中小型商業(yè)銀行的軟件安全測(cè)試之道
2017年10月19日
隨著移動(dòng)應(yīng)用、互聯(lián)網(wǎng)+時(shí)代的到來(lái)��,幾乎每個(gè)銀行的都已經(jīng)把主要的業(yè)務(wù)搬到互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)上來(lái)�。隨之而給帶來(lái)了兩個(gè)重大的趨勢(shì):
一方面,軟件外包開(kāi)發(fā)空前的繁榮起來(lái)�����,銀行除了要提供網(wǎng)上銀行���,電話(huà)銀行的業(yè)務(wù)�����,還要提供手機(jī)銀行�,銀行APP, 網(wǎng)絡(luò)支付�、各類(lèi)投資和理財(cái)業(yè)務(wù)APP等等。越來(lái)越多的銀行業(yè)務(wù)需要更全面�����、功能更多、更強(qiáng)大的軟件應(yīng)用系統(tǒng)來(lái)支撐���,這著實(shí)給本來(lái)就“壓力山大”商業(yè)銀行科技部(軟件開(kāi)發(fā)處)帶來(lái)了不小的挑戰(zhàn)。
另一個(gè)方面�,信息安全、個(gè)人隱私受到了越來(lái)越大的威脅�����。網(wǎng)絡(luò)安全事件���,個(gè)人隱私泄露�,網(wǎng)絡(luò)站點(diǎn)被黑等等事件幾乎天天可以看到�����。所以國(guó)家在今年6月1日及時(shí)地頒布了《網(wǎng)絡(luò)安全法》�,希望從法律層面,給社會(huì)各界提供有力的依據(jù)��,公同保護(hù)互聯(lián)網(wǎng)安全環(huán)境��。
其中���,現(xiàn)在網(wǎng)絡(luò)安全攻擊事件不斷頻發(fā)的一個(gè)主要原因����,就是大量定制化外包開(kāi)發(fā)出來(lái)的軟件應(yīng)用系統(tǒng)的源代碼中都存在著各種各樣的安全漏洞,極易受到黑客攻擊����。這一點(diǎn),我們可以從國(guó)內(nèi)多家安全漏洞曝光平臺(tái)上可以看出(國(guó)內(nèi)主要的曝光平臺(tái)有���,360公司補(bǔ)天�、漏洞盒子等)����,幾乎各行各業(yè)的網(wǎng)站系統(tǒng)都會(huì)存在安全漏洞。其中不乏大型國(guó)企�����、央企�����、大中型商業(yè)銀行����、高校和科研單位等等�。
2016年網(wǎng)絡(luò)安全事件與源代碼安全漏洞
面對(duì)上述嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)�,作為關(guān)系到國(guó)計(jì)民生、和老百姓的“錢(qián)”息息相關(guān)的商業(yè)銀行�,絕對(duì)不能再僅靠傳統(tǒng)的幾大件網(wǎng)絡(luò)安全防護(hù)設(shè)備來(lái)解決問(wèn)題。
正如上文所說(shuō)�����,目前所面臨的安全問(wèn)題都是我們自主研發(fā)或者外包開(kāi)發(fā)出來(lái)的定制化軟件系統(tǒng)存在安全漏洞而導(dǎo)致的���。而目前我國(guó)的絕大多數(shù)商業(yè)銀行的軟件系統(tǒng)開(kāi)發(fā)是外包開(kāi)發(fā)為主,由銀行內(nèi)所設(shè)置的科技部和信息系統(tǒng)部來(lái)管理�。行方人員為數(shù)較少,常常都是一人身兼數(shù)職��,同時(shí)也沒(méi)有相對(duì)專(zhuān)業(yè)的軟件安全管理人員��。
針對(duì)中小型商業(yè)銀行的軟件開(kāi)發(fā)特色����,我們?nèi)绻€是大談如何在商業(yè)銀行內(nèi)部建立完整的SDLC安全開(kāi)發(fā)生命周期來(lái)保證軟件的安全性就顯得非常的不且實(shí)際。今天��,我們就來(lái)聊一聊大部分為外包開(kāi)發(fā)模式的商業(yè)銀行,用什么方法來(lái)保障自己所定制開(kāi)發(fā)的軟件系統(tǒng)����、WEB站點(diǎn)以及移動(dòng)APP等應(yīng)用系統(tǒng)的源代碼的安全性。
對(duì)于商業(yè)銀行而言���,自身不具備(也不必要具備)軟件安全開(kāi)發(fā)能力�����,不需要擁有很高的源代碼安全開(kāi)發(fā)水平�。但對(duì)于自己的業(yè)務(wù)系統(tǒng)的安全性����,商業(yè)銀行是第一負(fù)責(zé)人,必須具備軟件系統(tǒng)安全的檢測(cè)和保障能力�����,否則一旦應(yīng)用系統(tǒng)被攻擊����,觸犯《網(wǎng)絡(luò)安全法》的可是銀行自己,要第一個(gè)被追責(zé)。所以��,各個(gè)商業(yè)銀行都應(yīng)該在如何保證軟件的源代碼安全漏洞問(wèn)題上下一番功夫��,確保自身業(yè)務(wù)系統(tǒng)上線后的安全性���、穩(wěn)定性�。
那么如何在外包開(kāi)發(fā)模式下有效地對(duì)軟件應(yīng)用系統(tǒng)進(jìn)行安全保障呢?換句話(huà)說(shuō)�����,如何在“只有一個(gè)行方的開(kāi)發(fā)項(xiàng)目經(jīng)理���,且方經(jīng)理身兼多個(gè)項(xiàng)目”的情況下,又確保源代碼是安全的?
