体的有害物质，为信息系统加持“免疫能力”，保障信息系统和数字资产的安全性；安全保障和稳定性保障技术为整体可信纵深防御体系的落地提供支撑，防止在可信纵深防御体系建设中产生安全漏洞和稳定性风险事件，导致业务受损。

12.3实战检验建设思路

实战检验体系以威胁路径图为理论依据，企业红军基于威胁路径图理论对防御能力进行标识并获得推演的安全能力建设指标，企业蓝军基于威胁路径图理论通过实战攻防演练的形式覆盖全部攻击路径以发现未知风险，通过自动化有效性检验来验证已建成安全能力的有效性，整个过程使用实战检验管理系统进行管理，配合实战检验管理制度和规范等形成完整的实战检验体系。通过企业蓝军、企业红军、外部攻击者（外部演练、SRC众测等）等多方数据的校正计算，最终得到一个时间段内企业真实的安全水位指标数据。

四、阅读感想

数字化在全面重塑银行系统的业务过程中，也必然驱动网络安全防御能力的重塑。在复杂泛化的资产业务体系中融入安全基因，在传统合规和安全赛道式建设的基础上构建一个动态综合、实战化运营的防御体系，都是非常艰巨的工作，需要方法体系和实践指南，本书就是这样一份指南。本书编写小组对金融体系场景和网络安全技术均有深入的理解和丰富的实践经验，基于银行信息系统运营基础好、可管理性强的特点，结合我国基础IT结构换道重塑的历史契机，提出了可信环境塑造的有效路径；积极推动“安全切面”创新技术和多种安全能力的组合运用，实现边界的重塑；发挥数字银行IT资产的规模和纵深的优势，构建体系化的防御能力和层次化的防御阵地。