城商行數(shù)字化轉(zhuǎn)型中的應(yīng)用開發(fā)安全管控難點與應(yīng)對之道

城商行數(shù)字化轉(zhuǎn)型中的應(yīng)用開發(fā)安全管控難點與應(yīng)對之道

【摘要】進入“十四五”時期以來，在政策的推動下，銀行數(shù)字化轉(zhuǎn)型呈現(xiàn)加速趨勢，《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標(biāo)綱要》、《金融科技發(fā)展規(guī)劃（2022-2025年）》、《關(guān)于銀行業(yè)保險業(yè)數(shù)字化轉(zhuǎn)型的指導(dǎo)意見》等一系列政策文件都指出金融科技創(chuàng)新和數(shù)字化轉(zhuǎn)型的重要性，各大商業(yè)銀行也越來越多的將大數(shù)據(jù)、云計算、人工智能和區(qū)塊鏈等科技應(yīng)用于金融業(yè)務(wù)中，取得了非凡的成績。城商行出于自身發(fā)展需要和外部競爭壓力,也都在積極布局金融科技創(chuàng)新，開展數(shù)字化轉(zhuǎn)型工作，越來越多的金融應(yīng)用上線用于提升觸達客戶的效率，以及提升客戶轉(zhuǎn)化和活躍度。另一方面，這些越來越多的金融應(yīng)用系統(tǒng)導(dǎo)致了暴露面和攻擊風(fēng)險的增加，對城商行的應(yīng)用開發(fā)安全管控提出了更高的挑戰(zhàn)，需要從開發(fā)安全管理體系、DevSecOps工具鏈、人才培訓(xùn)和激勵等角度提升系統(tǒng)開發(fā)過程的安全管控能力?！娟P(guān)鍵字】數(shù)字化轉(zhuǎn)型；開發(fā)安全；DevOps；DevSecOps；外包開發(fā)風(fēng)險一、城商行軟件開發(fā)特點和面臨的安全挑戰(zhàn)1、網(wǎng)絡(luò)安全形勢嚴(yán)峻隨著數(shù)字化轉(zhuǎn)型的進程，近年來遭受攻擊的數(shù)量明顯增加，給用戶、各類企業(yè)甚至金融行業(yè)造成的嚴(yán)重?fù)p失，并呈現(xiàn)快速增長趨勢。尤其是當(dāng)今國際形勢錯綜復(fù)雜，跨國網(wǎng)絡(luò)攻擊也層出不窮。另外信息泄露事件頻發(fā)，大量企業(yè)商業(yè)信息和個人敏感信息由于安全漏洞造成泄漏并在黑產(chǎn)圈、暗網(wǎng)傳播。犯罪分子的作案手段逐漸趨于智能化、自動化、收益量化，對0day漏洞的利用時間更短。銀行的金融系統(tǒng)作為關(guān)鍵基礎(chǔ)設(shè)施，面臨的網(wǎng)絡(luò)安全形勢其嚴(yán)峻程度不言而喻。2、金融監(jiān)管日趨嚴(yán)格為了確保銀行數(shù)字化轉(zhuǎn)型的順利開展，應(yīng)對金融科技創(chuàng)新過程中的風(fēng)險，一系列的監(jiān)管文件陸續(xù)出臺，例如《JRT0068-2020網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》、《JRT0199-2020金融科技創(chuàng)新安全通用規(guī)范》、《關(guān)于規(guī)范金融業(yè)開源技術(shù)應(yīng)用與發(fā)展的意見》，這些文件都對應(yīng)用開發(fā)過程的安全設(shè)計、安全測試、漏洞管理和開源技術(shù)的使用等方面，都提出了明確的要求。從銀保監(jiān)公布的行政處罰信息來看，近年來銀行因為系統(tǒng)漏洞、信息安全相關(guān)問題導(dǎo)致處罰的案例屢見不鮮。可以預(yù)見，未來金融監(jiān)管對金融信息系統(tǒng)的安全要求會越來越嚴(yán)格，違背監(jiān)管要求面臨的處罰也會越來越嚴(yán)厲。