隨著金融機(jī)構(gòu)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和軟件系統(tǒng)的依賴程度逐漸增加，以及電子金融產(chǎn)品的不斷推出，新信息技術(shù)在給業(yè)務(wù)帶來巨大方便、高效的同時(shí)，也帶來了潛在的巨大風(fēng)險(xiǎn)。由于我國的商業(yè)化應(yīng)用系統(tǒng)測(cè)評(píng)體系起步晚，發(fā)展也尚未成熟，加之金融應(yīng)用系統(tǒng)有其自身的特殊性，所以目前在金融行業(yè)還沒有一套體系化的測(cè)試方法，這使得金融行業(yè)應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)防范工作略顯不足，因此在金融機(jī)構(gòu)內(nèi)部建立自身的應(yīng)用系統(tǒng)安全測(cè)試體系，可有效提升安全防范能力，減少因應(yīng)用系統(tǒng)安全問題帶來的隱患。

應(yīng)用系統(tǒng)安全問題亟待解決

2011年某銀行5萬客戶遭遇網(wǎng)銀升級(jí)騙局，造成客戶資金巨大損失，給銀行聲譽(yù)帶來重大影響;同年花旗銀行證實(shí)受到黑客襲擊，約有1%的信用卡用戶受到了影響，客戶的姓名、賬號(hào)、聯(lián)系方式等信息均被黑客獲取。

無論是哪類事件，應(yīng)用系統(tǒng)安全問題主要?dú)w納為以下六類：

1、身份欺騙。應(yīng)用系統(tǒng)的身份認(rèn)證措施不足，導(dǎo)致攻擊者可能冒用他人的系統(tǒng)身份操作賬號(hào)，從而利用他人的權(quán)限獲取相關(guān)信息資料，并進(jìn)行資金盜取等操作。

2、篡改數(shù)據(jù)。應(yīng)用系統(tǒng)的數(shù)據(jù)保護(hù)措施不足，導(dǎo)致金額、密碼、聯(lián)系方式等數(shù)據(jù)信息可能被攻擊者惡意篡改，從而造成賬戶資金被盜等后果。

3、信息泄露。應(yīng)用系統(tǒng)開發(fā)設(shè)計(jì)或配置不當(dāng)，缺乏敏感信息保護(hù)功能，導(dǎo)致可能發(fā)生源代碼泄露、目錄遍歷等后果，攻擊者利用泄露的信息可以更容易的實(shí)施入侵。

4、權(quán)限提升。應(yīng)用系統(tǒng)的權(quán)限管理功能不足，導(dǎo)致攻擊者可能繞過權(quán)限限制，進(jìn)行未經(jīng)授權(quán)或超越授權(quán)的操作，使得攻擊者獲取系統(tǒng)權(quán)限或訪問系統(tǒng)中的重要數(shù)據(jù)。

5、拒絕服務(wù)。應(yīng)用系統(tǒng)安全保護(hù)能力不足，缺乏持續(xù)穩(wěn)定運(yùn)行的能力，可能受到應(yīng)用資源消耗等DDoS攻擊，或由于任務(wù)調(diào)度死鎖等原因?qū)е孪到y(tǒng)宕機(jī)或運(yùn)行緩慢，無法繼續(xù)對(duì)外提供服務(wù)。

6、行為否認(rèn)。應(yīng)用系統(tǒng)對(duì)用戶操作行為缺乏可信的監(jiān)查機(jī)制，導(dǎo)致無法提供有效證據(jù)，以證明該用戶是否進(jìn)行了某一操作。

行業(yè)監(jiān)管機(jī)構(gòu)曾對(duì)應(yīng)用系統(tǒng)安全提出了具體要求，如銀監(jiān)會(huì)2009年下發(fā)的19號(hào)文《信息科技風(fēng)險(xiǎn)管理》、銀監(jiān)會(huì)2011年62號(hào)文及人行121號(hào)文《網(wǎng)上銀行應(yīng)用的安全通用規(guī)范》等。此外我國眾多金融機(jī)構(gòu)，如國有四大行、股份制銀行及部分重要保險(xiǎn)公司均在多年前就開始了對(duì)應(yīng)用系統(tǒng)的安全測(cè)試工作，從最初的對(duì)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試到對(duì)安全控件的黑盒測(cè)試再到后來對(duì)應(yīng)用系統(tǒng)代碼的白盒測(cè)試等，這些都充分說明了應(yīng)用系統(tǒng)的安全問題的嚴(yán)竣性和其重要性。

