數字經濟的安全基石

金融行業

全力護航金融客戶網絡安全、數據安全

首頁 > 解決方案 > 行業解決方案 > 金融 > 正文

金融機構供應鏈安全如何保障?开云电竞入口解決方案來了

閱讀量:

“金吾衛”,漢唐時期拱衛京師之衛隊,司巡察警戒之責。安恒金融解決方案團隊借用金吾衛之名,以行業解決方案為盾,全力護航金融客戶網絡安全、數據安全

前言

軟件已經滲透到每個人生活中的方方面面。一個簡單的轉賬操作背后都有很多應用軟件系統支撐。軟件與業務高度融合,對金融機構業務流程的支撐覆蓋程度接近100%。對金融機構而言,軟件安全就是業務運營安全的基石。

各種事件分析結果顯示針對供應鏈的攻擊逐漸增多,軟件供應鏈安全逐漸成為網絡安全合規與業務技術發展的重要內容。近年來的攻防演練也逐漸把供應鏈安全作為重要的檢查項,防止黑客通過供應鏈進行滲透攻擊


金融行業供應鏈安全背景

國家及行業層面陸續發布了供應鏈安全相關的規范,比如:銀保監 371號文《關于供應鏈安全風險提示》和《關于規范金融業開源技術應用與發展的意見》等。行業供應鏈安全建設主要面臨:漏洞處置、管理措施不足;第三方組件風險;不安全的系統配置;責任界限不清晰;安全事件通報不及時;脆弱的業務連續性和災難恢復實踐;產品和服務的組成透明性差等治理痛點。

研究表明:越早發現漏洞,及時收斂漏洞,就更容易修復,成本也就越低

為了發現軟件的漏洞和缺陷,確保Web應用程序在交付前后的安全性,同時為了降本增效,拒絕帶病上線,實現在研發過程中發現問題并及時解決。推進安全左移,提升軟件開發質量勢在必行。


安恒金融供應鏈安全建設方案

組織管理:

 制定安全管理制度、供應商管理制度、安全流程設計、人員行為準則和相應的安全培訓設置。

平臺工具:

調研金融機構現有供應鏈安全建設現狀,依實際情況,從采購、開發,交付,運維等各階段介入,提供相應的平臺和工具。保證需求,設計,研發,測試,上線,研發全過程的安全。平臺可統一管理安全開發資產,實現安全需求全生命周期管理,可對接安恒自有工具及業內20+種領先的安全和開發工具,實現漏洞統一管理和風險集中可視。

持續運維:

設計交付和驗收的安全基線,實現產品/服務的變更和配置管理,設定相應的應急響應與緩解預案,進行威脅信息的收集及響應告警。實現軟件產品的安全質量管控。


金融機構供應鏈安全如何開始做?

(1)從采購階段引入:制定供應鏈安全相關的技術措施、管理措施,保證供應商所提供的組件是安全的,比如是否經過源代碼檢測,是否具備資質認證等。

(2)從需求階段引入:DevSecOps管理平臺與金融機構工單管理系統:jira、禪道等對接,通過威脅建模子工具依據行業安全需求標準基線輸出相應的安全需求設計(給到研發階段使用)及安全測試用例(給到測試階段使用),在研發與測試階段通過SAST、SCA、IAST工具進行驗證閉環。

(3)從研發測試階段引入:DevSecOps管理平臺一方面可以對接金融機構已有的DevOps研發管理平臺/瀑布模式/敏捷開發流程,一方面可以調用DAST、IAST等組件的能力,輸出安全檢測報告,返回給到金融機構原有平臺。


值得強調的是:


(1)我們沒有流程,完全適配金融機構現有流程。與客戶原有平臺對接,把漏洞信息,安全需求信息進行匯總。采用低侵入方式,不改變原有開發流程和工作習慣。

(2)專業的咨詢服務+各安全組件+安全管理平臺,其中安全管理平臺還可以兼容友商產品,避免友商壟斷狀態。


某某證券落地實踐

項目需求

某某證券研發部門下新成立了安全質量管理團隊,期望改善軟件安全質量問題。公司層面也比較關注“建立健全信息安全技術制度規定,推進技術系統全生命周期管理”,同時伴隨著《證券公司網絡和信息安全三年提升計劃(2023-2025)(征求意見稿)》的發布,軟件開發安全建設工作愈發重要。

主要需求包括:


 (1)將安全納入到質量管理體系,避免安全孤立到體系之外,從而被忽視,同時與部門工作保持一致

(2)漏洞生命周期管理:跟蹤漏洞的處置流程,與推進研發更好處理

(3)體系化解決軟件安全問題

(4)從源頭介入工作

(5)提升團隊安全能力

(6)提升安全工作效率


解決方案


一期:

協助某某證券建立安全開發規范、標準以及知識、設計安全課程;搭建安全開發一體化平臺;設計和構建安全檢測基線、提供人工滲透輔助。

二期:

設計安全開發SDK,將已有的安全能力固化;將安全開發一體化平臺的能力升級:搭建了APP檢測工具;搭建安全知識庫,穩步推進安全工作、同時進行漏洞修復。

三四期:

平臺能力持續升級:搭建IAST檢測工具,使用商用源代碼審計工具。


客戶收益


滿足合規:

 開發安全體系建設,嚴格按照國家、行業頒布安全合規政策落地實施,幫助某某證券達成合規性。

標準化/自動化:

搭建安全開發一體化平臺,采用人工+工具的方式,與某某證券現有流程完美融合,達成流程自動化,做到安全工作有據可依。

降本增效:

開發安全體系建設和運行,大大提高系統的安全性,降低漏洞的修復成本,減少了研發、測試、安全人員溝通成本,進而提高了工作效率。

提升安全技能:

構建安全知識庫,培養安全共識,以安全能力為基石,并進行常態化的開發安全培訓,提升開發人員的整體安全意識和安全技能。





返回

與專家在線溝通, 免費獲取專業解決方案

線上咨詢
聯系我們

咨詢電話:400-6059-110

微信咨詢
OB电竞 欧宝官网 金年会 kaiyun 欧宝官网 金年会 IM电竞 亚美体育 欧宝官网 亚美体育