头部证券公司安全体系搭建实战讲解—开源网安S-SDLC平台助力金融科技安全发展

2023-04-07 15:48

数字化时代背景下,新兴技术广泛应用导致软件安全隐患不断扩大。而金融行业由于项目周期长、业务规模大、应用数量多、合规监管严、内外合作多等特性,进一步加重了安全风险。


与此同时,《等保2.0》、《网络安全法》等国家政策的发布,自上而下推动信息安全发展,对金融机构的安全防护提出更高的要求。证券期货行业信息安全保障协调小组、中国证监会信息中心等机构,都对证券行业提出了网络信息安全的要求并出台有关办法,要求落实安全事故处理、监管与主体责任。


在此背景下,各金融机构积极响应政策要求,开始搭建全方位的软件安全体系,某头部证券公司率先实施S-SDLC解决方案。该证券公司总部位于深圳,在全国各地设立了50多家分公司,为全牌照综合类券商,多项业务排名进入全国前列。该证券公司通过引入开源网安威胁建模模型+安全基线库+安全合规库+安全场景库+开源网安S-SDLC平台,使安全能力在整个业务生命周期中实现更为彻底的左移。


在项目立项初期,针对客户的具体业务需求,开源网安S-SDLC平台生成相应的安全架构任务、安全研发任务、安全测试任务,并提供具体的代码示例、测试用例等,且在需求、研发、测试阶段设置相应的安全卡点,实现整个开发过程的安全活动全流程监管,提高项目的威胁发现能力和安全风险治理能力,提升系统的整体健壮性。




项目难点及问题


开源网安S-SDLC平台,对于该公司整体的安全中台及安全治理体系的建设,是基础,更是底座。主要帮助客户解决如下难点及问题:


01

架构及设计阶段的安全风险难以把控


传统安全防护,往往是上线前的人工渗透测试,或者上线后的安全运营工作,无法应对架构阶段及设计阶段的安全风险及问题。通过S-SDLC平台的威胁建模,在业务需求创建之初,就生成相应的安全架构任务、安全设计任务、安全研发任务、安全测试任务等,实现真正的安全左移。


02

安全问题难以追踪溯源


安全检测工具的加入,往往带来流程和人员管理的难题。例如,由安全人员发起的安全需求,往往被研发视为非业务需求,难以受到真正重视。安全任务是否实现,安全漏洞是否得到修复,对于这些问题的追踪,极大影响团队效率。


03

集团内部缺乏安全知识库

丰富的安全知识库,是企业重要的数字资产,也是实现全流程安全活动管控的基础。缺乏安全知识库,无法基于威胁建模,自动生成安全任务。


实践与落地


开源网安深入了解该证券公司的业务需求与现状,为客户提供了一套S-SDLC平台。通过合规库、场景库、威胁库、行业库,帮助客户快速实现了安全知识库的可视化管理。该平台通过情景式问卷、设置安全基线、安全卡点等关键活动,实现了开发过程全流程安全活动管控,提高了安全团队对安全需求、安全任务的追踪、验证和统一管理,提高了团队的工作效率,降低后期修复的成本,保障系统整体健壮性。




成果与价值


01

将安全融入研发管理体系


S-SDLC平台,将安全需求、安全编码任务、安全测试任务,自动推送至客户内部的研发管理平台,实现了在不改变现有研发流程的情况下,将安全引入现有流程与平台中,并且完成全流程安全活动的集中管控。

02

统一的线上安全评审和安全追踪


平台提供了可视化的安全评审,在需求、开发、测试阶段,可以设置特定的安全基线和安全控制门,当编码和测试不满足基线要求时,不允许上线发布,以此保障应用上线前安全、可靠。



03

满足证券行业政策法规监管要求

通过SDL全体系的建设,实现了持续合规和安全的应对能力,符合相关监管文件的趋势和要求。

近年来,金融科技在证券行业发挥着越来越重要的作用,运用信息科技赋能业务发展,已成为行业共识。开源网安通过S-SDLC平台的安全左移,助力客户提升持续性安全合规的能力,将政策要求与业务落地相结合,推动金融信息安全对抗高级威胁,在供应链安全风险治理中,积极构建纵深安全防护体系。



开源网安SDLC平台,是基于微软经典的SDL模式完全自研的、集工具+服务+平台于一体的应用安全解决方案。通过威胁建模、安全检测、安全基线卡点,实现从立项、设计、编码、测试、上线阶段的全流程安全管控。用户只需要进行轻量级的情景问卷,自动生成安全设计任务、安全研发任务、安全测试任务,并提供安全代码示例、安全测试用例等,规范安全管理过程,提升团队整体安全能力。


在不同阶段,开源网安SDLC平台提供资产发现、IAST、SAST等能力。平台包含:开发过程安全活动全流程管控、漏洞统一闭环管理、工具管理与编排、知识库管理等功能。根据漏洞分布情况,确定研发人员的知识盲区与短板,提供针对性的安全培训。以流程、工具、培训助力企业提升安全治理能力。