TZFIDA 0002-2024 面向网络攻击的银行安全能力评估指南.pdf

ICS35.240.40

CCSA11

团体标准

T/ZFIDA0002—2024

面向网络攻击的银行安全能力评估指南

GuidelinesforassessingonBanksecuritycapabilitiesagainst

networkattacks

2024-12-18发布2024-12-18实施

中关村金融科技产业发展联盟发布

T/ZFIDA0002-2024

T/ZFIDA0002-2024

目次

前言II

引言III

1范围1

2规范性引用文件1

3术语和定义1

4缩略语3

5评估框架3

6数据集构建3

6.1概述3

6.2威胁路径图模型3

6.3威胁路径图构建4

7评估方法5

7.1概述5

7.2自动化检验5

7.2.1正面检验5

7.2.2侧面检验5

7.3实战演练检验6

7.3.1演练模式6

7.3.2演练指标6

8评估指标与计算7

8.1评估指标7

8.1.1预警指标7

8.1.2预防指标8

8.1.3防御指标8

8.1.4感知指标9

8.1.5响应指标9

8.1.6可抵御的威胁等级10

8.2安全水位计算11

附录A（资料性）企业攻防安全评估指标体系示例12

附录B（资料性）威胁等级划分示例14

附录C（资料性）风险等级划分示例14

参考文献16

T/ZFIDA0002-2024

前  言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

本文件由浙江网商银行股份有限公司提出。

本文件由中关村金融科技产业发展联盟归口。

本文件起草单位：浙江网商银行股份有限公司、蚂蚁科技集团股份有限公司、中关村金融科技产业

发展联盟、中国工商银行股份有限公司、中国邮政储蓄银行股份有限公司、中信银行股份有限公司、中

国光大银行股份有限公司、平安银行股份有限公司、广东南粤银行股份有限公司、北京知其安科技有限

公司、北京车晓科技有限公司、中关村互联网金融科技研究院、博彦科技股份有限公司、中科聚信信息

技术（北京）有限公司、中科软科技股份有限公司、北京海星科技产业服务有限公司

本文件主要起草人：高嵩、马晓航、张园超、高亭宇、李恒、陆碧波、彭晋、王嘉水、赵文逞、刘

勇、曹亭亭、王伟、王柏柱、刘学章、陈振翔、叶峻延、方蕊、李攀、王齐峰、史佳涵、李亚敏、张然、

李烨琦、陈鹏飞、吴永佳、陈善锋、郭威、师一帅、陈振、谢源、赵浚雅、齐柏尧、杨小强、王丽娜、

陈曦、刘美萍、王俊、王辉、张正、姚春阳

T/ZFIDA0002-2024

引言

随着企业数字化发展越来越完善，网络安全形势和企业面临的网络安全威胁越来越严峻，开展企业

网络安全能力评估有助于全面分析企业面临的威胁、存在的脆弱性以及风险，并基于安全能力评估结果

开展安全能力建设工作。

本文件从攻击者视角出发，结合红蓝双方攻防数据提出基于威胁路径图的安全能力评估体系，内容

包括威胁路径图模型、检验方法、指标计算逻辑，该体系可以有效检验企业面临真实攻击时的安全水位，

通过量化数据为安全建设提供指导。