金融機(jī)構(gòu)開源軟件安全治理思考與實(shí)踐

1、金融機(jī)構(gòu)開源軟件安全治理思考與實(shí)踐背景與挑戰(zhàn)治理策略與實(shí)踐思考與體會監(jiān)管要求安全問題不容小覷國家信息安全形勢內(nèi)部管理要求開源軟件快速發(fā)展AI云計(jì)算移動互聯(lián)網(wǎng)背 景大數(shù)據(jù)開源軟件種類和數(shù)量規(guī)模巨大存在安全漏洞眾多數(shù)量眾多關(guān)系復(fù)雜廣泛的直接引用錯綜復(fù)雜的間接引用成本較高大量應(yīng)用系統(tǒng)升級改造大量的回歸測試情況多變版本不斷升級漏洞不斷發(fā)現(xiàn)挑 戰(zhàn)背景與挑戰(zhàn)治理策略與實(shí)踐思考與體會總 體 思 路倉庫管理漏洞掃描工具流程平臺配置平臺漏洞處置平臺策略層增量控制存量治理持續(xù)改進(jìn)制度層建立開源軟件管理的制度依據(jù)嚴(yán)格安全使用安全退出準(zhǔn)入持續(xù)監(jiān)測流程層工具層兼 顧 安 全 與 發(fā) 展外防輸入存量治理制定標(biāo)準(zhǔn)內(nèi)防擴(kuò)散持

2、續(xù)監(jiān)測度量與評價摸清家底治 理 策 略摸清家底搭建統(tǒng)一管理的開源軟件倉庫構(gòu)建引用關(guān)系自動化分析能力搭建自動化的漏洞排查工具不 知 道 有 哪 些？不 知 道 誰 在 用？不 知 道 安 全 嗎？制定標(biāo)準(zhǔn)接 受 什 么拒 絕 什 么關(guān) 注 什 么？風(fēng)險偏好差異化管理外防輸入互聯(lián)網(wǎng)功能測評安全測評協(xié)議審查13安全使用合法來源例外使用構(gòu)建環(huán)節(jié)阻斷風(fēng)險引入環(huán)節(jié)嚴(yán)格把關(guān)2不 知 道 從 哪 里 來？不 知 道 能 不 能 用？內(nèi)防擴(kuò)散存量的 不安全 組件新發(fā)現(xiàn) 漏洞的 組件例外引 入的組 件限制使用白名單漏洞組件不安安全全的組組件件的新使發(fā)用現(xiàn)范了圍漏擴(kuò)洞大怎了么嗎？辦？建立漏洞組件的灰名單建立應(yīng)用系統(tǒng)

3、的白名單及時更新灰名單白名單NVDCNNVDCNVD商業(yè)庫漏掃工具持續(xù)監(jiān)測對接多個漏洞庫多環(huán)節(jié)持續(xù)檢測，及時 更新白名單定期全面漏洞檢測白名單構(gòu)建檢測準(zhǔn)入檢測昨 天 安 全 今 天 還 安 全 嗎？漏 洞 信 息 從 哪 里 來？存量處置丏項(xiàng)治理 重點(diǎn)突破自主治理 整體壓降即時處置 落實(shí)要求明確處置支持方試點(diǎn)開路分批推進(jìn)穩(wěn)步實(shí)施不 知 道 從 哪 里 入 手？不 知 道 代 價 有 多 大？修 復(fù) 方 案 誰 牽 頭？度量與評價過程性指標(biāo)為漏洞治理方案符合性 的指標(biāo)，評估工作完成 度，如仸務(wù)完成率。結(jié)果性指標(biāo)作為漏洞治理有效性的指標(biāo)， 評估體系及處置方案的合理 性，如治理期漏洞減少比例、 治理期漏洞減少比例、風(fēng)險 處置方式占比等。治 理