案例名稱
重慶銀行開發(fā)安全管控平臺
(資料圖片)
案例簡介
隨著重慶銀行數(shù)字化轉(zhuǎn)型進(jìn)程的深入推進(jìn)���,研發(fā)流程也在不斷更新�,以滿足現(xiàn)有業(yè)務(wù)需求���。開發(fā)模式也正在向敏捷及DevOps迭代�����,但是在這種復(fù)合開發(fā)模式的情況下���,安全管控及安全檢測能力難以適應(yīng)現(xiàn)狀。重慶銀行在原有的安全能力的基礎(chǔ)上��,引入安全開發(fā)管控平臺��,建立配套管理規(guī)范和檢測能力,在適配當(dāng)前及踐行未來開發(fā)流程的條件下建設(shè)落地SDL安全運(yùn)營體系���,前置安全管控措施���,提升信息系統(tǒng)內(nèi)生安全,筑牢金融數(shù)字安全“防護(hù)堤”���,護(hù)航我行數(shù)字化轉(zhuǎn)型安全����、穩(wěn)定�。
創(chuàng)新技術(shù)/模式應(yīng)用
通過開發(fā)安全管控平臺的建設(shè),結(jié)合安全左移的理念將威脅建模融入到軟件生命周期的設(shè)計階段�����,從根源上介入安全管控���,針對自研項目、第三方項目在軟件生命周期的不同階段���,引入適合的安全檢測工具實現(xiàn)自動化安全風(fēng)險分析�、質(zhì)量管控及漏洞信息的分發(fā)流程管控,優(yōu)化工作流程����,提升應(yīng)用安全的管理效率和運(yùn)營能力,降低漏洞修復(fù)成本���,最終實現(xiàn)基于應(yīng)用開發(fā)安全管控平臺的SDL運(yùn)營體系����,保障安全風(fēng)險的高效治理�。平臺主要創(chuàng)新點(diǎn)如下:
1.基于場景化的輕量級威脅建模技術(shù)。通過情景式問卷形式�����,結(jié)合實際業(yè)務(wù)需求����,場景化輕量級威脅建模,識別相關(guān)安全威脅點(diǎn)�,并且提供相關(guān)安全消減措施和驗證方案,從源頭上管控早期威脅�,提出相關(guān)設(shè)計要求和安全參考編碼規(guī)范等內(nèi)容,為研發(fā)測試提供安全依據(jù)���。
2.安全工具鏈智能編排技術(shù)����。通過完善成熟的開發(fā)流程及DevOps系統(tǒng)對接方案,支持眾多的商業(yè)或自研的流水線平臺���。同時���,該方案支持檢測工具插件化支撐和工具鏈集成,實現(xiàn)將行內(nèi)現(xiàn)有及未來引入的安全工具進(jìn)行統(tǒng)一化管理�,解決當(dāng)下軟件應(yīng)用漏洞管理中普遍存在的漏洞發(fā)現(xiàn)能力孤立、漏洞管理難閉環(huán)����、開發(fā)流程難管控等核心痛點(diǎn)問題。
3.SCA應(yīng)用組件安全威脅分析技術(shù)�����。通過對二進(jìn)制軟件的組成部分進(jìn)行識別����、分析和追蹤�����,挖掘第三方基礎(chǔ)組件/可執(zhí)行程序/源代碼等類型以二進(jìn)制形式存儲的文件中存在的安全風(fēng)險或運(yùn)行缺陷,提出修正措施和建議�,保障軟件要素安全可靠。
4.基于agent動態(tài)代碼安全分析技術(shù)��。通過服務(wù)端部署Agent微探針Hook方法�����,收集��、監(jiān)控web應(yīng)用程序運(yùn)行時函數(shù)執(zhí)行�、數(shù)據(jù)傳輸,并與掃描器引擎端進(jìn)行實時交互�����,高效��、準(zhǔn)確地識別安全缺陷�,漏洞覆蓋主流OWASP Top 10以及 CWE Top 25等漏洞,同時��,可在鎖定漏洞所在的代碼文件�����、行數(shù)、函數(shù)及參數(shù)的基礎(chǔ)上實現(xiàn)安全檢測的高準(zhǔn)確率����。
5.漏洞全生命周期關(guān)聯(lián)分析技術(shù)。漏洞全生命周期關(guān)聯(lián)分析技術(shù)具有跨平臺��、分層�����、模塊化���、可組合�、可伸縮的體系架構(gòu)�����;各項功能模塊之間具備良好的功能擴(kuò)展性和開放性����。