3、業(yè)務(wù)的快速迭代導(dǎo)致系統(tǒng)安全遇到挑戰(zhàn)為實現(xiàn)業(yè)務(wù)的快速上線，提早布局、搶占市場，銀行金融系統(tǒng)的研發(fā)迭代周期不斷被壓縮，尤其是隨著DevOps開發(fā)模式的廣泛興起和推廣，研發(fā)過程更加敏捷快速，但容易忽視安全檢查。由于DevOps倡導(dǎo)研發(fā)與運維之間的協(xié)作，安全的參與度很低，導(dǎo)致了許多安全問題的相繼出現(xiàn)。例如：快速迭代過程中，第三方組件的大量引入，會將組件中存在的漏洞、和不合規(guī)的許可聲明引入到軟件系統(tǒng)中，成為潛在風(fēng)險。4、城商行信息安全投入嚴(yán)重不足大型商業(yè)銀行在數(shù)字化轉(zhuǎn)型過程中，都會同步的投入研發(fā)和安全的建設(shè)，基本已經(jīng)形成了較為完善的開發(fā)安全管理體系，開發(fā)安全制度和安全工具都已自成體系，在開發(fā)階段就能夠落實安全工作，使得系統(tǒng)在上線前就具備很好的安全性。而城商行受預(yù)算和歷史因素影響，安全投入遠不如大型商業(yè)銀行。很多城商行的安全部門編制都是個位數(shù)，不僅要擔(dān)負(fù)安全規(guī)劃建設(shè)，還要負(fù)責(zé)日常的安全運維。在數(shù)字化轉(zhuǎn)型過程中，往往是系統(tǒng)研發(fā)人員在快速增加的，越來越多的開發(fā)項目排上日程，但安全人員卻沒有相應(yīng)的同步增加。

二、城商行應(yīng)用開發(fā)過程安全管控難點1、城商行在開發(fā)階段沒有形成體系化的安全管理大部分城商行系統(tǒng)開發(fā)階段的安全，僅限于上線前的安全測試進行把關(guān)，好一點的可能會針對重要系統(tǒng)進行滲透測試，并沒有建立貫穿開發(fā)生命周期的安全管控體系。在數(shù)字化轉(zhuǎn)型的大背景下，系統(tǒng)迭代周期縮短，單靠安全和測試部門的人力不斷測試，而不從根本上去治理，系統(tǒng)漏洞只會是開放式的增長，會出現(xiàn)越測越多無法收斂的局面。2、現(xiàn)有安全工具和DevOps流程的割裂為了適應(yīng)快速變化的業(yè)務(wù)，IT需要實現(xiàn)高效率高質(zhì)量的交付。銀行業(yè)普遍開展了DevOps的建設(shè)和推廣。城商行的數(shù)字化轉(zhuǎn)型大部分也是以DevOps為基礎(chǔ)展開的，DevOps的流水線雖然提升了開發(fā)效率，但是傳統(tǒng)的安全測試工具又無法很好的融入流水線，例如動態(tài)應(yīng)用安全測試、交互式應(yīng)用安全測試、開源組件安全測試、主機安全測試等。這些安全測試工具通常為獨立的工具使用，需要分別使用測試漏洞，測試無法自動化發(fā)起，測試結(jié)果也無法隨流水線流轉(zhuǎn)，部分測試工具的掃描時間可能還會長達小時級。這些問題都造成了安全工具和DevOps的割裂，嚴(yán)重影響DevOps的研發(fā)效能。3、外包開發(fā)帶來的安全與合規(guī)問題目前大部分城商行系統(tǒng)開發(fā)都是屬于外包駐場和自主研發(fā)并行的模式，外包一定程度上可以引進外部的先進技術(shù)和人才，快速提升團隊信息化水平，但隨著而來也帶來了一定的安全風(fēng)險，例如數(shù)據(jù)丟失、代碼泄漏等風(fēng)險。針對銀行科技外包存在的風(fēng)險，中國銀保監(jiān)會于2021年12月30日發(fā)布了《銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管辦法》，如果銀行未盡到外包開發(fā)風(fēng)險管理的相關(guān)義務(wù)，還需要承擔(dān)合規(guī)風(fēng)險。

