隨著傳統(tǒng)金融機構(gòu)進行數(shù)字化業(yè)務(wù)擴張，金融數(shù)字化轉(zhuǎn)型成為市場競爭的主戰(zhàn)場，手機銀行、直銷銀行、移動支付、微信營銷等“互聯(lián)網(wǎng)+”新興業(yè)務(wù)不斷涌現(xiàn)。據(jù)統(tǒng)計，以股份制商業(yè)銀行為首的眾多金融機構(gòu)離柜交易額不斷增長，同時增長的還有新業(yè)務(wù)不斷擴展帶來的安全風(fēng)險。當(dāng)前，各大金融機構(gòu)最受關(guān)注的是信息泄漏、邏輯缺陷、SQL注入等嚴重威脅自身業(yè)務(wù)的安全問題，在關(guān)注基礎(chǔ)環(huán)境安全問題的同時，亟需構(gòu)筑自身業(yè)務(wù)應(yīng)用系統(tǒng)的“內(nèi)建安全”。

引發(fā)金融行業(yè)業(yè)務(wù)安全問題的源頭有兩方面，一方面是基礎(chǔ)環(huán)境安全問題，包括網(wǎng)絡(luò)、安全等設(shè)備的漏洞，此類漏洞由設(shè)備廠商關(guān)注并修復(fù);另一方面是自主研發(fā)軟件存在的未被發(fā)現(xiàn)的各種漏洞，主要由金融機構(gòu)的科技管理人員管理和響應(yīng)。

作為金融機構(gòu)的科技管理人員，在自研漏洞爆發(fā)時有兩個問題需要解決，一是在組織內(nèi)部數(shù)百種金融業(yè)務(wù)應(yīng)用中快速了解該漏洞的存在數(shù)量和影響的范圍;二是采取措施將風(fēng)險和損失降到最低。

例如近日影響范圍較大的Apache Struts2漏洞，傳統(tǒng)的應(yīng)急響應(yīng)方式解決的是將風(fēng)險和損失降低，即啟動應(yīng)急預(yù)案，通過分析新型漏洞的特點提取漏洞特征，定制檢測規(guī)則，第一時間在邊界安全設(shè)備(IDS、IPS、WAF等)中完成部署，確保攻擊來臨時可以進行監(jiān)測和阻斷，盡可能降低漏洞帶來的損失。這種方式只解決了管理人員關(guān)心的第二個問題，但對出現(xiàn)漏洞的組件涉及哪種開發(fā)語言、開發(fā)框架，這些開發(fā)語言和開發(fā)框架在當(dāng)前業(yè)務(wù)應(yīng)用中的使用數(shù)量等疑問缺乏快速的響應(yīng)措施，現(xiàn)階段只能耗費大量人員和時間通過手工方式進行匯總統(tǒng)計。

[[188137]]

從安全管理角度進行分析，近期出現(xiàn)的漏洞大部分都是由代碼設(shè)計缺陷導(dǎo)致，目前各家金融機構(gòu)都已經(jīng)建立自身的業(yè)務(wù)安全開發(fā)管理流程。同時，在每一個業(yè)務(wù)應(yīng)用上線前，都會進行必要的源代碼缺陷、合規(guī)性等安全檢測。

如果將檢測的過程和相關(guān)結(jié)果信息進行收集匯總，例如開發(fā)語言、開發(fā)框架、開源組件、缺陷、漏洞等，同時與組織原有的代碼倉庫、Bug管理系統(tǒng)進行無縫對接，構(gòu)成金融機構(gòu)自己的軟件資產(chǎn)庫，并在開發(fā)運維階段不斷豐富，形成基于安全開發(fā)的軟件資產(chǎn)管理大數(shù)據(jù)平臺。當(dāng)新型漏洞爆發(fā)時，就能提供應(yīng)急響應(yīng)查詢，檢測業(yè)務(wù)系統(tǒng)中是否使用了存在漏洞的第三方組件，業(yè)務(wù)系統(tǒng)代碼中是否包含了漏洞代碼，并通過搜索技術(shù)實現(xiàn)源代碼層面的問題追溯，有效提升金融機構(gòu)安全開發(fā)管理能力。

軟件資產(chǎn)管理大數(shù)據(jù)平臺不僅滿足金融行業(yè)對于軟件資產(chǎn)的源代碼級別應(yīng)急響應(yīng)需求;同時滿足基于代碼搜索、自動化查詢等快速定位需求;甚至未來可采用機器學(xué)習(xí)等技術(shù)，將安全開發(fā)信息提取形成基于源代碼的安全威脅情報，精準(zhǔn)定位源代碼安全缺陷，提升金融業(yè)務(wù)應(yīng)用整體安全能力。

360企業(yè)安全集團代碼衛(wèi)士相關(guān)負責(zé)人表示，軟件資產(chǎn)是組成金融應(yīng)用系統(tǒng)的基礎(chǔ)，源代碼是軟件資產(chǎn)的核心機密，源代碼的安全問題至關(guān)重要。

據(jù)了解，360代碼衛(wèi)士是基于多年源代碼安全實踐經(jīng)驗的源代碼安全解決方案，涵蓋缺陷分析、合規(guī)檢測、溯源檢測三大檢測方向，分別解決軟件開發(fā)過程中的安全缺陷和漏洞問題、安全合規(guī)性問題、第三方代碼安全管控問題。在此基礎(chǔ)上，代碼衛(wèi)士產(chǎn)品的軟件安全開發(fā)管理平臺可與企業(yè)已有的軟件開發(fā)測試環(huán)境無縫對接，形成企業(yè)自有的軟件資產(chǎn)管理大數(shù)據(jù)平臺，幫助企業(yè)以最小代價建立軟件資產(chǎn)管理庫，構(gòu)筑基于金融業(yè)務(wù)應(yīng)用系統(tǒng)的“內(nèi)建安全”。

以“Apache Struts2漏洞”事件為例，通過軟件資產(chǎn)管理大數(shù)據(jù)平臺進行漏洞響應(yīng)，可以采用基于漏洞屬性的自動化查詢方式，快速生成統(tǒng)計報告，相比傳統(tǒng)的應(yīng)急響應(yīng)方式，在縮短響應(yīng)時間的同時又保證統(tǒng)計的全面性，幫助管理人員第一時間了解新型漏洞在組織中存在的數(shù)據(jù)和影響范圍，從源頭定位問題采取根治措施，盡可能降低漏洞帶來的風(fēng)險和損失。