金融信息系統(tǒng)安全風(fēng)險超過預(yù)期 軟件開發(fā)成薄弱環(huán)節(jié)

要對抗日益肆虐的網(wǎng)絡(luò)攻擊，金融機構(gòu)所需要關(guān)注的不僅僅是如何完善安全流程，監(jiān)測安全威脅信息，還需要關(guān)注如何從應(yīng)用出發(fā)減少安全漏洞出現(xiàn)的可能性。事實上，金融信息系統(tǒng)的安全危機遠超業(yè)界想象，在對主流的金融信息系統(tǒng)進行安全風(fēng)險評估時，安全人員發(fā)現(xiàn)，80%的手機銀行APP存在可被利用的漏洞。通過這些漏洞，網(wǎng)絡(luò)攻擊者可以潛入金融業(yè)務(wù)系統(tǒng)，竊取金融數(shù)據(jù)，更為嚴重的是，攻擊者可能會長期潛伏在內(nèi)部網(wǎng)絡(luò)之中，伺機破壞金融系統(tǒng)的正常運行。

值得關(guān)注的是，網(wǎng)絡(luò)攻擊者不僅會面向流行的金融信息系統(tǒng)進行攻擊，還更傾向于利用應(yīng)用率較低的特定軟件的漏洞，開發(fā)特定軟件的漏洞利用程序，同時針對較窄的目標用戶進行攻擊。這意味著金融機構(gòu)需要關(guān)注所有金融信息系統(tǒng)的安全狀況，并部署相應(yīng)的安全防護策略。

但是，要確保金融信息系統(tǒng)的安全開發(fā)在現(xiàn)實上卻存在很多障礙，很多金融機構(gòu)對于軟件的安全開發(fā)不夠重視，沒有一套完善的安全管理體系，導(dǎo)致金融信息系統(tǒng)出現(xiàn)安全標準不統(tǒng)一、無法達到安全規(guī)范、安全風(fēng)險缺乏控制等問題，嚴重影響金融系統(tǒng)的穩(wěn)定運行。而且，基于成本考慮，有些金融機構(gòu)將軟件開發(fā)外包，這些軟件更難遵循統(tǒng)一的安全規(guī)范，容易引入大量的安全風(fēng)險。

國舜股份董事長姜強表示：“銀行信息系統(tǒng)研發(fā)是銀行應(yīng)用系統(tǒng)的制造過程和金融服務(wù)產(chǎn)品的生產(chǎn)過程，也是金融信息化的核心環(huán)節(jié)，金融信息系統(tǒng)往往直接關(guān)聯(lián)著高價值的金融數(shù)據(jù)以及巨額的金融資產(chǎn)，因此軟件漏洞造成的威脅會更巨大，不法分子攻擊的利益驅(qū)動力也更強。在這些安全事件中，沒有遵循安全開發(fā)規(guī)范、存在著大量安全風(fēng)險的金融信息系統(tǒng)很容易成為黑客的攻擊目標。因此，在金融安全體系的建設(shè)中，必須將軟件安全開發(fā)擺在重要位置。”

打造金融信息系統(tǒng)開發(fā)全生命周期管理實踐

國舜股份建議，要從軟件開發(fā)入手提高金融安全保障力度，最重要的是保護金融信息系統(tǒng)全生命周期的安全。不僅在漏洞發(fā)現(xiàn)之后進行及時修補，還需要以開發(fā)安全綱要為指導(dǎo)，在應(yīng)用開發(fā)的初期就引入安全開發(fā)流程，規(guī)避軟件開發(fā)過程中的安全隱患。

首先，金融機構(gòu)需要對當前的軟件開發(fā)流程進行全面梳理，在需求、設(shè)計、實施、測試、發(fā)布等軟件開發(fā)的各個階段都能提供安全能力支撐，這包括安全需求分析、攻擊分析、安全設(shè)計原則、安全設(shè)計方案、開發(fā)安全規(guī)范、靜態(tài)分析、安全基線測試、模糊測試、滲透測試等各種安全環(huán)節(jié)。

其次，金融架構(gòu)需要一整套的高效安全開發(fā)工具，在保持業(yè)務(wù)敏捷性的前提下安全、快速的開發(fā)金融應(yīng)用，滿足業(yè)務(wù)拓展需求。

最后，金融機構(gòu)還需要建立標準化的信息安全體系，不僅建立軟件中心信息安全整體策略和檢查評價方法，完善信息安全管理基礎(chǔ)流程，還能夠提升外包風(fēng)險管控能力，提升內(nèi)部IT安全管控和服務(wù)能力。

為滿足金融客戶的軟件安全開發(fā)需求，國舜股份提供了全生命周期的開發(fā)安全管理體系，包含了威脅資源庫、安全測試資源庫以及情景式需求分析平臺等一系列的工具，金融機構(gòu)只需要在情景式需求分析平臺輸入系統(tǒng)的應(yīng)用場景就能輕松獲得安全需求、安全設(shè)計方案和安全測試用例，大大降低工作強度和工作難度。此外，該體系還覆蓋了軟件系統(tǒng)的可行性分析、需求分析、設(shè)計、研發(fā)、測試、部署、運維等各個階段，可顯著降低對開發(fā)人員安全意識和技能的依賴性，確保整個軟件系統(tǒng)的整體安全可控。

標簽： 安全 標準 金融 漏洞 網(wǎng)絡(luò) 問題 信息安全 信息化 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。