三、城商行應(yīng)用開發(fā)安全的思考城商行開展應(yīng)用開發(fā)安全的治理，須因地制宜，結(jié)合銀行自身實際情況開展相關(guān)安全活動，不可盲目套用方法論，否則只會適得其反。筆者根據(jù)自身從業(yè)經(jīng)驗，認(rèn)為城商行可以從以下四個方面開展實踐。1、安全開發(fā)管理體系建設(shè)2020年4月，人民銀行下發(fā)《關(guān)于開展金融科技應(yīng)用風(fēng)險專項摸排工作的通知》（銀辦發(fā)〔2020〕45號）（以下簡稱“45號文”），要求各地人民銀行分支機構(gòu)及相關(guān)監(jiān)管機構(gòu)啟動金融科技風(fēng)險專項摸排工作。此次摸排主要依據(jù)《個人金融信息保護技術(shù)規(guī)范》、《移動金融客戶端應(yīng)用軟件安全管理規(guī)范》等相關(guān)技術(shù)規(guī)范，以及《金融科技（FinTech）發(fā)展規(guī)劃（2019-2021年）》等金融科技相關(guān)文件。摸排內(nèi)容涉及“個人金融信息保護、交易安全、仿冒漏洞、技術(shù)使用安全、內(nèi)控管理”五大方面，共計123點摸排項。其中第60~69項摸排內(nèi)容，均需要從軟件應(yīng)用的開發(fā)運維生命周期進行管控，也就是開發(fā)過程中應(yīng)做好威脅建模、安全設(shè)計和安全測試的工作，上線后應(yīng)做好安全防護、漏洞管理和安全應(yīng)急等措施?！禞R/T0068—2020網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》對銀行軟件開發(fā)過程做出了以下規(guī)定：在應(yīng)用系統(tǒng)上線前，應(yīng)對程序代碼進行代碼復(fù)審，識別可能的后門程序、惡意代碼、邏輯缺陷和安全漏洞。應(yīng)嚴(yán)格控制對生產(chǎn)版本源代碼的訪問，避免代碼泄露。全部或部分源代碼如需交由本機構(gòu)開發(fā)者之外的第三方使用或進行再次開發(fā)時，需執(zhí)行嚴(yán)格的審批流程、明確相關(guān)責(zé)任并與第三方簽署保密協(xié)議。應(yīng)對生產(chǎn)庫源代碼版本進行控制，保證當(dāng)前系統(tǒng)始終為最新的穩(wěn)定版本。應(yīng)對源代碼管理系統(tǒng)的訪問日志進行審計，對異常行為進行識別。系統(tǒng)上線前，應(yīng)清除系統(tǒng)中與測試有關(guān)的代碼及數(shù)據(jù)。系統(tǒng)上線前，應(yīng)進行嚴(yán)格的代碼安全測試。若應(yīng)用程序為委托外部機構(gòu)開發(fā)時，金融機構(gòu)應(yīng)要求外部開發(fā)機構(gòu)自行對交付版本應(yīng)用程序進行安全測試，金融機構(gòu)對交付版本的應(yīng)用程序源代碼進行安全審計。金融機構(gòu)應(yīng)建立對應(yīng)用程序及源代碼進行定期安全檢測的機制。以上這些，其實都是在要求銀行等金融機構(gòu)建立起軟件開發(fā)過程的安全管控，也就是安全開發(fā)管理體系，或者是基于DevOps建設(shè)的DevSecOps。另外，中國人民銀行最新發(fā)布的《金融科技發(fā)展規(guī)劃（2022-2025年）》中明確提出：深化數(shù)字技術(shù)金融應(yīng)用，健全安全與效率并重的科技成果應(yīng)用體制機制，不斷壯大開放創(chuàng)新、合作共贏的產(chǎn)業(yè)生態(tài)，打通科技成果轉(zhuǎn)化“最后一公里”，直接從綱領(lǐng)層面對金融科技創(chuàng)新提出了安全要求，和安全開發(fā)管理體系的理念不謀而合。