城商行數字化轉型中的應用開發(fā)安全管控難點與應對之道

城商行數字化轉型中的應用開發(fā)安全管控難點與應對之道

【摘要】進入“十四五”時期以來，在政策的推動下，銀行數字化轉型呈現(xiàn)加速趨勢，《中華人民共和國國民經濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》、《金融科技發(fā)展規(guī)劃（2022-2025年）》、《關于銀行業(yè)保險業(yè)數字化轉型的指導意見》等一系列政策文件都指出金融科技創(chuàng)新和數字化轉型的重要性，各大商業(yè)銀行也越來越多的將大數據、云計算、人工智能和區(qū)塊鏈等科技應用于金融業(yè)務中，取得了非凡的成績。城商行出于自身發(fā)展需要和外部競爭壓力,也都在積極布局金融科技創(chuàng)新，開展數字化轉型工作，越來越多的金融應用上線用于提升觸達客戶的效率，以及提升客戶轉化和活躍度。另一方面，這些越來越多的金融應用系統(tǒng)導致了暴露面和攻擊風險的增加，對城商行的應用開發(fā)安全管控提出了更高的挑戰(zhàn)，需要從開發(fā)安全管理體系、DevSecOps工具鏈、人才培訓和激勵等角度提升系統(tǒng)開發(fā)過程的安全管控能力?！娟P鍵字】數字化轉型；開發(fā)安全；DevOps；DevSecOps；外包開發(fā)風險一、城商行軟件開發(fā)特點和面臨的安全挑戰(zhàn)1、網絡安全形勢嚴峻隨著數字化轉型的進程，近年來遭受攻擊的數量明顯增加，給用戶、各類企業(yè)甚至金融行業(yè)造成的嚴重損失，并呈現(xiàn)快速增長趨勢。尤其是當今國際形勢錯綜復雜，跨國網絡攻擊也層出不窮。另外信息泄露事件頻發(fā)，大量企業(yè)商業(yè)信息和個人敏感信息由于安全漏洞造成泄漏并在黑產圈、暗網傳播。犯罪分子的作案手段逐漸趨于智能化、自動化、收益量化，對0day漏洞的利用時間更短。銀行的金融系統(tǒng)作為關鍵基礎設施，面臨的網絡安全形勢其嚴峻程度不言而喻。2、金融監(jiān)管日趨嚴格為了確保銀行數字化轉型的順利開展，應對金融科技創(chuàng)新過程中的風險，一系列的監(jiān)管文件陸續(xù)出臺，例如《JRT0068-2020網上銀行系統(tǒng)信息安全通用規(guī)范》、《JRT0199-2020金融科技創(chuàng)新安全通用規(guī)范》、《關于規(guī)范金融業(yè)開源技術應用與發(fā)展的意見》，這些文件都對應用開發(fā)過程的安全設計、安全測試、漏洞管理和開源技術的使用等方面，都提出了明確的要求。從銀保監(jiān)公布的行政處罰信息來看，近年來銀行因為系統(tǒng)漏洞、信息安全相關問題導致處罰的案例屢見不鮮。可以預見，未來金融監(jiān)管對金融信息系統(tǒng)的安全要求會越來越嚴格，違背監(jiān)管要求面臨的處罰也會越來越嚴厲。3、業(yè)務的快速迭代導致系統(tǒng)安全遇到挑戰(zhàn)為實現(xiàn)業(yè)務的快速上線，提早布局、搶占市場，銀行金融系統(tǒng)的研發(fā)迭代周期不斷被壓縮，尤其是隨著DevOps開發(fā)模式的廣泛興起和推廣，研發(fā)過程更加敏捷快速，但容易忽視安全檢查。由于DevOps倡導研發(fā)與運維之間的協(xié)作，安全的參與度很低，導致了許多安全問題的相繼出現(xiàn)。例如：快速迭代過程中，第三方組件的大量引入，會將組件中存在的漏洞、和不合規(guī)的許可聲明引入到軟件系統(tǒng)中，成為潛在風險。4、城商行信息安全投入嚴重不足大型商業(yè)銀行在數字化轉型過程中，都會同步的投入研發(fā)和安全的建設，基本已經形成了較為完善的開發(fā)安全管理體系，開發(fā)安全制度和安全工具都已自成體系，在開發(fā)階段就能夠落實安全工作，使得系統(tǒng)在上線前就具備很好的安全性。而城商行受預算和歷史因素影響，安全投入遠不如大型商業(yè)銀行。很多城商行的安全部門編制都是個位數，不僅要擔負安全規(guī)劃建設，還要負責日常的安全運維。在數字化轉型過程中，往往是系統(tǒng)研發(fā)人員在快速增加的，越來越多的開發(fā)項目排上日程，但安全人員卻沒有相應的同步增加。

