网络安全体系是一项复杂的系统工程，需要把安全组织体系、安全技术体系和安全管理体系等手段进行有机融合，构建一体化的整体安全屏障。针对网络安全防护，美国曾提出多个网络安全体系模型和架构，其中比较经典的包括PDRR模型、P2DR模型、IATF框架和黄金标准框架。

PDRR模型由美国国防部（DoD）提出，是防护（Protection）、检测（Detection）、响应（Response）、恢复（Recovery）的缩写。PDRR改进了传统的只注重防护的单一安全防御思想，强调信息安全保障的PDRR四个重要环节。图1所示为PDRR模型的主要内容。

PDRR模型把信息的安全保护作为基础，将保护视为活动过程，要用检测手段来发现安全漏洞，及时更正；同时采用应急响应措施对付各种入侵；在系统被入侵后，要采取相应的措施将系统恢复到正常状态，这样使信息的安全得到全方位的保障。该模型强调的是自动故障恢复能力。

随着数字经济的快速发展，我国银行业务服务模式与技术架构发生了深刻变革。尤其在数字化转型背景下，网络安全作为保障银行业务稳定连续运行的基础，正面临更大的挑战。

银行网络安全体系与银行技术、业务架构密切相关，先后经历了分散外挂防护、集中边界防护、纵深防护等阶段。随着银行数字化转型工作的深入推进，银行网络安全体系持续升级，并逐步向全面防护、攻防能力相长的新体系演进。

1.国际局势愈发复杂，银行面临严峻的外部网络安全威胁

近年来，随着国际局势的复杂化，全球网络安全威胁持续升级，银行业金融机构作为金融领域的关键基础设施运营单位，面临更加严峻的形势：全球供应链攻击规模和影响不断升级;网络入侵事件与日俱增，高级可持续性攻击(APT攻击)呈多发态势;安全漏洞层出不穷，高危漏洞比例大幅增加，0day漏洞风险防不胜防;信息安全整体形势严峻，客户信息安全与隐私保护面临新挑战。

2.关键信息基础设施强监管时代，银行面临更高网络安全监管要求

当前，国家持续提高对网络安全工作的重视程度，陆续出台相关法律法规，以《中华人民共和国网络安全法》为基础的网络安全法律体系逐步形成，网络安全治理体系逐步完备，网络安全成为总体国家安全观的有机组成部分。2022年9月，《中华人民共和国网络安全法》拟修改并向社会公开征求意见，以加强对关基运营者违法行为的处罚力度。《关键信息基础设施安全保护条例》明确了关键信息基础设施保护流程，并要求关键信息基础设施运营者加强攻防实战能力建设。

同时，监管部门加强对网络安全的监管。公安部、人民银行、银保监会等监管部门相继出台一系列网络安全监管制度，并加大监管问责力度，多家银行因违反相关条例被监管部门给予警告、罚款、责令整改等处罚。监管部门、各级政府部门纷纷组织开展攻防比赛、专项演练等专项工作，敦促各关键信息基础设施运营单位快速提升攻防实战能力，监管重心逐渐由合规要求向能力提升转变。

3.银行数字化转型时期，新技术、新应用带来新机遇和新风险

一是新技术与银行业务的结合可能带来新风险。人工智能、物联网等新技术不断发展，与交易结算、资金融通、风险管控等银行业务深度融合，跨境交易高频发生，任一环节出现问题都可能对业务连续性造成影响。

二是新技术应用带来新的安全问题。云计算、大数据等技术的发展在为数字化转型赋能的同时，也带来了云安全、大数据安全等一系列新型安全问题，产生数据泄露风险。

三是新技术成为驱动网络安全防护数字化转型的重要组成部分。当前，人工智能、区块链、量子计算等新技术不断发展，银行不断加强对新技术的应用，研究建设数字安全平台，夯实银行业数字化安全基座。
在新的形势下，银行网络安全体系升级转型的需求愈发迫切，从当前发展情况来看，银行网络安全体系升级主要有三个方向。

1.新技术：提供数字化转型安全支撑

升级安全防护技术是银行网络安全体系升级中“技术”层面的尝试。通过提升各项防护技术效能，应用以数据为驱动的安全新技术，构建数字化转型安全底座。

大数据与人工智能技术赋能金融反欺诈，以数据为驱动建立智能化的风险预测防控模型，构建以数据为核心的反欺诈体系，能够提升银行服务能力和风险管控水平。隐私保护技术在日常业务开展中保护客户合法权益，保障业务安全，促进数据合规、高效流通。区块链技术实现交易防篡改和可追溯，在重构信用机制、保护个人隐私以及共享行业信息方面发挥重要作用，可有效提升银行间合作效率。

2.新模型：构建零信任网络安全架构

引入新的安全防护模型是银行网络安全体系升级中“模型”层面的尝试。通过将安全防护基本理念、实施策略进行重构升级，实现既有安全技术防护效能的提升，其中零信任模型是当前最热门的模型。

零信任的核心思想是“从不信任，始终验证”。零信任打破了传统网络安全中“网络边界”的概念，网络安全体系从以网络为中心向以身份为中心转变，对用户、设备进行全面动态的访问控制。

近年来，零信任应用日渐广泛，产业发展初具规模，已有银行开展零信任架构研究试点。2019年以来，微软、谷歌、思科等全球科技巨头率先进行零信任架构落地实践，国内安全厂商纷纷推出各场景的零信任解决方案。目前，远程办公、远程分支机构接入、远程运维等场景备受各行业关注，工商银行等大型商业银行均开展了远程办公场景下零信任试点。

3.新理念：形成螺旋式攻防内生动力

摒弃静态防护，引入攻防博弈理念，是银行网络安全体系升级中“理念”层面的尝试。通过重新定义安全的状态，实现网络安全向以能力建设为导向的智能防御及进攻反制阶段演进，“攻防相长”理念是该方向的积极尝试。

国家网络安全监管要求日益严格，《关键信息基础设施安全保护条例》对关键信息基础设施运营单位提出了“溯源反制”等攻击能力方面的要求。因此，我国银行业逐渐将攻防能力建设纳入整体安全规划，网络安全理念由基础建设导向朝能力建设导向转变。

工商银行在行业率先推出“攻防兼备、能力相长”的新一代安全攻防体系，成立了安全攻防实验室，研究网络安全攻防技术，开展攻防实战;此外，提出金融攻防靶场的建设思路，整合开展了攻防能力培训、攻防技术研究、攻防对抗实施等多项“以攻促防”工作。