根據(jù)我個(gè)人多年經(jīng)驗(yàn)的總結(jié)����,并結(jié)合外包管理的一些方法,我認(rèn)為����,在軟件外包管理中引入軟件源代碼安全測(cè)試體系,建立強(qiáng)制性的源代碼“安全驗(yàn)收”機(jī)制是最有效�、最方便的手段。它可以從源代碼層面上保證軟件系統(tǒng)的安全性��。這個(gè)“安全驗(yàn)收”機(jī)制如何建立才能即滿(mǎn)足甲方安全保障的需要,又能讓外包開(kāi)發(fā)服務(wù)商積極地配合安全漏洞的檢測(cè)和修復(fù)工作呢? 我們將其總結(jié)為一個(gè)“GATE+” 源代碼安全測(cè)試管理模式��,具體說(shuō)明如下圖所示:
“GATE+”安全測(cè)試管理模式
如上圖所示���,“GATE+”模式的主要思想就是���,在外包開(kāi)發(fā)管理中引入軟件源代碼的安全測(cè)試體系,對(duì)外包服務(wù)商所交付的軟件系統(tǒng)的源代碼進(jìn)行安全性驗(yàn)收測(cè)試���。如果交付的源代碼存在易被攻擊的安全漏洞�����,需要外包商進(jìn)行安全修復(fù)�,直至這些漏洞全部被消除���,這個(gè)系統(tǒng)才能夠驗(yàn)收�����,進(jìn)行上線部署�����。該模式的幾個(gè)關(guān)鍵點(diǎn)說(shuō)明如下:
1. 行方制定并發(fā)布明確的《軟件源代碼安全測(cè)試驗(yàn)收標(biāo)準(zhǔn)》
由行方安全部門(mén)和開(kāi)發(fā)項(xiàng)目經(jīng)理聯(lián)合專(zhuān)業(yè)的軟件安全咨詢(xún)顧問(wèn)共同制定出明確的����,符合甲方安全要求的《軟件源代碼安全測(cè)試驗(yàn)收標(biāo)準(zhǔn)》,并由行方權(quán)威部門(mén)正式發(fā)布�,即上圖中的“紅線”。這是源代碼安全驗(yàn)收時(shí)必須遵守的�����,也是最后的一道防線�����,由“行方開(kāi)發(fā)項(xiàng)目經(jīng)理”對(duì)標(biāo)紅線的進(jìn)行各個(gè)項(xiàng)目的安全檢查和驗(yàn)收�。
與之相對(duì)應(yīng)的是外包開(kāi)發(fā)過(guò)程中的一個(gè)“虛黃線”���。該虛黃線的意思是開(kāi)發(fā)商可以在項(xiàng)目開(kāi)發(fā)初期就明確地讓開(kāi)發(fā)人員知道將來(lái)的源代碼驗(yàn)收標(biāo)準(zhǔn)�����,開(kāi)發(fā)人員就可以提前預(yù)防�,提前做好技術(shù)上的規(guī)避方案。這樣一來(lái)���,外包商和開(kāi)發(fā)人員就會(huì)更加積極主動(dòng)的配合安全漏洞的檢查和修復(fù)工作���。
2. 建立一個(gè)方便、高效的軟件源代碼安全測(cè)試管理平臺(tái)
可能有安全管理人員會(huì)覺(jué)得源代碼安全測(cè)試����,直接找專(zhuān)業(yè)的第三方安全測(cè)試機(jī)構(gòu)或者安全公司進(jìn)行測(cè)試服務(wù)就可以了,不必要由行方自建源代碼安全管理平臺(tái)�。
但根據(jù)經(jīng)驗(yàn),由甲方自建安全測(cè)試管理平臺(tái)是非常有必要的��。這是因?yàn)?,如果把?yàn)收測(cè)試交由第三方來(lái)測(cè)試時(shí),那勢(shì)必安全測(cè)試只能在項(xiàng)目驗(yàn)收時(shí)進(jìn)行一次到兩次的測(cè)試��。測(cè)試頻度太低����,時(shí)間后置,這樣只能會(huì)造成“倉(cāng)促地”測(cè)試和驗(yàn)收����,外包人員“極不情愿地”配合和“應(yīng)付式”修復(fù)漏洞的局面���。一旦形成這樣的情況,那上面行方項(xiàng)目經(jīng)理的“安全驗(yàn)收”工作就會(huì)越來(lái)越難開(kāi)展��,也無(wú)法保證質(zhì)量����,慢慢地就只是留于“形勢(shì)”了。
