城商行数字化转型中的应用开发安全管控难点与应对之道.docx

?

?

城商行数字化转型中的应用开发安全管控难点与应对之道

?

?

【摘要】进入“十四五”时期以来，在政策的推动下，银行数字化转型呈现加速趋势，《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》、《金融科技发展规划（2022-2025年）》、《关于银行业保险业数字化转型的指导意见》等一系列政策文件都指出金融科技创新和数字化转型的重要性，各大商业银行也越来越多的将大数据、云计算、人工智能和区块链等科技应用于金融业务中，取得了非凡的成绩。城商行出于自身发展需要和外部竞争压力,也都在积极布局金融科技创新，开展数字化转型工作，越来越多的金融应用上线用于提升触达客户的效率，以及提升客户转化和活跃度。另一方面，这些越来越多的金融应用系统导致了暴露面和攻击风险的增加，对城商行的应用开发安全管控提出了更高的挑战，需要从开发安全管理体系、DevSecOps工具链、人才培训和激励等角度提升系统开发过程的安全管控能力。【关键字】数字化转型；开发安全；DevOps；DevSecOps；外包开发风险

一、城商行软件开发特点和面临的安全挑战

1、网络安全形势严峻

随着数字化转型的进程，近年来遭受攻击的数量明显增加，给用户、各类企业甚至金融行业造成的严重损失，并呈现快速增长趋势。尤其是当今国际形势错综复杂，跨国网络攻击也层出不穷。另外信息泄露事件频发，大量企业商业信息和个人敏感信息由于安全漏洞造成泄漏并在黑产圈、暗网传播。犯罪分子的作案手段逐渐趋于智能化、自动化、收益量化，对0day漏洞的利用时间更短。银行的金融系统作为关键基础设施，面临的网络安全形势其严峻程度不言而喻。

2、金融监管日趋严格

为了确保银行数字化转型的顺利开展，应对金融科技创新过程中的风险，一系列的监管文件陆续出台，例如《JRT0068-2020网上银行系统信息安全通用规范》、《JRT0199-2020金融科技创新安全通用规范》、《关于规范金融业开源技术应用与发展的意见》，这些文件都对应用开发过程的安全设计、安全测试、漏洞管理和开源技术的使用等方面，都提出了明确的要求。

从银保监公布的行政处罚信息来看，近年来银行因为系统漏洞、信息安全相关问题导致处罚的案例屡见不鲜。可以预见，未来金融监管对金融信息系统的安全要求会越来越严格，违背监管要求面临的处罚也会越来越严厉。

3、业务的快速迭代导致系统安全遇到挑战

为实现业务的快速上线，提早布局、抢占市场，银行金融系统的研发迭代周期不断被压缩，尤其是随着DevOps开发模式的广泛兴起和推广，研发过程更加敏捷快速，但容易忽视安全检查。由于DevOps倡导研发与运维之间的协作，安全的参与度很低，导致了许多安全问题的相继出现。例如：快速迭代过程中，第三方组件的大量引入，会将组件中存在的漏洞、和不合规的许可声明引入到软件系统中，成为潜在风险。

4、城商行信息安全投入严重不足

大型商业银行在数字化转型过程中，都会同步的投入研发和安全的建设，基本已经形成了较为完善的开发安全管理体系，开发安全制度和安全工具都已自成体系，在开发阶段就能够落实安全工作，使得系统在上线前就具备很好的安全性。而城商行受预算和历史因素影响，安全投入远不如大型商业银行。很多城商行的安全部门编制都是个位数，不仅要担负安全规划建设，还要负责日常的安全运维。在数字化转型过程中，往往是系统研发人员在快速增加的，越来越多的开发项目排上日程，但安全人员却没有相应的同步增加。

二、城商行应用开发过程安全管控难点

1、城商行在开发阶段没有形成体系化的安全管理

大部分城商行系统开发阶段的安全，仅限于上线前的安全测试进行把关，好一点的可能会针对重要系统进行渗透测试，并没有建立贯穿开发生命周期的安全管控体系。在数字化转型的大背景下，系统迭代周期缩短，单靠安全和测试部门的人力不断测试，而不从根本上去治理，系统漏洞只会是开放式的增长，会出现越测越多无法收敛的局面。

2、现有安全工具和DevOps流程的割裂

为了适应快速变化的业务，IT需要实现高效率高质量的交付。银行业普遍开展了DevOps的建设和推广。城商行的数字化转型大部分也是以DevOps为基础展开的，DevOps的流水线虽然提升了开发效率，但是传统的安全测试工具又无法很好的融入流水线，例如动态应用安全测试、交互式应用安全测试、开源组件安全测试、主机安全测试等。这些安全测试工具通常为独立的工具使用，需要分别使用测试漏洞，测试无法自动化发起，测试结果也无法随流水线流转，部分测试工具的扫描时间可能还会长达小时级。这些问题都造成了安全工具和DevOps的割裂，严重影响DevOps的研发效能。

3、外包开发带来的安全与合规问题

目前大部分城商行系统开发都是属于外包驻场和自主研发并行的模式，外包一定程度上可以引进外部的先进技术和人才，