随着经济的发展、科技的进步,金融行业也逐渐迈向数字化时代。银行服务模式发生巨大变化,从网点模式到APP模式再到API模式,数字化浪潮正在颠覆企业的业务形态。对于开放银行而言,API模式与场景和生态的链接更加紧密,IT即业务,安全风险即业务风险。
开放银行其实是技术的应用,而技术的应用则具有两面性。一方面,风险的形式出现了新的特点和新的变化。金融科技通过生物识别、云计算等技术将金融服务与用户生活场景紧密结合起来,并通过收集和分析用户消费产生的行为数据来不断优化自身的金融产品。科技与业务的融合极大的拓展了金融业务,也使得科技风险与业务风险的边界进一步模糊。另一方面,新的业务形态需要新的安全保障形态,要强化内部风险防控,保障开放服务安全可靠。
《金融科技(FinTech)发展规划(2019-2021年)》
金融科技成为防范化解金融风险的新利器。运用大数据、人工智能等技术建立金融风控模型,有效甄别高风险交易,智能感知异常交易,实现风险早识别、早预警、早处置,提升金融风险技防能力。运用数字化监管协议、智能风控平台等监管科技手段,推动金融监管模式由事后监管向事前、事中监管转变,有效解决信息不对称问题,消除信息壁垒,缓解监管时滞,提升金融监管效率。
据调查,受访企业普遍认为数据治理/隐私风险、创新风险和网络安全风险是数字化的Top3风险。如何应对这些风险,企业应当从业务角度来管理风险,不仅在业务创新上,在企业内部管理上也应该充分利用科技的能力,从而构建移动业务需要的安全保障形态。
在数据安全方面,API使得数据泄露的风险点增多,一旦开放API存在设计缺陷或是权限设置不当,都有可能危及数据的安全。在网络攻击方面,API接口具有公共共享的属性,风险传导的路径增多,更容易遭到攻击。 因此进行全生命周期开发安全管理,打造覆盖应用开发安全建设和使用全生命周期的智能安全管控平台,才能及早发现和解决安全问题,为开发赋能保障业务安全。
爱加密开发安全管理体系,包含安全控制、安全操作、安全支撑、安全培训等层面,嵌入到系统开发模型和流程中,确保系统开发过程的安全性和保密性。
01安全开发的组织分工与阶段职责
全生命周期开发模式SDL阶段包括需求、设计、开发、测试、上线,安全团队开发人员应各司其职、联动响应,从立项开始安全管理全程介入,力争及早发现和解决安全问题,增强软件自身的健壮性。 此外,除传统生命周期的安全开发管理,还应考虑敏捷开发情况,目标是提高开发效率和响应能力。
02与管理流程、工具平台的融合
通过对现有流程管理问题梳理,分析平台流程管理工具特点,并以开发实际管理需求和标准化建设为目标,通过工具实现制度、标准、风险、指标等管理要素的融合,加强业务横向协同,为进一步业务开发通过流程深化融合。
03安全开发能力量化评估
包括明确开发安全指标评价目标、设定开发安全KPI指标、选择适用于当前的指标及KPI指标赋予权重。集治理、情报、SDL过程、部署为一体,从安全角度指导软件开发过程。
04培训与文化建设,打通开发与安全壁垒
参与软件开发的每一个人都要为软件产品的安全性负责,开发安全培训是实施安全开发生命周期的第一步。明确培训目标、内容、策略、时间等关键因素,为各开发人员提供可参加的课程培训,帮助开发人员了解并掌握开发安全知识、安全技能,减少在研发和运维的过程中因安全知识欠缺而导致的安全事故。