解決之道

通過仔細(xì)分析眾多金融機(jī)構(gòu)所做的大量的應(yīng)用系統(tǒng)測(cè)試工作，啟明星辰發(fā)現(xiàn)目前總體仍存在如下不足：

1、需求方面安全考慮不足。啟明星辰在為多數(shù)金融機(jī)構(gòu)提供咨詢服務(wù)過程中發(fā)現(xiàn)，需求方面的安全考慮不充分，如在需求階段對(duì)安全需求描述不夠完整、對(duì)安全風(fēng)險(xiǎn)場(chǎng)景設(shè)計(jì)較為簡(jiǎn)單，對(duì)安全邊界的統(tǒng)一規(guī)劃不足，需求階段對(duì)應(yīng)用系統(tǒng)敏感信息防泄露考慮不足。

2、開發(fā)環(huán)節(jié)安全控制不足。啟明星辰在為各金融機(jī)構(gòu)進(jìn)行白盒測(cè)試、滲透測(cè)試及安全測(cè)試的過程中發(fā)現(xiàn)應(yīng)用系統(tǒng)安全存在SQL注入、跨站腳本信息泄露、越權(quán)操作等安全問題，包括眾多大型銀行，同時(shí)過程中也發(fā)現(xiàn)不按編碼規(guī)范執(zhí)行和代碼安全檢查不足的問題，這些都是開發(fā)環(huán)節(jié)控制不足的體現(xiàn)。

3、應(yīng)用系統(tǒng)安全測(cè)試工作范圍局限。應(yīng)用系統(tǒng)安全測(cè)試目前在大多機(jī)構(gòu)僅僅是在安全部門進(jìn)行，整個(gè)測(cè)試方法與理念未貫穿于系統(tǒng)開發(fā)全過程，需求和設(shè)計(jì)過程仍未涉及較體系化的安全措施和控制點(diǎn)。

4、外包開發(fā)和外購模塊的風(fēng)險(xiǎn)控制不足。多數(shù)機(jī)構(gòu)外購的產(chǎn)品缺乏可信賴的第三方評(píng)估機(jī)構(gòu)，另外第三方開發(fā)商不可能遵循金融機(jī)構(gòu)自身的開發(fā)規(guī)范，因此無法控制相關(guān)風(fēng)險(xiǎn)。

針對(duì)上述問題，雖然有些金融機(jī)構(gòu)采取了一些相應(yīng)的措施應(yīng)對(duì)，如對(duì)網(wǎng)頁敏感信息加固，對(duì)新版本進(jìn)行安全測(cè)試，系統(tǒng)等保測(cè)評(píng)或外購模塊安全測(cè)試等。但這些措施都僅是“頭痛醫(yī)頭、腳痛醫(yī)腳”，未解決根本問題。啟明星辰分析存在上述問題的根源如下：

1、效率和安全性矛盾。所有機(jī)構(gòu)在開發(fā)時(shí)優(yōu)先關(guān)注功能，只能犧牲一定的安全。

2、制約機(jī)制不足。大多機(jī)構(gòu)中，相關(guān)的安全規(guī)范由開發(fā)人員自行制訂、頒布、執(zhí)行、檢查，安全測(cè)試未成為應(yīng)用系統(tǒng)能否上線的關(guān)鍵環(huán)節(jié)。

3、 分散管理的問題。機(jī)構(gòu)各部門分散管理應(yīng)用系統(tǒng)及其各自的安全，未形成統(tǒng)一管理。

因此，要根本解決上述出現(xiàn)的問題，必須將目前分散的測(cè)試工作整合成一個(gè)整體，并建立起一個(gè)內(nèi)部應(yīng)用系統(tǒng)安全測(cè)試體系，這樣就能將安全測(cè)評(píng)整合于整個(gè)開發(fā)和操作流程中，過程完全掌握，也能夠更好的把控開發(fā)質(zhì)量;同時(shí)也能夠使更多的部門融入到測(cè)評(píng)工作來，各業(yè)務(wù)部門對(duì)自身業(yè)務(wù)系統(tǒng)更加熟悉，能從不同角度為安全測(cè)評(píng)提供更全面的支持。

