大势所趋：安全管理前移的“治本”考量

随着银行自身业务电子化依赖程度的加深以及金融服务趋于开放互联，全球银行业的网络安全威胁事件近年来不降反升，如何快速响应千变万化的业务需求，并在敏捷开发的过程中保障信息系统的安全性，成为大多数银行正在面临也必须解决的关键问题。

信息系统安全性保证是通过对其全生命周期各阶段的管理共同实现的，以往只在测试、运维阶段关注安全性的管理方式，治标不治本。新业务的安全需求促使对系统安全性的考量从事后处置走向事前预防，这也意味着安全管理必须从系统的运维阶段大幅前移，覆盖包括需求、设计、开发、测试、部署、运维的全生命周期。安全介入得越早，系统潜伏的安全隐患就会越少，而对漏洞修复的成本也会越低。

方案推荐：全生命周期安全开发

国舜股份全生命周期安全开发解决方案，深度消除安全隐患，支持安全工作从运维阶段大幅前移，覆盖包括需求、设计、开发、测试、部署、运维等信息系统全生命周期。

需 求

安全需求流程和规范咨询服务：为客户的需求过程制定安全需求流程，确保安全需求纳入业务的整体需求；协助业务制定安全需求规范，确保客户能够按照规范的要求，将安全需求考虑完整而有效。

威胁资源库咨询服务：为客户建立量身定做的威胁资源库，完整建立客户常见的威胁状况，确保客户在安全需求阶段的完整和高效。

安全需求培训：针对业务设计人员、安全需求人员、系统设计人员的培训，培训业务系统常见的业务安全问题和信息安全问题，安全需求的制定规范等，提升学员的安全需求能力。

设 计

安全设计流程和规范咨询服务：为客户的系统设计过程制定安全设计流程，确保安全要素纳入设计范围；协助制定安全设计规范，确保客户能够按照规范的要求，将安全设计考虑完整而有效。

安全设计培训：针对业务设计人员、系统设计人员培训业务系统常见的业务安全问题和信息安全问题，安全需求、安全设计的方法和技巧等，提升安全设计能力。

编 码

安全编码流程和规范咨询服务：为客户的软件编码过程制定安全编码流程，确保安全要素纳入编码流程；协助制定安全编码规范，确保客户能够按照规范的要求，安全开发，确保开发的系统符合业务安全和信息安全的要求。

源代码审计流程、规范咨询服务：结合客户实际情况和编码工具情况，利用企业现有工具和安全开源工具，建立符合客户实际状况的代码检测流程和规范。

安全开发培训：针对业务设计人员、系统设计人员和开发人员培训业务系统常见的业务安全问题和信息安全问题，安全需求、安全设计、安全开发的方法和技巧等，提升学员的安全意识和安全开发能力。

测 试

安全测试流程和规范咨询服务：结合企业实际为客户的测试过程制定安全测试流程，确保安全要素纳入测试范围；协助制定安全测试规范，确保客户能够按照规范的要求，将安全测试考虑完整而有效。

安全测试资源库咨询服务：为客户建立量身定做安全测试资源库，完整建立客户日常所需的安全测试用例，确保客户在安全测试的完整和高效。

业务测试培训：针对业务设计人员、系统设计人员、开发人员、测试人员的培训，培训业务系统常见的业务安全问题，业务安全问题利用的常用方法和途径等，提升学员的业务安全设计能力和测试能力、解决能力。

安全测试培训：针对业务设计人员、安全需求人员、系统设计人员、开发人员、测试人员的培训，培训业务系统常见的业务安全问题和信息安全问题，安全测试的模型，测试方法、技巧、规范等，提升学员的安全测试能力。

渗适测试培训：针对业务设计人员、安全需求人员、系统设计人员、开发人员、测试人员的培训，培训黑客常用的渗适测试方法、技巧等，提升学员对攻击方式的了结，提升学员的安全对抗能力。

外包安全管理体系咨询服务：以安全需求、安全设计、安全测试为核心，结合外包的需求管理、人员管理、质量管理、安全管理，形成完整的外包安全管理体系。

部 署

上线流程、规范咨询服务：为客户的上线过程制定安全测试流程，确保安全要素纳入测试范围；协助制定上线规范，确保客户能够按照规范的要求，将安全上线测试考虑完整而有效。

安全配置基线咨询服务：为客户的制定安全配置基线，为客户的设备、系统管理提供标准，提升整体的安全水平。

基线检测服务：根据基线标准，利用基线检测设备和专家经验，对客户的设备、系统的配置进行核查，确保其满足基线要求，提升整体安全水平。

案例应用：某股份制银行实践

国舜股份安全开发服务团队为国内某股份制银行提供全生命周期安全开发服务，在对客户的现有开发流程进行完整安全评估后发现：

· 开发团队对安全了解有限，存在一定安全缺陷；

· 上线前没有充分的安全测试，导致存在部分系统安全隐患；

· 发现安全隐患后，由于时间紧、开发整改速度慢，导致带病上线等。

按照客户的实际需求和管理组织、机制，国舜股份对客户安全开发体系进行全面梳理，构建了完整的安全开发流程和规范，建立了威胁资源库、安全测试资源库，并同时建立上线检测流程。在此之后，开发产品的安全质量有明显提高，杜绝带病上线的情况，上线前安全检测发现漏洞数量减少。

通过全生命周期安全开发——

· 提升客户开发团队的安全意识和安全开发能力，从而开发出更加安全的产品。

· 提升客户开发团队的安全意识和安全开发能力，在发现安全问题，进行响应、整改时能够更加快速而有效。

· 提升客户安全投入的使用效率，可以在系统的早期就消灭很多安全隐患，将信息安全的“早发现，早响应”，升级为“早预防、早发现、早响应”。

· 发现开发过程潜在的安全风险，为下一步的信息安全建设指明方向。

总结

银行通过建立和完善全生命周期开发安全管理体系，将安全保障贯穿信息系统生命周期始终。保证了信息系统生命周期各阶段安全活动有明确的部门和角色来执行，分工明确，责任落实，便于量化考核。

同时，通过工具的推广使用，节省安全成本。在信息系统开始规划阶段即全面考虑系统安全问题，实施各种安全控制措施，从而达到早发现、早预防、早整改，节省综合成本。解决安全问题、简化安全管理。