這一點(diǎn)��,我們已經(jīng)看到很多的商業(yè)銀行就是這樣的情況���。所以�,由甲方自建一個(gè)軟件源代碼安全測(cè)試管理平臺(tái)���,提供兩種測(cè)試并行的方法才能把“安全測(cè)試標(biāo)準(zhǔn)”有效地執(zhí)行下去�����。目前國(guó)內(nèi)自主可控的源代碼安全測(cè)試管理平臺(tái)并不多���,思客云公司找八哥云管理系統(tǒng)是個(gè)不錯(cuò)的選擇�����。
3. “強(qiáng)制式”測(cè)試與“自助式”測(cè)試并行
為了避免上述的問(wèn)題,在自建安全測(cè)試管理平臺(tái)的基礎(chǔ)上���,我們提出了一個(gè)“強(qiáng)制式”測(cè)試與“自助式”測(cè)試并行的方案����。
如上圖中所示�,驗(yàn)收式測(cè)試 +“藍(lán)虛框”的外包自助式測(cè)試。其中驗(yàn)收式測(cè)試由甲方的項(xiàng)目管理人員完成�。這是強(qiáng)制式的,每一個(gè)項(xiàng)目在交付前都要進(jìn)行一次強(qiáng)制式驗(yàn)收測(cè)試���。
同時(shí)����,在開(kāi)發(fā)過(guò)程中�,允許外包商開(kāi)發(fā)人員可以在開(kāi)發(fā)過(guò)程中不定期的對(duì)源代碼進(jìn)行自助式的安全測(cè)試,這樣可以讓外包人員及時(shí)地檢測(cè)出安全問(wèn)題及時(shí)地修復(fù)漏洞����。外包商就可以對(duì)強(qiáng)制驗(yàn)收式測(cè)試沒(méi)有那么抵觸,更加積極配合���,安全測(cè)試工作就會(huì)更加的順暢�����。同時(shí)也不會(huì)因?yàn)榘踩珳y(cè)試影響項(xiàng)目驗(yàn)收進(jìn)度�����,影響交付和發(fā)布了�����。
軟件源代碼安全驗(yàn)收測(cè)試�,一個(gè)簡(jiǎn)單又高效的軟件安全保障手段,雖然已經(jīng)提出多年�,但是如果沒(méi)有一個(gè)有效的模式為基礎(chǔ),則只會(huì)讓商業(yè)銀行�,外包商,開(kāi)發(fā)人員�,安全人員和項(xiàng)目管理人員徒增煩惱。思客云找八哥系統(tǒng)以提供最佳“源代碼安全測(cè)試”整體解決方案為己任�,希望能夠給您提供必要的幫助!
轉(zhuǎn)載自:http://netsecurity.51cto.com/art/201710/554495.htm
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺(tái)建設(shè)�����、動(dòng)漫設(shè)計(jì)��、軟件研發(fā)���、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀����。公司遵循信息安全整體性的IATF模型���,從“人員素養(yǎng)”�、“制度流程”�����、“技術(shù)產(chǎn)品”三個(gè)視角提供全面����、可信的方案,業(yè)務(wù)涵蓋咨詢(xún)�����、評(píng)估����、規(guī)劃����、管控����、建設(shè)、培訓(xùn)等���。
