隨著傳統(tǒng)金融機(jī)構(gòu)進(jìn)行數(shù)字化業(yè)務(wù)擴(kuò)張，金融數(shù)字化轉(zhuǎn)型成為市場(chǎng)競(jìng)爭(zhēng)的主戰(zhàn)場(chǎng)，手機(jī)銀行、直銷銀行、移動(dòng)支付、微信營(yíng)銷等“互聯(lián)網(wǎng)+”新興業(yè)務(wù)不斷涌現(xiàn)。據(jù)統(tǒng)計(jì)，以股份制商業(yè)銀行為首的眾多金融機(jī)構(gòu)離柜交易額不斷增長(zhǎng)，同時(shí)增長(zhǎng)的還有新業(yè)務(wù)不斷擴(kuò)展帶來的安全風(fēng)險(xiǎn)。當(dāng)前，各大金融機(jī)構(gòu)最受關(guān)注的是信息泄漏、邏輯缺陷、SQL注入等嚴(yán)重威脅自身業(yè)務(wù)的安全問題，在關(guān)注基礎(chǔ)環(huán)境安全問題的同時(shí)，亟需構(gòu)筑自身業(yè)務(wù)應(yīng)用系統(tǒng)的“內(nèi)建安全”。

引發(fā)金融行業(yè)業(yè)務(wù)安全問題的源頭有兩方面，一方面是基礎(chǔ)環(huán)境安全問題，包括網(wǎng)絡(luò)、安全等設(shè)備的漏洞，此類漏洞由設(shè)備廠商關(guān)注并修復(fù);另一方面是自主研發(fā)軟件存在的未被發(fā)現(xiàn)的各種漏洞，主要由金融機(jī)構(gòu)的科技管理人員管理和響應(yīng)。

作為金融機(jī)構(gòu)的科技管理人員，在自研漏洞爆發(fā)時(shí)有兩個(gè)問題需要解決，一是在組織內(nèi)部數(shù)百種金融業(yè)務(wù)應(yīng)用中快速了解該漏洞的存在數(shù)量和影響的范圍;二是采取措施將風(fēng)險(xiǎn)和損失降到最低。

例如近日影響范圍較大的Apache Struts2漏洞，傳統(tǒng)的應(yīng)急響應(yīng)方式解決的是將風(fēng)險(xiǎn)和損失降低，即啟動(dòng)應(yīng)急預(yù)案，通過分析新型漏洞的特點(diǎn)提取漏洞特征，定制檢測(cè)規(guī)則，第一時(shí)間在邊界安全設(shè)備(IDS、IPS、WAF等)中完成部署，確保攻擊來臨時(shí)可以進(jìn)行監(jiān)測(cè)和阻斷，盡可能降低漏洞帶來的損失。這種方式只解決了管理人員關(guān)心的第二個(gè)問題，但對(duì)出現(xiàn)漏洞的組件涉及哪種開發(fā)語言、開發(fā)框架，這些開發(fā)語言和開發(fā)框架在當(dāng)前業(yè)務(wù)應(yīng)用中的使用數(shù)量等疑問缺乏快速的響應(yīng)措施，現(xiàn)階段只能耗費(fèi)大量人員和時(shí)間通過手工方式進(jìn)行匯總統(tǒng)計(jì)。

[[188137]]

從安全管理角度進(jìn)行分析，近期出現(xiàn)的漏洞大部分都是由代碼設(shè)計(jì)缺陷導(dǎo)致，目前各家金融機(jī)構(gòu)都已經(jīng)建立自身的業(yè)務(wù)安全開發(fā)管理流程。同時(shí)，在每一個(gè)業(yè)務(wù)應(yīng)用上線前，都會(huì)進(jìn)行必要的源代碼缺陷、合規(guī)性等安全檢測(cè)。

如果將檢測(cè)的過程和相關(guān)結(jié)果信息進(jìn)行收集匯總，例如開發(fā)語言、開發(fā)框架、開源組件、缺陷、漏洞等，同時(shí)與組織原有的代碼倉庫、Bug管理系統(tǒng)進(jìn)行無縫對(duì)接，構(gòu)成金融機(jī)構(gòu)自己的軟件資產(chǎn)庫，并在開發(fā)運(yùn)維階段不斷豐富，形成基于安全開發(fā)的軟件資產(chǎn)管理大數(shù)據(jù)平臺(tái)。當(dāng)新型漏洞爆發(fā)時(shí)，就能提供應(yīng)急響應(yīng)查詢，檢測(cè)業(yè)務(wù)系統(tǒng)中是否使用了存在漏洞的第三方組件，業(yè)務(wù)系統(tǒng)代碼中是否包含了漏洞代碼，并通過搜索技術(shù)實(shí)現(xiàn)源代碼層面的問題追溯，有效提升金融機(jī)構(gòu)安全開發(fā)管理能力。

軟件資產(chǎn)管理大數(shù)據(jù)平臺(tái)不僅滿足金融行業(yè)對(duì)于軟件資產(chǎn)的源代碼級(jí)別應(yīng)急響應(yīng)需求;同時(shí)滿足基于代碼搜索、自動(dòng)化查詢等快速定位需求;甚至未來可采用機(jī)器學(xué)習(xí)等技術(shù)，將安全開發(fā)信息提取形成基于源代碼的安全威脅情報(bào)，精準(zhǔn)定位源代碼安全缺陷，提升金融業(yè)務(wù)應(yīng)用整體安全能力。

360企業(yè)安全集團(tuán)代碼衛(wèi)士相關(guān)負(fù)責(zé)人表示，軟件資產(chǎn)是組成金融應(yīng)用系統(tǒng)的基礎(chǔ)，源代碼是軟件資產(chǎn)的核心機(jī)密，源代碼的安全問題至關(guān)重要。

據(jù)了解，360代碼衛(wèi)士是基于多年源代碼安全實(shí)踐經(jīng)驗(yàn)的源代碼安全解決方案，涵蓋缺陷分析、合規(guī)檢測(cè)、溯源檢測(cè)三大檢測(cè)方向，分別解決軟件開發(fā)過程中的安全缺陷和漏洞問題、安全合規(guī)性問題、第三方代碼安全管控問題。在此基礎(chǔ)上，代碼衛(wèi)士產(chǎn)品的軟件安全開發(fā)管理平臺(tái)可與企業(yè)已有的軟件開發(fā)測(cè)試環(huán)境無縫對(duì)接，形成企業(yè)自有的軟件資產(chǎn)管理大數(shù)據(jù)平臺(tái)，幫助企業(yè)以最小代價(jià)建立軟件資產(chǎn)管理庫，構(gòu)筑基于金融業(yè)務(wù)應(yīng)用系統(tǒng)的“內(nèi)建安全”。

以“Apache Struts2漏洞”事件為例，通過軟件資產(chǎn)管理大數(shù)據(jù)平臺(tái)進(jìn)行漏洞響應(yīng)，可以采用基于漏洞屬性的自動(dòng)化查詢方式，快速生成統(tǒng)計(jì)報(bào)告，相比傳統(tǒng)的應(yīng)急響應(yīng)方式，在縮短響應(yīng)時(shí)間的同時(shí)又保證統(tǒng)計(jì)的全面性，幫助管理人員第一時(shí)間了解新型漏洞在組織中存在的數(shù)據(jù)和影響范圍，從源頭定位問題采取根治措施，盡可能降低漏洞帶來的風(fēng)險(xiǎn)和損失。