金融业务应用系统亟需构筑“内建安全”

2017-04-11 16:25:00 作者:ym 分类 : 比特网

  随着传统金融机构进行数字化业务扩张,金融数字化转型成为市场竞争的主战场,手机银行、直销银行、移动支付、微信营销等“互联网+”新兴业务不断涌现。据统计,以股份制商业银行为首的众多金融机构离柜交易额不断增长,同时增长的还有新业务不断扩展带来的安全风险。当前,各大金融机构最受关注的是信息泄漏、逻辑缺陷、SQL注入等严重威胁自身业务的安全问题,在关注基础环境安全问题的同时,亟需构筑自身业务应用系统的“内建安全”。

  引发金融行业业务安全问题的源头有两方面,一方面是基础环境安全问题,包括网络、安全等设备的漏洞,此类漏洞由设备厂商关注并修复;另一方面是自主研发软件存在的未被发现的各种漏洞,主要由金融机构的科技管理人员管理和响应。

  作为金融机构的科技管理人员,在自研漏洞爆发时有两个问题需要解决,一是在组织内部数百种金融业务应用中快速了解该漏洞的存在数量和影响的范围;二是采取措施将风险和损失降到最低

  例如近日影响范围较大的Apache Struts2漏洞,传统的应急响应方式解决的是将风险和损失降低,即启动应急预案,通过分析新型漏洞的特点提取漏洞特征,定制检测规则,第一时间在边界安全设备(IDSIPS、WAF等)中完成部署,确保攻击来临时可以进行监测和阻断,尽可能降低漏洞带来的损失。这种方式只解决了管理人员关心的第二个问题,但对出现漏洞的组件涉及哪种开发语言、开发框架,这些开发语言和开发框架在当前业务应用中的使用数量等疑问缺乏快速的响应措施,现阶段只能耗费大量人员和时间通过手工方式进行汇总统计。

说明: http://www.joysuccess.com/upload/image/201512/15/0231381570.jpg

  从安全管理角度进行分析,近期出现的漏洞大部分都是由代码设计缺陷导致,目前各家金融机构都已经建立自身的业务安全开发管理流程。同时,在每一个业务应用上线前,都会进行必要的源代码缺陷、合规性等安全检测。

  如果将检测的过程和相关结果信息进行收集汇总,例如开发语言、开发框架、开源组件、缺陷、漏洞等,同时与组织原有的代码仓库、Bug管理系统进行无缝对接,构成金融机构自己的软件资产库,并在开发运维阶段不断丰富,形成基于安全开发的软件资产管理大数据平台。当新型漏洞爆发时,就能提供应急响应查询,检测业务系统中是否使用了存在漏洞的第三方组件,业务系统代码中是否包含了漏洞代码,并通过搜索技术实现源代码层面的问题追溯,有效提升金融机构安全开发管理能力。

  软件资产管理大数据平台不仅满足金融行业对于软件资产的源代码级别应急响应需求;同时满足基于代码搜索、自动化查询等快速定位需求;甚至未来可采用机器学习等技术,将安全开发信息提取形成基于源代码的安全威胁情报,精准定位源代码安全缺陷,提升金融业务应用整体安全能力。

  360企业安全集团代码卫士相关负责人表示,软件资产是组成金融应用系统的基础,源代码是软件资产的核心机密,源代码的安全问题至关重要。

  据了解,360代码卫士是基于多年源代码安全实践经验的源代码安全解决方案,涵盖缺陷分析、合规检测、溯源检测三大检测方向,分别解决软件开发过程中的安全缺陷和漏洞问题、安全合规性问题、第三方代码安全管控问题。在此基础上,代码卫士产品的软件安全开发管理平台可与企业已有的软件开发测试环境无缝对接,形成企业自有的软件资产管理大数据平台,帮助企业以最小代价建立软件资产管理库,构筑基于金融业务应用系统的“内建安全”。

  以“Apache Struts2漏洞”事件为例,通过软件资产管理大数据平台进行漏洞响应,可以采用基于漏洞属性的自动化查询方式,快速生成统计报告,相比传统的应急响应方式,在缩短响应时间的同时又保证统计的全面性,帮助管理人员第一时间了解新型漏洞在组织中存在的数据和影响范围,从源头定位问题采取根治措施,尽可能降低漏洞带来的风险和损失。

最近更新
科普

科普图集
带着朋友和机器人上月亮散步

带着朋友和机器人上月亮散步>>详情

比食人鱼更恐怖:长着人类牙齿的鱼

比食人鱼更恐怖:长着人类牙齿的鱼>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。