金融信息系統(tǒng)安全風(fēng)險(xiǎn)超過預(yù)期 軟件開發(fā)成薄弱環(huán)節(jié)

要對(duì)抗日益肆虐的網(wǎng)絡(luò)攻擊，金融機(jī)構(gòu)所需要關(guān)注的不僅僅是如何完善安全流程，監(jiān)測(cè)安全威脅信息，還需要關(guān)注如何從應(yīng)用出發(fā)減少安全漏洞出現(xiàn)的可能性。事實(shí)上，金融信息系統(tǒng)的安全危機(jī)遠(yuǎn)超業(yè)界想象，在對(duì)主流的金融信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估時(shí)，安全人員發(fā)現(xiàn)，80%的手機(jī)銀行APP存在可被利用的漏洞。通過這些漏洞，網(wǎng)絡(luò)攻擊者可以潛入金融業(yè)務(wù)系統(tǒng)，竊取金融數(shù)據(jù)，更為嚴(yán)重的是，攻擊者可能會(huì)長(zhǎng)期潛伏在內(nèi)部網(wǎng)絡(luò)之中，伺機(jī)破壞金融系統(tǒng)的正常運(yùn)行。

值得關(guān)注的是，網(wǎng)絡(luò)攻擊者不僅會(huì)面向流行的金融信息系統(tǒng)進(jìn)行攻擊，還更傾向于利用應(yīng)用率較低的特定軟件的漏洞，開發(fā)特定軟件的漏洞利用程序，同時(shí)針對(duì)較窄的目標(biāo)用戶進(jìn)行攻擊。這意味著金融機(jī)構(gòu)需要關(guān)注所有金融信息系統(tǒng)的安全狀況，并部署相應(yīng)的安全防護(hù)策略。

但是，要確保金融信息系統(tǒng)的安全開發(fā)在現(xiàn)實(shí)上卻存在很多障礙，很多金融機(jī)構(gòu)對(duì)于軟件的安全開發(fā)不夠重視，沒有一套完善的安全管理體系，導(dǎo)致金融信息系統(tǒng)出現(xiàn)安全標(biāo)準(zhǔn)不統(tǒng)一、無法達(dá)到安全規(guī)范、安全風(fēng)險(xiǎn)缺乏控制等問題，嚴(yán)重影響金融系統(tǒng)的穩(wěn)定運(yùn)行。而且，基于成本考慮，有些金融機(jī)構(gòu)將軟件開發(fā)外包，這些軟件更難遵循統(tǒng)一的安全規(guī)范，容易引入大量的安全風(fēng)險(xiǎn)。

國(guó)舜股份董事長(zhǎng)姜強(qiáng)表示：“銀行信息系統(tǒng)研發(fā)是銀行應(yīng)用系統(tǒng)的制造過程和金融服務(wù)產(chǎn)品的生產(chǎn)過程，也是金融信息化的核心環(huán)節(jié)，金融信息系統(tǒng)往往直接關(guān)聯(lián)著高價(jià)值的金融數(shù)據(jù)以及巨額的金融資產(chǎn)，因此軟件漏洞造成的威脅會(huì)更巨大，不法分子攻擊的利益驅(qū)動(dòng)力也更強(qiáng)。在這些安全事件中，沒有遵循安全開發(fā)規(guī)范、存在著大量安全風(fēng)險(xiǎn)的金融信息系統(tǒng)很容易成為黑客的攻擊目標(biāo)。因此，在金融安全體系的建設(shè)中，必須將軟件安全開發(fā)擺在重要位置。”

打造金融信息系統(tǒng)開發(fā)全生命周期管理實(shí)踐

國(guó)舜股份建議，要從軟件開發(fā)入手提高金融安全保障力度，最重要的是保護(hù)金融信息系統(tǒng)全生命周期的安全。不僅在漏洞發(fā)現(xiàn)之后進(jìn)行及時(shí)修補(bǔ)，還需要以開發(fā)安全綱要為指導(dǎo)，在應(yīng)用開發(fā)的初期就引入安全開發(fā)流程，規(guī)避軟件開發(fā)過程中的安全隱患。

首先，金融機(jī)構(gòu)需要對(duì)當(dāng)前的軟件開發(fā)流程進(jìn)行全面梳理，在需求、設(shè)計(jì)、實(shí)施、測(cè)試、發(fā)布等軟件開發(fā)的各個(gè)階段都能提供安全能力支撐，這包括安全需求分析、攻擊分析、安全設(shè)計(jì)原則、安全設(shè)計(jì)方案、開發(fā)安全規(guī)范、靜態(tài)分析、安全基線測(cè)試、模糊測(cè)試、滲透測(cè)試等各種安全環(huán)節(jié)。

其次，金融架構(gòu)需要一整套的高效安全開發(fā)工具，在保持業(yè)務(wù)敏捷性的前提下安全、快速的開發(fā)金融應(yīng)用，滿足業(yè)務(wù)拓展需求。

最后，金融機(jī)構(gòu)還需要建立標(biāo)準(zhǔn)化的信息安全體系，不僅建立軟件中心信息安全整體策略和檢查評(píng)價(jià)方法，完善信息安全管理基礎(chǔ)流程，還能夠提升外包風(fēng)險(xiǎn)管控能力，提升內(nèi)部IT安全管控和服務(wù)能力。

為滿足金融客戶的軟件安全開發(fā)需求，國(guó)舜股份提供了全生命周期的開發(fā)安全管理體系，包含了威脅資源庫、安全測(cè)試資源庫以及情景式需求分析平臺(tái)等一系列的工具，金融機(jī)構(gòu)只需要在情景式需求分析平臺(tái)輸入系統(tǒng)的應(yīng)用場(chǎng)景就能輕松獲得安全需求、安全設(shè)計(jì)方案和安全測(cè)試用例，大大降低工作強(qiáng)度和工作難度。此外，該體系還覆蓋了軟件系統(tǒng)的可行性分析、需求分析、設(shè)計(jì)、研發(fā)、測(cè)試、部署、運(yùn)維等各個(gè)階段，可顯著降低對(duì)開發(fā)人員安全意識(shí)和技能的依賴性，確保整個(gè)軟件系統(tǒng)的整體安全可控。

標(biāo)簽： 安全 標(biāo)準(zhǔn) 金融 漏洞 網(wǎng)絡(luò) 問題 信息安全 信息化 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。