借鑒國內(nèi)外優(yōu)秀經(jīng)驗(yàn)

目前國內(nèi)及西方大多數(shù)發(fā)達(dá)國家在國家層面的第三方測(cè)評(píng)機(jī)構(gòu)方面都建立了比較完善的應(yīng)用系統(tǒng)安全測(cè)試體系，我國金融機(jī)構(gòu)在內(nèi)部建設(shè)自身的應(yīng)用系統(tǒng)安全測(cè)試可以借鑒其組織架構(gòu)的做法和參考的標(biāo)準(zhǔn)。

無論國際還是國內(nèi)，目前在應(yīng)用系統(tǒng)測(cè)試方面主要是以國際通用評(píng)估準(zhǔn)則(CC)為主，此標(biāo)準(zhǔn)是在多個(gè)國家的測(cè)評(píng)標(biāo)準(zhǔn)基礎(chǔ)之上，由六國七方統(tǒng)一提出的全球35個(gè)國家互認(rèn)的針對(duì)產(chǎn)品及應(yīng)用系統(tǒng)的信息安全測(cè)評(píng)標(biāo)準(zhǔn)，在1999年已成為了國際標(biāo)準(zhǔn)ISO15408，且美國歐洲很多政府機(jī)構(gòu)采購里面都要求必須通過CC，此外很多電信、金融的招標(biāo)要求里面也提及了CC認(rèn)證的要求。此標(biāo)準(zhǔn)目前已是針對(duì)應(yīng)用系統(tǒng)及產(chǎn)品安全測(cè)試的應(yīng)用最廣的標(biāo)準(zhǔn)，2011年國內(nèi)已等同采用為GB/T18336，當(dāng)然除此標(biāo)準(zhǔn)外，在應(yīng)用系統(tǒng)中涉及密碼模塊和密碼算法還會(huì)參考FIPS 140標(biāo)準(zhǔn)，或者涉及具體某一類應(yīng)用系統(tǒng)時(shí)也會(huì)參考相關(guān)的系統(tǒng)標(biāo)準(zhǔn)，如國內(nèi)針對(duì)網(wǎng)銀系統(tǒng)安全有人行下發(fā)的網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范(121號(hào)文)、銀監(jiān)會(huì)下發(fā)的《網(wǎng)上銀行安全風(fēng)險(xiǎn)管理指引》和國家測(cè)評(píng)中心發(fā)布的《GBT 20983-2007 信息安全技術(shù) 網(wǎng)上銀行系統(tǒng)信息安全保障評(píng)估準(zhǔn)則》。

除了參考的優(yōu)秀標(biāo)準(zhǔn)外，從國內(nèi)外政府測(cè)評(píng)機(jī)構(gòu)中還可以借鑒其組織架構(gòu)模式，無論是國外還是國內(nèi)，測(cè)評(píng)體系都應(yīng)實(shí)現(xiàn)三權(quán)分立，國內(nèi)的測(cè)評(píng)體系如下圖所示。

圖1 中國信息安全測(cè)評(píng)認(rèn)證體系組織層次

從上圖中可以看出，認(rèn)證機(jī)構(gòu)與測(cè)評(píng)實(shí)驗(yàn)室(即測(cè)評(píng)機(jī)構(gòu))均需獲CNAS的認(rèn)證認(rèn)可，同時(shí)測(cè)評(píng)實(shí)驗(yàn)室還需要得到認(rèn)證中心的授權(quán)，測(cè)評(píng)實(shí)驗(yàn)室完成對(duì)某一系統(tǒng)的測(cè)評(píng)后，認(rèn)證中心負(fù)責(zé)頒發(fā)相關(guān)認(rèn)證證書。

建立機(jī)構(gòu)內(nèi)部的應(yīng)用系統(tǒng)測(cè)試體系之道

借鑒體系化的標(biāo)準(zhǔn)和組織架構(gòu)，金融機(jī)構(gòu)便可建立應(yīng)用系統(tǒng)測(cè)試體系，主要從以下幾方面建設(shè)：

