金融机构供应链安全如何保障?安恒信息解决方案来了
“金吾卫”,汉唐时期拱卫京师之卫队,司巡察警戒之责。安恒金融解决方案团队借用金吾卫之名,以行业解决方案为盾,全力护航金融客户网络安全、数据安全。
前言
软件已经渗透到每个人生活中的方方面面。一个简单的转账操作背后都有很多应用软件系统支撑。软件与业务高度融合,对金融机构业务流程的支撑覆盖程度接近100%。对金融机构而言,软件安全就是业务运营安全的基石。
各种事件分析结果显示针对供应链的攻击逐渐增多,软件供应链安全逐渐成为网络安全合规与业务技术发展的重要内容。近年来的攻防演练也逐渐把供应链安全作为重要的检查项,防止黑客通过供应链进行渗透攻击。

金融行业供应链安全背景
国家及行业层面陆续发布了供应链安全相关的规范,比如:银保监 371号文《关于供应链安全风险提示》和《关于规范金融业开源技术应用与发展的意见》等。行业供应链安全建设主要面临:漏洞处置、管理措施不足;第三方组件风险;不安全的系统配置;责任界限不清晰;安全事件通报不及时;脆弱的业务连续性和灾难恢复实践;产品和服务的组成透明性差等治理痛点。
研究表明:越早发现漏洞,及时收敛漏洞,就更容易修复,成本也就越低。
为了发现软件的漏洞和缺陷,确保Web应用程序在交付前后的安全性,同时为了降本增效,拒绝带病上线,实现在研发过程中发现问题并及时解决。推进安全左移,提升软件开发质量势在必行。
安恒金融供应链安全建设方案

组织管理:
制定安全管理制度、供应商管理制度、安全流程设计、人员行为准则和相应的安全培训设置。
平台工具:
调研金融机构现有供应链安全建设现状,依实际情况,从采购、开发,交付,运维等各阶段介入,提供相应的平台和工具。保证需求,设计,研发,测试,上线,研发全过程的安全。平台可统一管理安全开发资产,实现安全需求全生命周期管理,可对接安恒自有工具及业内20+种领先的安全和开发工具,实现漏洞统一管理和风险集中可视。
持续运维:
设计交付和验收的安全基线,实现产品/服务的变更和配置管理,设定相应的应急响应与缓解预案,进行威胁信息的收集及响应告警。实现软件产品的安全质量管控。
金融机构供应链安全如何开始做?
(1)从采购阶段引入:制定供应链安全相关的技术措施、管理措施,保证供应商所提供的组件是安全的,比如是否经过源代码检测,是否具备资质认证等。
(2)从需求阶段引入:DevSecOps管理平台与金融机构工单管理系统:jira、禅道等对接,通过威胁建模子工具依据行业安全需求标准基线输出相应的安全需求设计(给到研发阶段使用)及安全测试用例(给到测试阶段使用),在研发与测试阶段通过SAST、SCA、IAST工具进行验证闭环。
(3)从研发测试阶段引入:DevSecOps管理平台一方面可以对接金融机构已有的DevOps研发管理平台/瀑布模式/敏捷开发流程,一方面可以调用DAST、IAST等组件的能力,输出安全检测报告,返回给到金融机构原有平台。
值得强调的是:
(1)我们没有流程,完全适配金融机构现有流程。与客户原有平台对接,把漏洞信息,安全需求信息进行汇总。采用低侵入方式,不改变原有开发流程和工作习惯。
(2)专业的咨询服务+各安全组件+安全管理平台,其中安全管理平台还可以兼容友商产品,避免友商垄断状态。
某某证券落地实践
项目需求
某某证券研发部门下新成立了安全质量管理团队,期望改善软件安全质量问题。公司层面也比较关注“建立健全信息安全技术制度规定,推进技术系统全生命周期管理”,同时伴随着《证券公司网络和信息安全三年提升计划(2023-2025)(征求意见稿)》的发布,软件开发安全建设工作愈发重要。
主要需求包括:
(1)将安全纳入到质量管理体系,避免安全孤立到体系之外,从而被忽视,同时与部门工作保持一致
(2)漏洞生命周期管理:跟踪漏洞的处置流程,与推进研发更好处理
(3)体系化解决软件安全问题
(4)从源头介入工作
(5)提升团队安全能力
(6)提升安全工作效率
解决方案
一期:
协助某某证券建立安全开发规范、标准以及知识、设计安全课程;搭建安全开发一体化平台;设计和构建安全检测基线、提供人工渗透辅助。
二期:
设计安全开发SDK,将已有的安全能力固化;将安全开发一体化平台的能力升级:搭建了APP检测工具;搭建安全知识库,稳步推进安全工作、同时进行漏洞修复。
三四期:
将平台能力持续升级:搭建IAST检测工具,使用商用源代码审计工具。
客户收益
满足合规:
开发安全体系建设,严格按照国家、行业颁布安全合规政策落地实施,帮助某某证券达成合规性。
标准化/自动化:
搭建安全开发一体化平台,采用人工+工具的方式,与某某证券现有流程完美融合,达成流程自动化,做到安全工作有据可依。
降本增效:
开发安全体系建设和运行,大大提高系统的安全性,降低漏洞的修复成本,减少了研发、测试、安全人员沟通成本,进而提高了工作效率。
提升安全技能:
构建安全知识库,培养安全共识,以安全能力为基石,并进行常态化的开发安全培训,提升开发人员的整体安全意识和安全技能。