所謂安全開發(fā)管理體系，是指將安全需求分析、安全設(shè)計、安全編碼、安全測試等安全活動融入開發(fā)過程的一套制度規(guī)范，約定在每個環(huán)節(jié)實施何種安全活動，以及這個過程中的職責(zé)分工、流程規(guī)范和檢驗標(biāo)準(zhǔn)等。通過制定每項安全活動的管理規(guī)范和輸出物要求，確保安全活動的執(zhí)行到位。應(yīng)盡量在現(xiàn)有開發(fā)管理體系上修訂優(yōu)化，使得安全開發(fā)管理體系無縫融合到開發(fā)管理體系，對現(xiàn)有開發(fā)活動侵入干擾較小，最終在落地環(huán)節(jié)阻力會小很多，才能取得不錯的效果。2、建立適應(yīng)敏捷的DevSecOps開發(fā)安全工具鏈由于開發(fā)人員一般并不具備安全專業(yè)知識，并且代碼掃描、黑盒測試、灰盒測試等安全活動工作量較大，實現(xiàn)安全活動自動化非常有必要。DevSecOps的理念是將安全融入DevOps之中，通過一系列自動化工具在實現(xiàn)快速交付的同時保障軟件安全質(zhì)量。這里Gartner的模型只是參考，銀行在實踐的時候需要考慮現(xiàn)有開發(fā)團隊的安全基礎(chǔ)，尤其是中小城商行開發(fā)資源不是很充足的時候，要考慮增加安全工具對研發(fā)可能帶來的影響，要結(jié)合實際選擇安全工具，分階段進行建設(shè)。要考慮到研發(fā)過程中的參與者承擔(dān)著各自的工作任務(wù)，DevSecOps運轉(zhuǎn)過程中，不能額外增加工作量，更不能影響人員本職工作，這就要求提供的安全工具對DevOps要有很好的兼容性，平順的融合到產(chǎn)品設(shè)計、開發(fā)、測試的工作中。同時安全工具需要有很高的測試效率和準(zhǔn)確率，確保DevSecOps的高效實施。3、員工賦能與激勵實施開發(fā)安全體系的過程中，由于員工安全能力和安全意識不足，需要配套開展安全技能的培訓(xùn)和安全意識的培訓(xùn)工作。對后續(xù)入職的員工，也要在試用期開展相關(guān)培訓(xùn)和考核工作，考核合格方可轉(zhuǎn)正。由于開發(fā)安全的工作是需要開發(fā)相關(guān)的所有人員共同配合完成的，對于產(chǎn)品、架構(gòu)、研發(fā)、測試等崗位人員會帶來一些工作量上的增加，所以需要有一定的激勵機制。在實際運營過程中，為了確保各個角色的執(zhí)行力和積極性，有必要建立應(yīng)用開發(fā)安全相關(guān)的績效體系，以此激發(fā)積極性。通過調(diào)節(jié)績效指標(biāo)，可以很好的引導(dǎo)員工的工作方向和質(zhì)量。例如針對漏洞密度（每千行代碼漏洞數(shù)）、漏洞修復(fù)時效設(shè)置績效指標(biāo)，可以很好的提升開發(fā)人員對漏洞的重視程度。4、外包風(fēng)險管控切實貫徹《銀行保險機構(gòu)信息科技外包風(fēng)險監(jiān)管辦法》中的要求，建立并持續(xù)完善風(fēng)險管理制度和流程，充分識別并評估信息科技外包可能產(chǎn)生的風(fēng)險，引入外包服務(wù)商要做好盡職調(diào)查，簽訂保密協(xié)議，約束外包駐場人員的行為，對外包人員的信息系統(tǒng)開發(fā)過程和最終交付物進行安全掃描和檢查。當(dāng)然除了做好外包的風(fēng)險管控，更重要的還是錘煉內(nèi)功，城商行應(yīng)該按照監(jiān)管的要求，逐步提升信息系統(tǒng)的自主研發(fā)運