金融信息系统成黑客入侵通道国舜告诉你这样做
2018-06-11 来源:
金融信息系统安全风险超过预期 软件开发成薄弱环节
要对抗日益肆虐的网络攻击,金融机构所需要关注的不仅仅是如何完善安全流程,监测安全威胁信息,还需要关注如何从应用出发减少安全漏洞出现的可能性。事实上,金融信息系统的安全危机远超业界想象,在对主流的金融信息系统进行安全风险评估时,安全人员发现,80%的手机银行APP存在可被利用的漏洞。通过这些漏洞,网络攻击者可以潜入金融业务系统,窃取金融数据,更为严重的是,攻击者可能会长期潜伏在内部网络之中,伺机破坏金融系统的正常运行。
值得关注的是,网络攻击者不仅会面向流行的金融信息系统进行攻击,还更倾向于利用应用率较低的特定软件的漏洞,开发特定软件的漏洞利用程序,同时针对较窄的目标用户进行攻击。这意味着金融机构需要关注所有金融信息系统的安全状况,并部署相应的安全防护策略。
但是,要确保金融信息系统的安全开发在现实上却存在很多障碍,很多金融机构对于软件的安全开发不够重视,没有一套完善的安全管理体系,导致金融信息系统出现安全标准不统一、无法达到安全规范、安全风险缺乏控制等问题,严重影响金融系统的稳定运行。而且,基于成本考虑,有些金融机构将软件开发外包,这些软件更难遵循统一的安全规范,容易引入大量的安全风险。
国舜股份董事长姜强表示:“银行信息系统研发是银行应用系统的制造过程和金融服务产品的生产过程,也是金融信息化的核心环节,金融信息系统往往直接关联着高价值的金融数据以及巨额的金融资产,因此软件漏洞造成的威胁会更巨大,不法分子攻击的利益驱动力也更强。在这些安全事件中,没有遵循安全开发规范、存在着大量安全风险的金融信息系统很容易成为黑客的攻击目标。因此,在金融安全体系的建设中,必须将软件安全开发摆在重要位置。”
打造金融信息系统开发全生命周期管理实践
国舜股份建议,要从软件开发入手提高金融安全保障力度,最重要的是保护金融信息系统全生命周期的安全。不仅在漏洞发现之后进行及时修补,还需要以开发安全纲要为指导,在应用开发的初期就引入安全开发流程,规避软件开发过程中的安全隐患。
首先,金融机构需要对当前的软件开发流程进行全面梳理,在需求、设计、实施、测试、发布等软件开发的各个阶段都能提供安全能力支撑,这包括安全需求分析、攻击分析、安全设计原则、安全设计方案、开发安全规范、静态分析、安全基线测试、模糊测试、渗透测试等各种安全环节。
其次,金融架构需要一整套的高效安全开发工具,在保持业务敏捷性的前提下安全、快速的开发金融应用,满足业务拓展需求。
最后,金融机构还需要建立标准化的信息安全体系,不仅建立软件中心信息安全整体策略和检查评价方法,完善信息安全管理基础流程,还能够提升外包风险管控能力,提升内部IT安全管控和服务能力。
为满足金融客户的软件安全开发需求,国舜股份提供了全生命周期的开发安全管理体系,包含了威胁资源库、安全测试资源库以及情景式需求分析平台等一系列的工具,金融机构只需要在情景式需求分析平台输入系统的应用场景就能轻松获得安全需求、安全设计方案和安全测试用例,大大降低工作强度和工作难度。此外,该体系还覆盖了软件系统的可行性分析、需求分析、设计、研发、测试、部署、运维等各个阶段,可显著降低对开发人员安全意识和技能的依赖性,确保整个软件系统的整体安全可控。
标签: 安全 标准 金融 漏洞 网络 问题 信息安全 信息化 用户
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。