隨著移動應用、網際網路+時代的到來,幾乎每個銀行的都已經把主要的業務搬到網際網路和移動網際網路上來。隨之而給帶來了兩個重大的趨勢:
另乙個方面,資訊保安、個人隱私受到了越來越大的威脅。網路安全事件,個人隱私洩露,網路站點被黑等等事件幾乎天天可以看到。所以國家在今年6月1日及時地頒布了《網路安全法》,希望從法律層面,給社會各界提供有力的依據,公同保護網際網路安全環境。
其中,現在網路安全攻擊事件不斷頻發的乙個主要原因,就是大量定製化外包開發出來的軟體應用系統的源**中都存在著各種各樣的安全漏洞,極易受到黑客攻擊。這一點,我們可以從國內多家安全漏洞**平台上可以看出(國內主要的**平台有,360公司補天、漏洞盒子等),幾乎各行各業的**系統都會存在安全漏洞。其中不乏大型國企、央企、大中型商業銀行、高校和科研單位等等。
2023年網路安全事件與源**安全漏洞
面對上述嚴峻的網路安全角勢,作為關係到國計民生、和老百姓的「錢」息息相關的商業銀行,絕對不能再僅靠傳統的幾大件網路安全防護裝置來解決問題。
正如上文所說,目前所面臨的安全問題都是我們自主研發或者外包開發出來的定製化軟體系統存在安全漏洞而導致的。而目前我國的絕大多數商業銀行的軟體系統開發是外包開發為主,由銀行內所設定的科技部和資訊系統部來管理。行方人員為數較少,常常都是一人身兼數職,同時也沒有相對專業的軟體安全管理人員。
對於商業銀行而言,自身不具備(也不必要具備)軟體安全開發能力,不需要擁有很高的源**安全開發水平。但對於自己的業務系統的安全性,商業銀行是第一負責人,必須具備軟體系統安全的檢測和保障能力,否則一旦應用系統被攻擊,觸犯《網路安全法》的可是銀行自己,要第乙個被追責。所以,各個商業銀行都應該在如何保證軟體的源**安全漏洞問題上下一番功夫,確保自身業務系統上線後的安全性、穩定性。
那麼如何在外包開發模式下有效地對軟體應用系統進行安全保障呢?換句話說,如何在「只有乙個行方的開發專案經理,且方經理身兼多個專案」的情況下,又確保源**是安全的?
根據我個人多年經驗的總結,並結合外包管理的一些方法,我認為,在軟體外包管理中引入軟體源**安全測試體系,建立強制性的源**「安全驗收」機制是最有效、最方便的手段。它可以從源**層面上保證軟體系統的安全性。這個「安全驗收」機制如何建立才能即滿足甲方安全保障的需要,又能讓外包開發服務商積極地配合安全漏洞的檢測和修復工作呢? 我們將其總結為乙個「gate+」 源**安全測試管理模式,具體說明如下圖所示:
「gate+」安全測試管理模式
如上圖所示,「gate+」模式的主要思想就是,在外包開發管理中引入軟體源**的安全測試體系,對外包服務商所交付的軟體系統的源**進行安全性驗收測試。如果交付的源**存在易被攻擊的安全漏洞,需要外包商進行安全修復,直至這些漏洞全部被消除,這個系統才能夠驗收,進行上線部署。該模式的幾個關鍵點說明如下:
1. 行方制定並發布明確的《軟體源**安全測試驗收標準》
由行方安全部門和開發專案經理聯合專業的軟體安全諮詢顧問共同制定出明確的,符合甲方安全要求的《軟體源**安全測試驗收標準》,並由行方權威部門正式發布,即上圖中的「紅線」。這是源**安全驗收時必須遵守的,也是最後的一道防線,由「行方開發專案經理」對標紅線的進行各個專案的安全檢查和驗收。
