互联网金融时代,如何快速响应千变万化的业务需求并在快速开发的过程中保持信息系统的安全性,是银行业正在面临的严峻问题。信息系统的安全性保证是通过对其全生命周期各阶段的管理共同实现的,以往只在测试、运维阶段关注安全性的管理方式往往治标不治本。安全管理必须从运维阶段大幅前移,覆盖包括需求、设计、开发、测试、部署、运维的生命周期。安全工作介入的越早,潜伏的安全隐患就会越少,对漏洞修复的成本也会越低。
在安全开发体系中,安全需求分析是一系列安全开发活动的起点也是关键点,是后续安全设计、安全开发的工作依据,安全需求分析的完备性一直是备受业界困扰的难题。
国舜情景式安全需求分析平台
主要由威胁资源库、安全需求分析、安全设计、安全测试用例四部分组成,平台
通过用户对系统及业务场景的描述,利用成熟化威胁资源库和威胁分析方法论,对系统进行威胁分析和安全需求分析,对关键流程进行详细安全分析,最后为用户生成标准安全需求文档和安全设计建议,为开发人员提供安全开发指导。
国舜安全威胁资源库将具体的威胁种类抽象成一系列的攻击模式,模式依托于破坏性场景的总结,是对真实世界特定利用场景深入分析的结果。威胁资源库中的每个攻击模式都从攻击者的视角对其对应的攻击的设计和执行进行了说明,并给出了如何降低攻击影响的方法和措施。通过对攻击模式的了解和掌握,攻击防护者能够更好地理解和掌握特定攻击的各个因素,更好地防范攻击者的后续攻击。
国舜威胁资源库根据攻击机制将威胁归为16个大类,每个类别中又根据对攻击手法的描述的抽象程度分为3种模式,分别是元攻击模式(Meta Attack Pattern),标准攻击模式(Standard AttackPattern)和(Detailed Attack Pattern)精细攻击模式。
在安全威胁分析的基础上,借助威胁资源库,特别是有金融行业特点的威胁资源库,将有力提高安全需求分析的完备性,减少安全需求分析的工作量。
目前的开发安全体系是建立在面向信息系统的安全需求分析的基础上,实践中由于系统数量庞大,互相间关系错综复杂,基于单一系统的安全需求分析难以满足实际业务的需要,有必要在现有安全需求分析的基础上,建立以客户为对象,以客户的行为和应用场景为基础的威胁分析和安全需求。在此安全需求的基础上,拓展相应的安全设计方案和攻击消减措施以及配套的测试方案。在开发过程中,在现有开发安全工作的基础上,全面应用,建立更加完整、合理的安全开发体系。
通过对
客户相关要素
、
客户使用场景
等维度分解的威胁分析,立体展现以客户为中心的安全威胁,形成超出单一系统的统一安全需求。
在实际的工作中,由于开发外包等诸多因素,程序员水平参差不齐,安全需求的实现差异非常大,项目开支与最终效果往往不相匹配。因此,必须对开发团队安全功能的实现进行深度的支持,促进降低安全需求的开发成本,保障安全需求的开发效率和开发效果。
安全设计库的建成将通过成熟的安全设计方案来解决日常的安全需求开发问题,可以消除程序员水平参差不齐带来的质量问题,安全需求实现的质量有保障。
安全设计库的建成将极大地降低安全需求开发的成本,利用成熟的安全设计库,只需要参照示范进行合适地设计和调整,就能完成安全需求,安全需求实现的成本大大降低,而安全效果更高。
实际工作中,安全测试往往过于依赖测试人员的个人水平,导致测试结果不稳定,同时,测试资源严重不足,安全测试工作无法保障。为此,国舜股份对安全测试进行深度的整理,针对金融行业中具体攻击模式,建立对应的测试验证方案,将安全测试规范化,保证安全测试的效果的稳定。
利用国舜丰富的银行安全测试经验,分析总结过往的安全漏洞,以及在漏洞平台上金融行业的案例,针对平台中的每一条安全需求,制定对应的安全测试用例,包括安全测试流程、测试方法,和相关测试工具的使用方法。
国舜情景式安全需求分析平台
利用成熟化的威胁分析模型,在安全威胁分析的基础上,借助威胁资源库,特别是有金融行业特点的威胁资源库,将有力提高安全需求分析的完备性,减少安全需求分析的工作量。在现有安全需求分析的基础上,建立超越单一信息系统,以客户为对象,以客户的行为和应用场景为基础的威胁分析和安全需求。
平台通过完备的安全设计库,对开发团队安全功能的实现进行深度的支持,促进降低安全需求的开发成本,保障安全需求的开发效率和开发效果,大大提高了安全设计的可落地性。
平台通过用户对系统及业务场景的描述,利用成熟化威胁资源库和威胁分析方法论,对系统进行威胁分析和安全需求分析,普通开发人员即可使用,助力解决企业缺乏专业开发安全技术团队以及开发人员安全技术水平层次不齐等痛点。
国舜安全产品及服务已覆盖全国范围内金融、通信、政企等领域上千家企事业单位用户,赢得客户广泛赞誉并获得良好的品牌知名度。
防护前移,安全纵贯。
国舜
全生命周期安全开发解决方案通过“服务+工具”式组合促进用户安全意识、管理制度、系统安全等多方面提升,助力实现潜在风险的“早预防、早发现、早响应”,为客户全阶段信息系统安全保驾护航。
