中小型商業(yè)銀行的軟件安全測試之道
2017年10月19日
隨著移動應(yīng)用���、互聯(lián)網(wǎng)+時代的到來���,幾乎每個銀行的都已經(jīng)把主要的業(yè)務(wù)搬到互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)上來。隨之而給帶來了兩個重大的趨勢:
一方面����,軟件外包開發(fā)空前的繁榮起來����,銀行除了要提供網(wǎng)上銀行����,電話銀行的業(yè)務(wù),還要提供手機銀行���,銀行APP, 網(wǎng)絡(luò)支付����、各類投資和理財業(yè)務(wù)APP等等��。越來越多的銀行業(yè)務(wù)需要更全面����、功能更多、更強大的軟件應(yīng)用系統(tǒng)來支撐�����,這著實給本來就“壓力山大”商業(yè)銀行科技部(軟件開發(fā)處)帶來了不小的挑戰(zhàn)��。
另一個方面,信息安全�、個人隱私受到了越來越大的威脅。網(wǎng)絡(luò)安全事件��,個人隱私泄露�����,網(wǎng)絡(luò)站點被黑等等事件幾乎天天可以看到�。所以國家在今年6月1日及時地頒布了《網(wǎng)絡(luò)安全法》,希望從法律層面����,給社會各界提供有力的依據(jù),公同保護互聯(lián)網(wǎng)安全環(huán)境����。
其中,現(xiàn)在網(wǎng)絡(luò)安全攻擊事件不斷頻發(fā)的一個主要原因���,就是大量定制化外包開發(fā)出來的軟件應(yīng)用系統(tǒng)的源代碼中都存在著各種各樣的安全漏洞,極易受到黑客攻擊���。這一點�,我們可以從國內(nèi)多家安全漏洞曝光平臺上可以看出(國內(nèi)主要的曝光平臺有,360公司補天�、漏洞盒子等),幾乎各行各業(yè)的網(wǎng)站系統(tǒng)都會存在安全漏洞����。其中不乏大型國企、央企����、大中型商業(yè)銀行、高校和科研單位等等����。
2016年網(wǎng)絡(luò)安全事件與源代碼安全漏洞
面對上述嚴峻的網(wǎng)絡(luò)安全形勢,作為關(guān)系到國計民生����、和老百姓的“錢”息息相關(guān)的商業(yè)銀行,絕對不能再僅靠傳統(tǒng)的幾大件網(wǎng)絡(luò)安全防護設(shè)備來解決問題�����。
正如上文所說���,目前所面臨的安全問題都是我們自主研發(fā)或者外包開發(fā)出來的定制化軟件系統(tǒng)存在安全漏洞而導(dǎo)致的��。而目前我國的絕大多數(shù)商業(yè)銀行的軟件系統(tǒng)開發(fā)是外包開發(fā)為主�,由銀行內(nèi)所設(shè)置的科技部和信息系統(tǒng)部來管理。行方人員為數(shù)較少���,常常都是一人身兼數(shù)職�,同時也沒有相對專業(yè)的軟件安全管理人員�����。
針對中小型商業(yè)銀行的軟件開發(fā)特色�����,我們?nèi)绻€是大談如何在商業(yè)銀行內(nèi)部建立完整的SDLC安全開發(fā)生命周期來保證軟件的安全性就顯得非常的不且實際����。今天,我們就來聊一聊大部分為外包開發(fā)模式的商業(yè)銀行�,用什么方法來保障自己所定制開發(fā)的軟件系統(tǒng)、WEB站點以及移動APP等應(yīng)用系統(tǒng)的源代碼的安全性���。
對于商業(yè)銀行而言���,自身不具備(也不必要具備)軟件安全開發(fā)能力,不需要擁有很高的源代碼安全開發(fā)水平�����。但對于自己的業(yè)務(wù)系統(tǒng)的安全性�,商業(yè)銀行是第一負責(zé)人,必須具備軟件系統(tǒng)安全的檢測和保障能力��,否則一旦應(yīng)用系統(tǒng)被攻擊�,觸犯《網(wǎng)絡(luò)安全法》的可是銀行自己,要第一個被追責(zé)�。所以,各個商業(yè)銀行都應(yīng)該在如何保證軟件的源代碼安全漏洞問題上下一番功夫���,確保自身業(yè)務(wù)系統(tǒng)上線后的安全性����、穩(wěn)定性����。
那么如何在外包開發(fā)模式下有效地對軟件應(yīng)用系統(tǒng)進行安全保障呢?換句話說,如何在“只有一個行方的開發(fā)項目經(jīng)理��,且方經(jīng)理身兼多個項目”的情況下,又確保源代碼是安全的?
