12月18日，在中关村论坛第12届数字金融与科技金融大会上，网商银行发布行业首个面向网络攻击的银行安全能力评估标准——《面向网络攻击的银行安全能力评估指南》。这是业内首个基于威胁路径图的安全实战检验体系，为金融机构的数字化提供了一套“体检系统”。

据悉，《面向网络攻击的银行安全能力评估指南》由网商银行牵头制定，蚂蚁集团、中关村金融科技产业发展联盟、工商银行等多个机构联合起草。该标准提出了一种基于图论构建的网络攻击数据集评估被攻击方安全能力的评估方法，包括评估框架、网络攻击数据集构建、评估方法、评估指标与计算。它不仅适用于评估基于互联网开展业务的银行在面临网络攻击时的安全能力水平，也适用于各类金融机构企业内进行安全攻防演练时评估安全能力。

据网商银行安全专家李恒介绍，对金融机构进行安全能力综合评估，需要构建包含所有黑客可能的攻击路径、攻击能力、安全能力等基础数据。用图的方式抽象企业网络中发生的攻击行为构建威胁路径图，形成了可以描述完整攻击过程的数字化模型，依托图的特性可以计算图中任意两个节点之间所有可能的路径。依托威胁路径图，攻防双方可以共同协作提升企业安全能力。

在实战领域，网商银行积累了“基于威胁路径图的安全水位评估”等技术实践。此次数字金融大会上，该实践从全国数百个案例中脱颖而出，获选“2024年金融科技技术创新与应用优秀案例”。

据悉，“基于威胁路径图的安全水位评估的技术实践”，涵盖了威胁路径图管理系统、自动化检验系统和指标计算系统。网商银行通过该体系定期开展自动化检验和实战攻防演练，周期性评估安全水位，并生成高风险事项，为红军安全建设提供指导性数据。这一体系的构建不仅是对安全水位评估难题的创新性探索，也是对团标《面向网络攻击的银行安全能力评估指南》的最佳实践。

落地3年来，该技术实践已经沉淀96个攻防场景、1433个攻击技战法，并提炼出威胁路径防护率、威胁路径纵深防御率、威胁路径可信防御覆盖率、威胁路径感知覆盖率、安全能力有效率、高风险攻击技术链、高风险攻防场景等数字化指标，运用实战演练和自动化检验产生的数据衡量企业网络安全水位。

据悉，该技术也入选了国家2022年网络安全技术应用试点示范项目、《金融电子化》第十四届金融科技创新奖、第三届（2023）“金信通”金融科技创新应用优秀案例。