- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
?
?
城商行数字化转型中的应用开发安全管控难点与应对之道
?
?
【摘要】进入“十四五”时期以来,在政策的推动下,银行数字化转型呈现加速趋势,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》、《金融科技发展规划(2022-2025年)》、《关于银行业保险业数字化转型的指导意见》等一系列政策文件都指出金融科技创新和数字化转型的重要性,各大商业银行也越来越多的将大数据、云计算、人工智能和区块链等科技应用于金融业务中,取得了非凡的成绩。城商行出于自身发展需要和外部竞争压力,也都在积极布局金融科技创新,开展数字化转型工作,越来越多的金融应用上线用于提升触达客户的效率,以及提升客户转化和活跃度。另一方面,这些越来越多的金融应用系统导致了暴露面和攻击风险的增加,对城商行的应用开发安全管控提出了更高的挑战,需要从开发安全管理体系、DevSecOps工具链、人才培训和激励等角度提升系统开发过程的安全管控能力。【关键字】数字化转型;开发安全;DevOps;DevSecOps;外包开发风险
一、城商行软件开发特点和面临的安全挑战
1、网络安全形势严峻
随着数字化转型的进程,近年来遭受攻击的数量明显增加,给用户、各类企业甚至金融行业造成的严重损失,并呈现快速增长趋势。尤其是当今国际形势错综复杂,跨国网络攻击也层出不穷。另外信息泄露事件频发,大量企业商业信息和个人敏感信息由于安全漏洞造成泄漏并在黑产圈、暗网传播。犯罪分子的作案手段逐渐趋于智能化、自动化、收益量化,对0day漏洞的利用时间更短。银行的金融系统作为关键基础设施,面临的网络安全形势其严峻程度不言而喻。
2、金融监管日趋严格
为了确保银行数字化转型的顺利开展,应对金融科技创新过程中的风险,一系列的监管文件陆续出台,例如《JRT0068-2020网上银行系统信息安全通用规范》、《JRT0199-2020金融科技创新安全通用规范》、《关于规范金融业开源技术应用与发展的意见》,这些文件都对应用开发过程的安全设计、安全测试、漏洞管理和开源技术的使用等方面,都提出了明确的要求。
从银保监公布的行政处罚信息来看,近年来银行因为系统漏洞、信息安全相关问题导致处罚的案例屡见不鲜。可以预见,未来金融监管对金融信息系统的安全要求会越来越严格,违背监管要求面临的处罚也会越来越严厉。
3、业务的快速迭代导致系统安全遇到挑战
为实现业务的快速上线,提早布局、抢占市场,银行金融系统的研发迭代周期不断被压缩,尤其是随着DevOps开发模式的广泛兴起和推广,研发过程更加敏捷快速,但容易忽视安全检查。由于DevOps倡导研发与运维之间的协作,安全的参与度很低,导致了许多安全问题的相继出现。例如:快速迭代过程中,第三方组件的大量引入,会将组件中存在的漏洞、和不合规的许可声明引入到软件系统中,成为潜在风险。
4、城商行信息安全投入严重不足
大型商业银行在数字化转型过程中,都会同步的投入研发和安全的建设,基本已经形成了较为完善的开发安全管理体系,开发安全制度和安全工具都已自成体系,在开发阶段就能够落实安全工作,使得系统在上线前就具备很好的安全性。而城商行受预算和历史因素影响,安全投入远不如大型商业银行。很多城商行的安全部门编制都是个位数,不仅要担负安全规划建设,还要负责日常的安全运维。在数字化转型过程中,往往是系统研发人员在快速增加的,越来越多的开发项目排上日程,但安全人员却没有相应的同步增加。
二、城商行应用开发过程安全管控难点
1、城商行在开发阶段没有形成体系化的安全管理
大部分城商行系统开发阶段的安全,仅限于上线前的安全测试进行把关,好一点的可能会针对重要系统进行渗透测试,并没有建立贯穿开发生命周期的安全管控体系。在数字化转型的大背景下,系统迭代周期缩短,单靠安全和测试部门的人力不断测试,而不从根本上去治理,系统漏洞只会是开放式的增长,会出现越测越多无法收敛的局面。
2、现有安全工具和DevOps流程的割裂
为了适应快速变化的业务,IT需要实现高效率高质量的交付。银行业普遍开展了DevOps的建设和推广。城商行的数字化转型大部分也是以DevOps为基础展开的,DevOps的流水线虽然提升了开发效率,但是传统的安全测试工具又无法很好的融入流水线,例如动态应用安全测试、交互式应用安全测试、开源组件安全测试、主机安全测试等。这些安全测试工具通常为独立的工具使用,需要分别使用测试漏洞,测试无法自动化发起,测试结果也无法随流水线流转,部分测试工具的扫描时间可能还会长达小时级。这些问题都造成了安全工具和DevOps的割裂,严重影响DevOps的研发效能。
3、外包开发带来的安全与合规问题
目前大部分城商行系统开发都是属于外包驻场和自主研发并行的模式,外包一定程度上可以引进外部的先进技术和人才,
您可能关注的文档
- 老年人营养不良怎么办.docx
- 老年心血管内科患者的护理风险评估与对策分析.docx
- 门诊输液患者满意度分析及对策.docx
- 剖宫产再孕实行硬膜外分娩镇痛的效果观察.docx
- 评价系统化护理干预在门急诊静脉输液中的应用效果.docx
- 第6课 现代科技进步与人类社会发展2023-2024学年新教材高中历史选择性必修2经济与社会生活同步教学设计 (统编版2019).docx
- 期末检测(一)2023-2024学年七年级下册生物同步教学设计(人教版).docx
- Unit 4 My family(教学设计)-2024-2025学年北师大版(三起)英语三年级上册.docx
- 九年级物理下册 10.2《电磁波的应用》教案 (新版)教科版.docx
- 5.2.2 先天性行为和学习行为 教学设计-2023—2024学年人教版生物八年级上册.docx
- 高中信息技术 7.3《利用数据库管理大量信息》说课教案.docx
- 3.3 分数除以分数(教学设计)-2024-2025学年六年级上册数学苏教版.docx
- 第12课《醉翁亭记》教学设计 2024-2025学年统编版语文九年级上册.docx
- 第7章 三角函数章末总结提升教学设计-2024-2025学年高一上学期数学苏教版(2019)必修第一册.docx
- 2024-2025学年高中英语 Unit 1 Building the future Section Ⅱ Welcome to the unit & Reading —Language points(教师用书)教案 牛津译林版选修10.docx
- 认识人民币 (教学设计)-2023-2024学年一年级下册数学冀教版.docx
- 七年级语文下册 第三单元 9《黄河颂》教案 冀教版.docx
- 第二单元100以内的加法和减法(二)第1课时 不进位加 (教学设计)-2024-2025学年人教版数学二年级上册1.docx
- 五年级品德与社会下册 你中有我,我中有你1教案 浙教版.docx
- Unit 5 Fun Clubs Section B 2a-2b 教学设计 2024-2025学年人教版英语七年级上册.docx
文档评论(0)