與之相對應的是外包開發過程中的乙個「虛黃線」。該虛黃線的意思是開發商可以在專案開發初期就明確地讓開發人員知道將來的源**驗收標準,開發人員就可以提前預防,提前做好技術上的規避方案。這樣一來,外包商和開發人員就會更加積極主動的配合安全漏洞的檢查和修復工作。
2. 建立乙個方便、高效的軟體源**安全測試管理平台
可能有安全管理人員會覺得源**安全測試,直接找專業的第三方安全測試機構或者安全公司進行測試服務就可以了,不必要由行方自建源**安全管理平台。
但根據經驗,由甲方自建安全測試管理平台是非常有必要的。這是因為,如果把驗收測試交由第三方來測試時,那勢必安全測試只能在專案驗收時進行一次到兩次的測試。測試頻度太低,時間後置,這樣只能會造成「倉促地」測試和驗收,外包人員「極不情願地」配合和「應付式」修復漏洞的局面。一旦形成這樣的情況,那上面行方專案經理的「安全驗收」工作就會越來越難開展,也無法保證質量,慢慢地就只是留於「形勢」了。
這一點,我們已經看到很多的商業銀行就是這樣的情況。所以,由甲方自建乙個軟體源**安全測試管理平台,提供兩種測試並行的方法才能把「安全測試標準」有效地執行下去。目前國內自主可控的源**安全測試管理平台並不多,思客雲公司找八哥雲管理系統是個不錯的選擇。
3. 「強制式」測試與「自助式」測試並行
為了避免上述的問題,在自建安全測試管理平台的基礎上,我們提出了乙個「強制式」測試與「自助式」測試並行的方案。
如上圖中所示,驗收式測試 +「藍虛框」的外包自助式測試。其中驗收式測試由甲方的專案管理人員完成。這是強制式的,每乙個專案在交付前都要進行一次強制式驗收測試。
同時,在開發過程中,允許外包商開發人員可以在開發過程中不定期的對源**進行自助式的安全測試,這樣可以讓外包人員及時地檢測出安全問題及時地修復漏洞。外包商就可以對強制驗收式測試沒有那麼牴觸,更加積極配合,安全測試工作就會更加的順暢。同時也不會因為安全測試影響專案驗收進度,影響交付和發布了。
軟體源**安全驗收測試,乙個簡單又高效的軟體安全保障手段,雖然已經提出多年,但是如果沒有乙個有效的模式為基礎,則只會讓商業銀行,外包商,開發人員,安全人員和專案管理人員徒增煩惱。思客雲找八哥系統以提供最佳「源**安全測試」整體解決方案為己任,希望能夠給您提供必要的幫助!
原文發布時間為:2017-10-18
中小型商業銀行的軟體安全測試之道
隨著移動應用 網際網路 時代的到來,幾乎每個銀行的都已經把主要的業務搬到網際網路和移動網際網路上來。隨之而給帶來了兩個重大的趨勢 另乙個方面,資訊保安 個人隱私受到了越來越大的威脅。網路安全事件,個人隱私洩露,網路站點被黑等等事件幾乎天天可以看到。所以國家在今年6月1日及時地頒布了 網路安全法 希望...
中小型城市商業銀行數位化轉型實踐 開篇
2020年勢必要被注入史冊的一年,除了疫情這支 黑天鵝 全中國的商業銀行一夜之間似乎都被拉入了一場數位化轉型的戰役中。零接觸銀行 您身邊的無界智慧型行 銀行服務無處不在就是不在銀行 央行dcep試點 1 都在倒逼銀行進行數位化變更,以便在獲客 體驗 運營 資產 商業模式和生態上贏得未來。按照中國人不...
中小型軟體的開發專案管理
本處指的中小型軟體開發專案是指 參與開發的直接人員 即開發團隊 數量在3 25人 開發時間在3個月 18個月的軟體專案 行數5000 75000行 子程式數量300 3500個 1 軟體開發管理的任務 軟體開發管理的真正任務是團隊成員的智慧型充分而適宜地發揮,並有效地投注在創造軟體的活動中。也就是說...