近日,由中国信息通信研究院、苏州市金融科技协会主办的2020第三届中国金融科技产业峰会和第二届中新(苏州)金融科技应用博览会在苏州国际博览中心开幕。作为移动信息安全综合服务提供商,爱加密受邀参加并在金融科技应用安全分论坛上发表了《基于应用全生命周期的防护体系助力金融安全》主题演讲。同时,来自海内外的超百家银行、证券、保险等金融机构和金融科技企业集中亮相,展示了运用新兴技术手段驱动金融创新、赋能金融提质增效的成果和实践。
会议紧跟新一代信息技术发展趋势,加强金融科技领域国际合作与交流,全面提升金融信息化解决方案在金融行业各场景的落地融合,展示金融科技产业最新研究成果,探讨全球和中国金融科技产业前沿话题。积极推动行业数字化转型,提升服务实体经济能力、提高金融风险管控能力、推进普惠金融发展、加强金融消费者权益保护。
爱加密作为移动信息安全综合服务提供商,深耕于金融行业多年,可为金融行业提供贯穿应用设计评估、安全开发测试、应用优化、应用安全发布及应用上线运营阶段的整个生命周期的安全防护解决方案,帮助金融行业建立一套牢固的移动应用安全防护体系。
金融应用开发面临的挑战
据FINANCE MAGNATES调查显示,受COVID-19的影响,金融科技应用从“可以”使用转变成“必须”使用,37%的受访者认为,他们将比全球大流行之前在网上或通过应用程序实现更多金融业务办理。另外COVID-19引起的市场波动使得大量人首次成为散户投资者。金融科技平台正在更加密切关注其用户所要求的产品,并削减热门服务项目的费用。同时,开放银行正在崛起,借助Open Platform(开放平台),基于API、SDK、H5等方式,与其他合作伙伴建立连接,提供银行服务场景。
2020年金融科技应用Top5技术重点聚集在移动互联网、云计算、开发API、大数据、人工智能。金融行业在采用新技术或适配新场景过程中会对其现有应用进行迭代更新或进行业务创样报,均会对应用进行开发,届时金融行业面临的主要挑战在于其安全能力碎片化、无法积累和传输。
企业制定的安全开发规范、制度流于形式或与业务不匹配
无法快速有效的为应用开发提供安全合规需求清单
没有对安全需求的管控形成闭环,安全开发的能力与效果难以评价
开发人员的安全专业能力不足,无法承接和落实安全开发的工作
独立而分散的安全工具没有形成整体的安全能力,无法进行协调防御
安全开发管控平台建设思路
爱加密安全开发管控平台以SDLC为基础,以安全开发制度、规范为准绳,以安全大数据为驱动,构建覆盖应用开发各环节、工具统一运行调度的平台型管理系统。把安全工作左移,从立项开始安全管理全程介入,力争及早发现和解决安全问题,增强软件自身的健壮性。
平台包含了各阶段流程的梳理、评审机制的建立、相关资源库的建设,通过数据接口收集各阶段安全数据、开发数据及漏洞样本,并运用大数据、知识图谱及AI等核心技术,打造覆盖应用开发安全建设和使用全生命周期的智能安全管控平台,为开发赋能。
▍立项:风险评估及安全能力评价
基于金融行业实践的系统安全风险等级评估模型、安全能力评价模型和流程裁剪机制,快速定位重点/高风险系统,实现与开发团队的动态反馈互动机制。
▍需求:安全需求分析
基于业务类型和业务场景的智能化需求分析,分等级/可裁剪的安全基线;
与开发团队的动态反馈互动机制,快速生成安全需求报告;
在线评审功能和结果记录,为问题溯源提供基础;
需求实现跟踪评价机制,为上线前评估提供决策辅助。
▍设计:安全设计方案
与安全需求分析结果相对应的安全设计知识库;
快速生成安全设计文档;
为开发人员提供安全设计帮助;
在线安全设计评审。
▍开发:赋能安全开发
关注敏感操作,安全组件通过与系统代码集成,在关键操作(如文件读取、数据库操作等)执行前被调用,可实现针对性的防御。
有效防范业务漏洞,如防短信炸弹、防水平越权、安全文件上传下载等组件,可对业务逻辑类漏洞进行有效防护和检测。
定位漏洞代码行,组件能够获取系统运行时上下文,精准定位到安全漏洞爆发的代码行及代码流转,以助于问题修复和攻击定位。
具备埋点能力,可记录关键信息,结合组件日志输出,助于分析应用程序安全状况。实现纵深防御,可与安全设备联动,提升应用自身安全防护能力。
▍部署:安全评审
提供在线评审功能,基于金融行业实践的上线前检查表,自动汇总各个阶段文档;自动汇总前述各阶段数据填充检查表,辅助评估,提升效率。
▍运维:软件资产管理
上线前与上线后双向软件资产发现,完整的企业级软件资产管理能力;支持开源代码组件框架及同源性分析,实现开源代码管理和开源代码漏洞管理。