1、 建立內(nèi)部測(cè)試組織體系

任何一項(xiàng)工作沒有良好的組織保障就不能順利開展，因?yàn)榻⒔M織體系是第一要事。組織體系要將相關(guān)部門及相關(guān)崗位人員都納入，這樣才能將相關(guān)工作都深入到各自的崗位中，但大多機(jī)構(gòu)由于行政管理的原因，直接納入都會(huì)比較困難，因此通常情況下虛實(shí)結(jié)合更容易落實(shí)，如下圖所示。當(dāng)然有了組織必須配備如下圖所示的相關(guān)技術(shù)工程師。

圖2 測(cè)試組織體系架構(gòu)

2、 明確內(nèi)部應(yīng)用系統(tǒng)安全測(cè)試的流程內(nèi)容

有了明確的組織人員后，就要制定具體的應(yīng)用系統(tǒng)安全測(cè)試的流程內(nèi)容，通常一個(gè)較完善的基于CC的應(yīng)用系統(tǒng)測(cè)試體系流程主要分四個(gè)大部分，即：準(zhǔn)備測(cè)試階段、預(yù)測(cè)試階段、執(zhí)行測(cè)試階段、結(jié)束測(cè)評(píng)階段。詳細(xì)流程及內(nèi)容圖如下所示。

圖3 應(yīng)用系統(tǒng)測(cè)評(píng)體系整體流程圖

3、 建設(shè)過程中要注意的問題

本體系建設(shè)不僅有很高的技術(shù)門檻，而且還需有很強(qiáng)的管理措施，因此過程中要注意如下問題：

1) 必須領(lǐng)導(dǎo)重視。一個(gè)完善的體系建設(shè)不僅涉及財(cái)力而且涉及各部門的人力，需要領(lǐng)導(dǎo)將應(yīng)用安全工作提升高度，要有推動(dòng)貫徹該體系的決心，過程中長(zhǎng)期關(guān)注，并保證資源，包括人力、物力、財(cái)力。

2) 要有統(tǒng)一的組織體系并明確責(zé)任分工。內(nèi)部應(yīng)用系統(tǒng)測(cè)評(píng)體系建立工作的順利展開，離不開各部門的明確責(zé)任分工，例如業(yè)務(wù)部門負(fù)責(zé)參與編寫ST，提出安全策略等。

3) 需要相應(yīng)的技術(shù)環(huán)境。一個(gè)完整體系必須有相應(yīng)的技術(shù)支撐，如白盒測(cè)試工具、掃描工具等整套支撐該體系的技術(shù)和相應(yīng)產(chǎn)品。

4) 建立內(nèi)部應(yīng)用系統(tǒng)測(cè)評(píng)體系應(yīng)循序漸近，按計(jì)劃分步實(shí)施。建立內(nèi)部應(yīng)用測(cè)評(píng)體系將會(huì)大大改變公司內(nèi)部的管理及工作模式，所以不能急功近利，否則可能會(huì)出現(xiàn)很多問題，甚至導(dǎo)致前功盡棄，另外各金融機(jī)構(gòu)可依據(jù)自己公司的規(guī)模、復(fù)雜度等具體設(shè)計(jì)實(shí)施計(jì)劃。

長(zhǎng)遠(yuǎn)意義

雖然建立該體系前期投入較大，也需要足夠的人員儲(chǔ)備，但適合金融行業(yè)安全自主掌控的理念。鑒于目前各大金融機(jī)構(gòu)均未建立此測(cè)試體系，所以一旦有機(jī)構(gòu)建立，將會(huì)有如下長(zhǎng)遠(yuǎn)意義：

1、使安全工作從開發(fā)源頭抓起，實(shí)現(xiàn)良性循環(huán)，提高應(yīng)用系統(tǒng)安全性在企業(yè)內(nèi)部的可見度。

2、能夠提升整個(gè)機(jī)構(gòu)整體應(yīng)用系統(tǒng)安全水平，在行業(yè)內(nèi)樹立標(biāo)桿形象,為商業(yè)化運(yùn)作提供條件。

3、目前各大機(jī)構(gòu)都在擴(kuò)展海外業(yè)務(wù)，此測(cè)試體系的建立可為實(shí)施全球業(yè)務(wù)戰(zhàn)略奠定基礎(chǔ)。