5月29日-6月1日,全国信息安全标准化技术委员会2023年第一次“标准周”活动在云南昆明举办,旨在促进标准各相关方加强网络安全技术与标准化交流研讨,推进网络安全国家标准项目研究和制修订工作,提升标准研制质量。
默安科技携手国泰君安证券股份有限公司(以下简称国泰君安)亮相“网络安全国家标准优秀实践案例展览”;在网络安全标准应用实施经验交流会上,默安科技解决方案架构师孟瑾带来以“网络安全国家标准在证券应用开发安全过程中的实践应用”为主题的经验分享。
图 默安科技副总裁沈锡镛(右)现场讲解
随着金融供给侧结构性改革和数字化转型的深入推进,互联网应用高速迭代,为系统安全和个人信息保护带来了巨大的挑战,应用开发左移安全越来越受到重视。与此同时,国家网络安全相关法规、国家网络安全等级保护标准、个人信息保护安全标准、证券行业应用安全标准也相继更新出台,为促成证券企业数字化转型下的应用内生安全防线基本成型提供了标准化依据。
作为大型头部证券公司,国泰君安证券的主营业务和投资业务均有大量高敏感个人信息保护的需求,开展全面的开发安全体系建设将是应对软件供应链攻击的有力之举。基于此,默安科技在协助国泰君安建设开发安全流程和体系的过程中,遵循GB/T 35273-2020《信息安全技术 个人信息安全规范》和GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》两项国家安全标准并实施标准应用。
在开发安全流程建设过程中,默安科技协助国泰君安主要从以下四个方面实现等级保护和个人信息安全两项标准的落地实施。
落地适应行业监管和组织特点的开发安全流程
国泰君安建立开发安全管理制度,制定了需求评审、架构评审、上线评审、变更审批等标准闭环流程,确保对开发过程的安全管控。软件需求评审流程中,IT合规风控团队介入进行合规评估审批,默安科技协助构建威胁建模平台,进行自动化威胁分析,提升安全需求分析能力;架构评审流程中,由IT技术评审委员会对架构设计方案进行评审;上线评审流程中,安全团队和IT合规风控团队对上线前的安全测试与漏洞修复情况进行审批;变更审批流程中,依托平台工具建立风险评估模型,根据变更要素进行自动化变更风险评估,根据风险等级确定变更方案、回退方案和审批流程。
建设全链路的开发安全技术支撑体系
默安科技为国泰君安提供了一套完整的“产品+服务+平台”的DevSecOps全流程解决方案,构建由威胁建模、软件成分分析、白盒/灰盒/黑盒安全测试五大开发安全引擎组成的应用开发安全工具链;建立自动化安全管控流程,在代码提交、部署上线、容器镜像入库和部署等环节设置质量门禁,在代码流入下一个环节前进行质量检测,支撑开发安全流程高效运营;建设漏洞管理平台,实现漏洞发现、代码追溯、漏洞研判、漏洞修复、漏洞校验的漏洞管理全生命周期闭环管理,全面提升国泰君安在安全需求分析、安全架构评估、安全编码、安全测试和上线安全测评各阶段的安全能力。
图 全链路开发安全技术支撑体系
从应用效果来看,国泰君安核心系统安全运行率连续多年保持99.99%。通过国标、行标与企业实践的深度融合,国泰君安制定了《证券APP个人信息保护技术》的企业标准,并参与2021年金融行业企业标准“领跑者”计划,发挥了行业标准引领作用;在历年个人信息保护检查中“0违规通报”,同时获得了上海市网信办颁发的2021年度上海市网络安全工作先进单位称号,为证券行业的数字化转型提供了安全最佳实践和示范标准。
在本次标准落地实践中,默安科技也对相关经验作了总结:一是明确标准适用范围和对象,做实合规差距分析;二是加强组织领导,全力推动标准化工作的进行;三是借力办公门户,推动项目合规走向流程必然;四是依托产业实践,逐步打造开发安全工具链。
总体上,经过各项标准的应用,国泰君安已经形成了“风险前置、管控内生、能力汇聚”的应用开发安全体系建设理念,通过实践落地,建立了适应行业监管与企业特性的开发安全管控流程和技术平台。作为全国金融标准化技术委员会和证券分技术委员会成员单位,未来默安科技将积极配合国家软件供应链安全和开发安全相关国标试点工作,推进证券行业相关标准的立项、编制,促进行业示范、交流与推广,为证券行业落实网络安全国家标准、促进行业网络安全生态发展作出新的贡献。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...