6.智能化安全檢測能力,構(gòu)建金融安全閉環(huán)管理“數(shù)字化”。平臺對現(xiàn)有開發(fā)安全管理制度����、技術(shù)規(guī)范��、流程進(jìn)行固化��,形成標(biāo)準(zhǔn)化安全管控流程���,同時通過平臺加強(qiáng)安全開發(fā)過程中的數(shù)據(jù)分析��,與各個開發(fā)環(huán)節(jié)形成正循環(huán)�,提升安全開發(fā)工作效能����。該方案聚焦早期開發(fā)需求分析、架構(gòu)設(shè)計階段的威脅建模���,重點(diǎn)解決當(dāng)下軟件應(yīng)用漏洞管理中普遍存在的漏洞發(fā)現(xiàn)能力孤立���、漏洞管理難閉環(huán)、開發(fā)流程難管控等核心痛點(diǎn)問題����,從開發(fā)源頭開始將安全專家團(tuán)隊的安全能力持續(xù)賦能給傳統(tǒng)IT項目人員�����,使安全思想注入DevSecOps/SDL全生命周期�,幫助我行流程化���、自動化����、持續(xù)化地保障業(yè)務(wù)安全�。
構(gòu)建SDL安全運(yùn)營體系,助力金融數(shù)字化轉(zhuǎn)型��。通過設(shè)定標(biāo)準(zhǔn)化安全管控流程�����,實現(xiàn)安全開發(fā)體系的制度支持����;對于安全工具鏈引入,賦能研發(fā)流程中相關(guān)角色在進(jìn)行本職工作的同時����,保證輸出的制品經(jīng)過安全工具的校驗�����,實現(xiàn)安全開發(fā)體系的能力支持�����;對于多種研發(fā)流程和場景進(jìn)行全量的對接與適配,實現(xiàn)開發(fā)安全體系的流程支持�。通過制度、能力以及流程上的支撐����,將安全賦能全流程中的每一個環(huán)節(jié),實現(xiàn)安全的全方位覆蓋以及前置左移���,落地SDL安全運(yùn)營開發(fā)體系����。
項目效果評估
通過開發(fā)安全管控平臺建設(shè)�����,構(gòu)建全面的技術(shù)標(biāo)準(zhǔn)庫,合規(guī)標(biāo)準(zhǔn)庫以及基礎(chǔ)知識庫等����,實現(xiàn)對安全知識庫的統(tǒng)一管理,為研發(fā)人員及安全管理人員提供安全管理依據(jù)�����。以下是平臺建設(shè)所取得的成效:
1�、統(tǒng)一化平臺,提升管理效率��。平臺將安全專家能力持續(xù)賦能給傳統(tǒng)IT項目人員���,使安全思想注入軟件全生命周期�,形成統(tǒng)一的安全風(fēng)險處理流程��。從需求提出��、風(fēng)險發(fā)現(xiàn)到安全需求驗證�,實現(xiàn)全流程閉環(huán)管理幫助企業(yè)流程化、自動化�、制度化地保障業(yè)務(wù)安全。平臺自上線以來已完成我行所有新建及重要信息系統(tǒng)接入管控���,開發(fā)過程中應(yīng)用安全漏洞平均數(shù)降為1.3個�,單個漏洞修復(fù)周期從7人天降至1人天,并且漏洞復(fù)測無需人工介入�。
2、融入開發(fā)過程�,運(yùn)營能力提升。建立完善豐富的安全工具鏈體系�,持續(xù)賦能研發(fā)測試人員安全測試能力,提前發(fā)現(xiàn)安全風(fēng)險���,提升漏洞檢出率及覆蓋面,集合全生命周期的漏洞管理流程���,建立安全持續(xù)運(yùn)營過程�。
3��、標(biāo)準(zhǔn)化左移體系��,構(gòu)造DevSecOps體系基礎(chǔ)�。在軟件開發(fā)測試階段無縫嵌入安全測試,不僅可實現(xiàn)理想的DevSecOps安全開發(fā)全流程���,收斂安全工作�,也可以在一定程度上覆蓋部分人工滲透難以測試覆蓋的業(yè)務(wù)點(diǎn),高效實現(xiàn)應(yīng)用上線前的安全審查����,防止應(yīng)用帶病上線,實現(xiàn)安全左移��,降低安全修復(fù)成本��,源頭解決應(yīng)用內(nèi)部風(fēng)險��。
在當(dāng)前網(wǎng)絡(luò)安全形勢復(fù)雜�����、企業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵階段�,從源頭開展安全治理成為企業(yè)數(shù)字安全建設(shè)的重要手段。重慶銀行開發(fā)安全管控平臺已成為信息系統(tǒng)內(nèi)生安全的重要催化劑����,未來將持續(xù)秉承“安全左移”理念,以金融數(shù)字化安全為目標(biāo)���,深入推進(jìn)軟件安全治理���,構(gòu)建全行一體化安全運(yùn)營體系��,助力全行數(shù)字化轉(zhuǎn)型高質(zhì)量發(fā)展��。
項目牽頭人
顧方方 重慶銀行科技部副總經(jīng)理
項目團(tuán)隊成員
汪洪珍���、唐福喜、陽方升���、徐寧�、林真?zhèn)?����、劉暢���、熊玉、聶志宏�����、謝昌建
關(guān)鍵詞:
營業(yè)執(zhí)照公示信息