二、城商行應用開發(fā)過程安全管控難點1、城商行在開發(fā)階段沒有形成體系化的安全管理大部分城商行系統(tǒng)開發(fā)階段的安全，僅限于上線前的安全測試進行把關，好一點的可能會針對重要系統(tǒng)進行滲透測試，并沒有建立貫穿開發(fā)生命周期的安全管控體系。在數字化轉型的大背景下，系統(tǒng)迭代周期縮短，單靠安全和測試部門的人力不斷測試，而不從根本上去治理，系統(tǒng)漏洞只會是開放式的增長，會出現(xiàn)越測越多無法收斂的局面。2、現(xiàn)有安全工具和DevOps流程的割裂為了適應快速變化的業(yè)務，IT需要實現(xiàn)高效率高質量的交付。銀行業(yè)普遍開展了DevOps的建設和推廣。城商行的數字化轉型大部分也是以DevOps為基礎展開的，DevOps的流水線雖然提升了開發(fā)效率，但是傳統(tǒng)的安全測試工具又無法很好的融入流水線，例如動態(tài)應用安全測試、交互式應用安全測試、開源組件安全測試、主機安全測試等。這些安全測試工具通常為獨立的工具使用，需要分別使用測試漏洞，測試無法自動化發(fā)起，測試結果也無法隨流水線流轉，部分測試工具的掃描時間可能還會長達小時級。這些問題都造成了安全工具和DevOps的割裂，嚴重影響DevOps的研發(fā)效能。3、外包開發(fā)帶來的安全與合規(guī)問題目前大部分城商行系統(tǒng)開發(fā)都是屬于外包駐場和自主研發(fā)并行的模式，外包一定程度上可以引進外部的先進技術和人才，快速提升團隊信息化水平，但隨著而來也帶來了一定的安全風險，例如數據丟失、代碼泄漏等風險。針對銀行科技外包存在的風險，中國銀保監(jiān)會于2021年12月30日發(fā)布了《銀行保險機構信息科技外包風險監(jiān)管辦法》，如果銀行未盡到外包開發(fā)風險管理的相關義務，還需要承擔合規(guī)風險。

三、城商行應用開發(fā)安全的思考城商行開展應用開發(fā)安全的治理，須因地制宜，結合銀行自身實際情況開展相關安全活動，不可盲目套用方法論，否則只會適得其反。筆者根據自身從業(yè)經驗，認為城商行可以從以下四個方面開展實踐。1、安全開發(fā)管理體系建設2020年4月，人民銀行下發(fā)《關于開展金融科技應用風險專項摸排工作的通知》（銀辦發(fā)〔2020〕45號）（以下簡稱“45號文”），要求各地人民銀行分支機構及相關監(jiān)管機構啟動金融科技風險專項摸排工作。此次摸排主要依據《個人金融信息保護技術規(guī)范》、《移動金融客戶端應用軟件安全管理規(guī)范》等相關技術規(guī)范，以及《金融科技（FinTech）發(fā)展規(guī)劃（2019-2021年）》等金融科技相關文件。摸排內容涉及“個人金融信息保護、交易安全、仿冒漏洞、技術使用安全、內控管理”五大方面，共計123點摸排項。其中第60~69項摸排內容，均需要從軟件應用的開發(fā)運維生命周期進行管控，也就是開發(fā)過程中應做好威脅建模、安全設計和安全測試的工作，上線后應做好安全防護、漏洞管理和安全應急等措施。《JR/T0068—2020網上銀行系統(tǒng)信息安全通用規(guī)范》對銀行軟件開發(fā)過程做出了以下規(guī)定：在應用系統(tǒng)上線前，應對程序代碼進行代碼復審，識別可能的后門程序、惡意代碼、邏輯缺陷和安全漏洞。應嚴格控制對生產版本源代碼的訪問，避免代碼泄露。全部或部分源代碼如需交由本機構開發(fā)者之外的第三方使用或進行再次開發(fā)時，需執(zhí)行嚴格的審批流程、明確相關責任并與第三方簽署保密協(xié)議。應對生產庫源代碼版本進行控制，保證當前系統(tǒng)始終為最新的穩(wěn)定版本。應對源代碼管理系統(tǒng)的訪問日志進行審計，對異常行為進行識別。