2024中小金融机构数字化亮点 | 网商银行构建软件供应链安全主动免疫系统，提升高级未知威胁防护水平

为响应国家网络安全战略，浙江网商银行积极落实金融行业软件供应链安全监管要求，针对数字金融面临的软件供应链安全风险，开发了一套软件供应链安全主动免疫系统。该系统旨在应对网络入侵、勒索攻击及数据泄露等高级未知威胁，为数字资产提供更加全面的安全保障。

项目构建的软件供应链安全主动免疫系统贯穿软件研发全生命周期，实现对软件供应链中安全漏洞与后门的默认防护和主动免疫。

首先，项目首创了基于代码属性图的分阶段程序分析引擎，通过设计一种新的面向对象语言的代码属性图构建方案，实现0Day漏洞高效自动化挖掘。漏洞发现效率较人工提升了5倍，人行态势感知平台情报贡献度连续两年排名第一。

其次，创新性地融合AI和AOS技术，开发了启发式后门定位技术，实现软件后门的精准快速检测。基于控制流、数据流分析和可疑行为多维特征匹配的后门定位技术，以及参数智能推断的后门代码模糊测试能力，依托AI技术和海量样本训练的风险决策方案，更加精准地识别软件异常行为，有效解决了传统方案对软件正常行为误报率高、运营成本高的问题。

再次，项目首创了策略自适应的软件运行时可信纵深防御技术，实现软件0Day漏洞与后门的主动免疫。该技术仅允许业务预期内的代码、系统调用、函数、参数和网络行为通过，默认拦截利用漏洞和后门的攻击行为，达成未知漏洞与后门的“主动免疫”效果。自研的策略智能生成与自适应更新技术，能够自动采集关键行为数据，应用语义分析算法与安全大模型等能力，动态分析与生成非预期行为管控策略。同时，构建低成本且独立于业务逻辑的下发通道，实现管控策略的自动、动态配置与升级，攻 击拦截准确率超过99.99%。基于AOS的全栈原生高效管控技术，构建与业务正交融合的支持多开发语言、技术栈的原生策略控制点，实现安全与业务逻辑的解耦，安全加固业务无需改造。可信防御技术方案可根据不同威胁等级灵活适配，机构可结合自 身 IT 架构的底层技术栈，选择适合其安全威胁等级的可信纵深防御能力，将防御能力扩展至应用层甚至硬件层，提供全面可信防护。

最后，项目首创了基于安全凭据和可信管控的默认安全控制技术，实现主动免疫能力的全面及时覆盖。利用DHCP和802.1x入网认证，确立不可绕过的控制点，仅允许经过严格认证的可信设备连接网络，并结合软件研发全生命周期颁发的安全凭据，确保软件经过安全评估和默认接入安全防护。一旦软件投产，主动免疫能力即刻全面覆盖，显著提升系统对0Day漏洞和复杂后门攻击的防范能力。通过这些创新技术的结合，构建了一套高效、精准的安全防护体系，为软件供应链安全提供了强有力的保障。

展开全文

中国社会科学院金融研究所研究员 杨涛

专家点评

近年来，我国软件和信息技术服务业发展治理的速度和质量令人瞩目，但也存在软件供应链方面的安全挑战，如生态与标准尚待完善、对外依赖度高、生命周期安全管理不足等。金融业作为特殊的信息处理行业，其软件供应链安全更是不仅关系到金融基础设施的自主可控、安全高效，更影响着金融业数字化转型与高质量发展的成效。

网商银行的软件供应链安全主动免疫系统项目具有较好的实施效果和价值，在多个维度上带来了显著的经济和社会效益，对行业和社会贡献了深远的核心价值和影响力。

在行业层面，该项目有效规避了软件供应链安全风险，守护网商银行小微用户数据和资金安全。向金融行业共享了1.6万余个软件后门和0Day漏洞，在人行金融网络态势感知平台贡献度连续两年排名第一，同时发布了《数字银行可信纵深防御白皮书》《数字银行安全体系构建》，助力金融行业在软件供应链安全领域联防联控。

在社会层面，项目推动了金融科技安全领域的科研进步，促进了相关领域技术水平的提升。项目还为金融机构提供了高效、精准的软件供应链风险防控实践案例。同时，项目助力国家网络安全建设，通过在金融机构和大型企业中实施先进的安全防护技术，验证了项目技术的跨行业推广应用价值，广泛保护了国家经济安全。总体而言，软件供应链安全主动免疫系统是金融科技创新的重要成果，也为银行做好数字金融大文章提供了更多安全保障。

（此文刊发于《金融电子化》2025年2月上半月刊）