好久不見呀,臭寶們!
甲乙磁場【安拳出擊】第二期
它終于向我們走來了!
(激動的心,顫抖的手)
本期将為大家帶來
【安全玻璃盒】的明星解決方案
《數字金融軟體供應鍊安全解決方案》
重點聲明
本方案近期獲得
“2022網絡安全優秀創新成果大賽”優秀獎
“浙江十佳”榮譽
下面一起來了解一下吧!
《數字金融軟體供應鍊安全解決方案》
《數字金融軟體供應鍊安全解決方案》基于DevSecOps理念和配套安全産品,以準入安全、安全開發一體化、全流程自動化、合規化、準出安全為主要建設子產品,實作軟體供應鍊全鍊路的多元、全面安全保障。
通過對業務和場景進行梳理,對供應商和引入的開源或非開源項目進行篩選,并将在建或營運的項目納入系統的監控範圍,建設動态的、可持續性的安全體系(技術、管理、運維),保障金融企業數字應用的機密性、完整性、可用性,確定業務在安全的環境下穩定運作。
一、方案建設背景&意義
全球金融資訊化發展态勢不斷融合、“後疫情時代”數字金融産業鍊深刻變革,軟體供應鍊安全問題愈加複雜化、多元化。另外,基于大陸大量采買、使用境外開源軟體的普遍現狀,國内開源技術應用存在進出口管制風險、知識産權風險、開源軟體漏洞風險。
本方案基于上述背景,結合金融數字安全實際需求設計,以該方案作為助力數字金融軟體供應鍊安全的實踐載體,保障數字金融業務避免遭受軟體系統自身缺陷風險、第三方軟體和供應商的基礎安全水準、開源生态的安全隐患、惡意攻擊的安全威脅等安全限制。助力數字金融安全運轉,增效數字金融安全發展。
二、方案建設主要目标
本方案旨在解決規範軟體在金融數字業務系統生命周期中的安全采集、安全管理及安全使用,從系統開發源頭建構完整的軟體供應鍊安全。始終堅持確定數字金融軟體供應鍊的完整性、保密性、可用性、可控性。
三、方案建設總體架構
以圖1體系架構為主要實施架構,建構覆寫整個軟體生命周期的安全管理平台,保障金融行業軟體供應鍊的安全。
圖1 方案體系架構
四、方案建設子產品
·準入安全
準入安全包括軟體來源、軟體安全合規、軟體資産管理、服務支援、安全應急響應等。
根據科學完善的資料模型,對所引入的軟體項目進行各個次元的資料采集,得出所評估業務系統的綜合評分。以圖2所示評估模型作為指導,以三個次元、12個要素評估軟體成分安全性。協助開發和安全人員對軟體供應鍊産品以及供應商進行擇優選用,同時輔助安全人員對元件的安全性進行溯源。
此外,由于大陸基礎開源軟體項目主導能力不足,存在開源斷供風險、代碼安全風險、知識産權風險以及自主創新風險,在準入安全的建設和賦能中尤其要重視開源成分的安全采買、安全使用、安全退出。
圖2 軟體成分評估模型
·DevSecOps落地
DevSecOps從DevOps的概念延伸和演變而來,其核心理念是安全需要貫穿從開發到營運整個業務生命周期的每個環節,才能提供有效保障、實作安全與業務流程的良好整合。本方案運用DevSecOps理念實踐作為貫穿思路,打破傳統安全門禁,實作軟體供應鍊全鍊路的多元、全面安全保障。
·安全開發一體化
以“安全左移”為核心理念,讓安全覆寫需求、設計、研發、驗證、釋出、營運的全生命周期。搭建安全體系,減少安全威脅以降低安全成本,全方面提升金融數字業務的安全性及人員安全能力,從軟體供應鍊安全角度為數字業務系統實作更完善的安全賦能。
·全流程自動化
方案的各個子產品以及各個技術工具既能将安全無縫內建DevOps,又能實作安全解耦。當安全原子能力的檢測進行更新、擴充、更新時,無需調整或避免影響研發流水線。
·合規化
方案結合各項安全合規管理制度以及标準,幫助建設和改善金融業務軟體應用安全合規管理體系。實作對安全合規的管理,幫助金融企業規避合規風險。同時幫助金融企業建設好安全組織體系、安全管理體系和安全技術體系的全面安全保障體系。
· 準出安全
準出安全在準入安全的基礎上将重點落在軟體上線前的安全檢測以及上線後運作時的安全檢測與防護、應急響應體系建設等。實作對整個軟體生命周期的軟體安全采集、安全編碼、安全管理、安全使用、安全監控。幫助金融企業實作“安全左移”的同時,讓安全覆寫軟體活動的所有階段。
五、關鍵技術方案
· 驗證階段
在軟體開發驗證階段,使用安全工具進行測試,確定數字金融軟體自身無潛在安全隐患,同時對于開源及第三方元件進行風險管理。在該階段投入使用靜态代碼審計、動态應用安全測試、互動式應用安全測試、軟體成分分析等技術工具,通過多種自動化工具的結合使用,針對數字應用的自身安全、隐私問題進行全面和深度安全檢測。
1)【安全玻璃盒】互動式應用安全測試系統( IAST )
IAST的優點在于其可支援DevSecOps,可對應用程式進行持續的實時測試、監控、評估和驗證。
在驗證階段進行安全測試時使用IAST,部署Agent程式,同步完成安全測試。在業務測試完成後,輸出安全測試報告。報告展示的漏洞資訊能夠精确定位漏洞具體位置,也可提供專業的安全修複建議,幫助開發人員快速完成問題定位及漏洞修複。
2)【安全玻璃盒】軟體成分分析系統( SCA )
使用SCA工具對開源供應商健康度進行評估,輔助完善項目架構群組件選型;對軟體自研成分産權進行分析,保障應用自身的自主可控性;提供軟體物料清單管理SBOM,實作全生命周期的風險評估、選型引入、監測預警和響應修複;提供修複方案、元件推薦及一鍵式修複功能。利用工具準确識别軟體中的開源成分以及代碼安全性,為安全評估提供重要的手段支撐,同時提高軟體成分自主水準。
· 運作階段
【安全玻璃盒】“All in one”安全平台
運作階段使用“ All in one ”互動式應用安全檢測和開源成分安全分析與免疫防禦一體化平台ASTP,通過正常業務使用,可同步無感覺地完成對數字應用本身、引用的三方元件進行漏洞檢測和漏洞定位。當發現漏洞或遇到異常攻擊時,根據IAST輸出的漏洞風險中繼資料和動态執行指紋,立即自動激活免疫防禦能力,實作IAST和RASP智能攻防結合,讓數字應用具備事前主動、全面、精确的代碼免疫防禦能力。
六、方案價值
未來全球金融資訊化程度将越來越高,相應的風險将進一步提升。本方案以輔助和共生的形式對數字金融業務進行安全保障,将助力金融企業對供應商、第三方應用、開源項目進行安全引入和安全管理,實作軟體系統全生命周期的開發、使用、防護的安全賦能。保證數字金融業務系統安全高效運作,持續、穩定地産生價值;保障金融企業數字應用的機密性、完整性、可用性,確定業務在安全的環境下穩定運作。保護數字金融業務資料不被非法竊取或破壞,避免産生經濟利益損害。