根據(jù)我個人多年經(jīng)驗的總結(jié)�,并結(jié)合外包管理的一些方法,我認為�����,在軟件外包管理中引入軟件源代碼安全測試體系��,建立強制性的源代碼“安全驗收”機制是最有效����、最方便的手段。它可以從源代碼層面上保證軟件系統(tǒng)的安全性���。這個“安全驗收”機制如何建立才能即滿足甲方安全保障的需要�����,又能讓外包開發(fā)服務(wù)商積極地配合安全漏洞的檢測和修復(fù)工作呢? 我們將其總結(jié)為一個“GATE+” 源代碼安全測試管理模式�����,具體說明如下圖所示:
“GATE+”安全測試管理模式
如上圖所示�����,“GATE+”模式的主要思想就是��,在外包開發(fā)管理中引入軟件源代碼的安全測試體系�����,對外包服務(wù)商所交付的軟件系統(tǒng)的源代碼進行安全性驗收測試��。如果交付的源代碼存在易被攻擊的安全漏洞����,需要外包商進行安全修復(fù)���,直至這些漏洞全部被消除���,這個系統(tǒng)才能夠驗收,進行上線部署����。該模式的幾個關(guān)鍵點說明如下:
1. 行方制定并發(fā)布明確的《軟件源代碼安全測試驗收標(biāo)準(zhǔn)》
由行方安全部門和開發(fā)項目經(jīng)理聯(lián)合專業(yè)的軟件安全咨詢顧問共同制定出明確的,符合甲方安全要求的《軟件源代碼安全測試驗收標(biāo)準(zhǔn)》����,并由行方權(quán)威部門正式發(fā)布����,即上圖中的“紅線”�����。這是源代碼安全驗收時必須遵守的�����,也是最后的一道防線�,由“行方開發(fā)項目經(jīng)理”對標(biāo)紅線的進行各個項目的安全檢查和驗收。
與之相對應(yīng)的是外包開發(fā)過程中的一個“虛黃線”����。該虛黃線的意思是開發(fā)商可以在項目開發(fā)初期就明確地讓開發(fā)人員知道將來的源代碼驗收標(biāo)準(zhǔn),開發(fā)人員就可以提前預(yù)防���,提前做好技術(shù)上的規(guī)避方案��。這樣一來���,外包商和開發(fā)人員就會更加積極主動的配合安全漏洞的檢查和修復(fù)工作。
2. 建立一個方便�、高效的軟件源代碼安全測試管理平臺
可能有安全管理人員會覺得源代碼安全測試�����,直接找專業(yè)的第三方安全測試機構(gòu)或者安全公司進行測試服務(wù)就可以了�����,不必要由行方自建源代碼安全管理平臺�。
但根據(jù)經(jīng)驗�,由甲方自建安全測試管理平臺是非常有必要的���。這是因為����,如果把驗收測試交由第三方來測試時��,那勢必安全測試只能在項目驗收時進行一次到兩次的測試����。測試頻度太低,時間后置�����,這樣只能會造成“倉促地”測試和驗收,外包人員“極不情愿地”配合和“應(yīng)付式”修復(fù)漏洞的局面���。一旦形成這樣的情況��,那上面行方項目經(jīng)理的“安全驗收”工作就會越來越難開展���,也無法保證質(zhì)量,慢慢地就只是留于“形勢”了����。
這一點,我們已經(jīng)看到很多的商業(yè)銀行就是這樣的情況�����。所以�����,由甲方自建一個軟件源代碼安全測試管理平臺�,提供兩種測試并行的方法才能把“安全測試標(biāo)準(zhǔn)”有效地執(zhí)行下去。目前國內(nèi)自主可控的源代碼安全測試管理平臺并不多�����,思客云公司找八哥云管理系統(tǒng)是個不錯的選擇。
3. “強制式”測試與“自助式”測試并行
為了避免上述的問題��,在自建安全測試管理平臺的基礎(chǔ)上��,我們提出了一個“強制式”測試與“自助式”測試并行的方案��。
如上圖中所示�����,驗收式測試 +“藍虛框”的外包自助式測試�。其中驗收式測試由甲方的項目管理人員完成。這是強制式的��,每一個項目在交付前都要進行一次強制式驗收測試�。
同時��,在開發(fā)過程中��,允許外包商開發(fā)人員可以在開發(fā)過程中不定期的對源代碼進行自助式的安全測試�����,這樣可以讓外包人員及時地檢測出安全問題及時地修復(fù)漏洞����。外包商就可以對強制驗收式測試沒有那么抵觸���,更加積極配合,安全測試工作就會更加的順暢�。同時也不會因為安全測試影響項目驗收進度,影響交付和發(fā)布了��。
軟件源代碼安全驗收測試��,一個簡單又高效的軟件安全保障手段����,雖然已經(jīng)提出多年,但是如果沒有一個有效的模式為基礎(chǔ)�����,則只會讓商業(yè)銀行����,外包商,開發(fā)人員����,安全人員和項目管理人員徒增煩惱���。思客云找八哥系統(tǒng)以提供最佳“源代碼安全測試”整體解決方案為己任,希望能夠給您提供必要的幫助!
轉(zhuǎn)載自:http://netsecurity.51cto.com/art/201710/554495.htm
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全�、運維平臺建設(shè)、動漫設(shè)計���、軟件研發(fā)�����、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�。公司遵循信息安全整體性的IATF模型���,從“人員素養(yǎng)”�����、“制度流程”、“技術(shù)產(chǎn)品”三個視角提供全面���、可信的方案��,業(yè)務(wù)涵蓋咨詢���、評估�����、規(guī)劃�����、管控�����、建設(shè)����、培訓(xùn)等�。