系統(tǒng)上線前，應清除系統(tǒng)中與測試有關的代碼及數據。系統(tǒng)上線前，應進行嚴格的代碼安全測試。若應用程序為委托外部機構開發(fā)時，金融機構應要求外部開發(fā)機構自行對交付版本應用程序進行安全測試，金融機構對交付版本的應用程序源代碼進行安全審計。金融機構應建立對應用程序及源代碼進行定期安全檢測的機制。以上這些，其實都是在要求銀行等金融機構建立起軟件開發(fā)過程的安全管控，也就是安全開發(fā)管理體系，或者是基于DevOps建設的DevSecOps。另外，中國人民銀行最新發(fā)布的《金融科技發(fā)展規(guī)劃（2022-2025年）》中明確提出：深化數字技術金融應用，健全安全與效率并重的科技成果應用體制機制，不斷壯大開放創(chuàng)新、合作共贏的產業(yè)生態(tài)，打通科技成果轉化“最后一公里”，直接從綱領層面對金融科技創(chuàng)新提出了安全要求，和安全開發(fā)管理體系的理念不謀而合。所謂安全開發(fā)管理體系，是指將安全需求分析、安全設計、安全編碼、安全測試等安全活動融入開發(fā)過程的一套制度規(guī)范，約定在每個環(huán)節(jié)實施何種安全活動，以及這個過程中的職責分工、流程規(guī)范和檢驗標準等。通過制定每項安全活動的管理規(guī)范和輸出物要求，確保安全活動的執(zhí)行到位。應盡量在現(xiàn)有開發(fā)管理體系上修訂優(yōu)化，使得安全開發(fā)管理體系無縫融合到開發(fā)管理體系，對現(xiàn)有開發(fā)活動侵入干擾較小，最終在落地環(huán)節(jié)阻力會小很多，才能取得不錯的效果。2、建立適應敏捷的DevSecOps開發(fā)安全工具鏈由于開發(fā)人員一般并不具備安全專業(yè)知識，并且代碼掃描、黑盒測試、灰盒測試等安全活動工作量較大，實現(xiàn)安全活動自動化非常有必要。DevSecOps的理念是將安全融入DevOps之中，通過一系列自動化工具在實現(xiàn)快速交付的同時保障軟件安全質量。這里Gartner的模型只是參考，銀行在實踐的時候需要考慮現(xiàn)有開發(fā)團隊的安全基礎，尤其是中小城商行開發(fā)資源不是很充足的時候，要考慮增加安全工具對研發(fā)可能帶來的影響，要結合實際選擇安全工具，分階段進行建設。要考慮到研發(fā)過程中的參與者承擔著各自的工作任務，DevSecOps運轉過程中，不能額外增加工作量，更不能影響人員本職工作，這就要求提供的安全工具對DevOps要有很好的兼容性，平順的融合到產品設計、開發(fā)、測試的工作中。同時安全工具需要有很高的測試效率和準確率，確保DevSecOps的高效實施。3、員工賦能與激勵實施開發(fā)安全體系的過程中，由于員工安全能力和安全意識不足，需要配套開展安全技能的培訓和安全意識的培訓工作。對后續(xù)入職的員工，也要在試用期開展相關培訓和考核工作，考核合格方可轉正。由于開發(fā)安全的工作是需要開發(fā)相關的所有人員共同配合完成的，對于產品、架構、研發(fā)、測試等崗位人員會帶來一些工作量上的增加，所以需要有一定的激勵機制。在實際運營過程中，為了確保各個角色的執(zhí)行力和積極性，有必要建立應用開發(fā)安全相關的績效體系，以此激發(fā)積極性。通過調節(jié)績效指標，可以很好的引導員工的工作方向和質量。例如針對漏洞密度（每千行代碼漏洞數）、漏洞修復時效設置績效指標，可以很好的提升開發(fā)人員對漏洞的重視程度。4、外包風險管控切實貫徹《銀行保險機構信息科技外包風險監(jiān)管辦法》中的要求，建立并持續(xù)完善風險管理制度和流程，充分識別并評估信息科技外包可能產生的風險，引入外包服務商要做好盡職調查，簽訂保密協(xié)議，約束外包駐場人員的行為，對外包人員的信息系統(tǒng)開發(fā)過程和最終交付物進行安全掃描和檢查。當然除了做好外包的風險管控，更重要的還是錘煉內功，城商行應該按照監(jiān)管的要求，逐步提升信息系統(tǒng)的自主研發(fā)運