首页 > 其他分享 >头部证券公司安全体系搭建实战讲解—开源网安S-SDLC平台助力金融科技安全发展

头部证券公司安全体系搭建实战讲解—开源网安S-SDLC平台助力金融科技安全发展

时间:2023-05-12 20:33:04浏览次数:43  
标签:平台 任务 安全 开源 SDLC 网安

数字化时代背景下,新兴技术广泛应用导致软件安全隐患不断扩大。而金融行业由于项目周期长、业务规模大、应用数量多、合规监管严、内外合作多等特性,进一步加重了安全风险。


与此同时,《等保2.0》、《网络安全法》等国家政策的发布,自上而下推动信息安全发展,对金融机构的安全防护提出更高的要求。证券期货行业信息安全保障协调小组、中国证监会信息中心等机构,都对证券行业提出了网络信息安全的要求并出台有关办法,要求落实安全事故处理、监管与主体责任。


在此背景下,各金融机构积极响应政策要求,开始搭建全方位的软件安全体系,某头部证券公司率先实施S-SDLC解决方案。该证券公司总部位于深圳,在全国各地设立了50多家分公司,为全牌照综合类券商,多项业务排名进入全国前列。该证券公司通过引入开源网安威胁建模模型+安全基线库+安全合规库+安全场景库+开源网安S-SDLC平台,使安全能力在整个业务生命周期中实现更为彻底的左移。


在项目立项初期,针对客户的具体业务需求,开源网安S-SDLC平台生成相应的安全架构任务、安全研发任务、安全测试任务,并提供具体的代码示例、测试用例等,且在需求、研发、测试阶段设置相应的安全卡点,实现整个开发过程的安全活动全流程监管,提高项目的威胁发现能力和安全风险治理能力,提升系统的整体健壮性。






项目难点及问题 



开源网安S-SDLC平台,对于该公司整体的安全中台及安全治理体系的建设,是基础,更是底座。主要帮助客户解决如下难点及问题:


01

架构及设计阶段的安全风险难以把控


传统安全防护,往往是上线前的人工测试,或者上线后的安全运营工作,无法应对架构阶段及设计阶段的安全风险及问题。通过S-SDLC平台的威胁建模,在业务需求创建之初,就生成相应的安全架构任务、安全设计任务、安全研发任务、安全测试任务等,实现真正的安全左移。


02

安全问题难以追踪溯源


安全检测工具的加入,往往带来流程和人员管理的难题。例如,由安全人员发起的安全需求,往往被研发视为非业务需求,难以受到真正重视。安全任务是否实现,安全漏洞是否得到修复,对于这些问题的追踪,极大影响团队效率。


03

集团内部缺乏安全知识库


丰富的安全知识库,是企业重要的数字资产,也是实现全流程安全活动管控的基础。缺乏安全知识库,无法基于威胁建模,自动生成安全任务。




实践与落地



开源网安深入了解该证券公司的业务需求与现状,为客户提供了一套S-SDLC平台。通过合规库、场景库、威胁库、行业库,帮助客户快速实现了安全知识库的可视化管理。该平台通过情景式问卷、设置安全基线、安全卡点等关键活动,实现了开发过程全流程安全活动管控,提高了安全团队对安全需求、安全任务的追踪、验证和统一管理,提高了团队的工作效率,降低后期修复的成本,保障系统整体健壮性。


头部证券公司安全体系搭建实战讲解—开源网安S-SDLC平台助力金融科技安全发展_基线




成果与价值



01

将安全融入研发管理体系


S-SDLC平台,将安全需求、安全编码任务、安全测试任务,自动推送至客户内部的研发管理平台,实现了在不改变现有研发流程的情况下,将安全引入现有流程与平台中,并且完成全流程安全活动的集中管控。

02

统一的线上安全评审和安全追踪


平台提供了可视化的安全评审,在需求、开发、测试阶段,可以设置特定的安全基线和安全控制门,当编码和测试不满足基线要求时,不允许上线发布,以此保障应用上线前安全、可靠。


03

满足证券行业政策法规监管要求


通过SDL全体系的建设,实现了持续合规和安全的应对能力,符合相关监管文件的趋势和要求。

 

近年来,金融科技在证券行业发挥着越来越重要的作用,运用信息科技赋能业务发展,已成为行业共识。开源网安通过S-SDLC平台的安全左移,助力客户提升持续性安全合规的能力,将政策要求与业务落地相结合,推动金融信息安全对抗高级威胁,在供应链安全风险治理中,积极构建纵深安全防护体系。




开源网安SDLC平台,是基于微软经典的SDL模式完全自研的、集工具+服务+平台于一体的应用安全解决方案。通过威胁建模、安全检测、安全基线卡点,实现从立项、设计、编码、测试、上线阶段的全流程安全管控。用户只需要进行轻量级的情景问卷,自动生成安全设计任务、安全研发任务、安全测试任务,并提供安全代码示例、安全测试用例等,规范安全管理过程,提升团队整体安全能力。


在不同阶段,开源网安SDLC平台提供资产发现、IAST、SAST等能力。平台包含:开发过程安全活动全流程管控、漏洞统一闭环管理、工具管理与编排、知识库管理等功能。根据漏洞分布情况,确定研发人员的知识盲区与短板,提供针对性的安全培训。以流程、工具、培训助力企业提升安全治理能力。

标签:平台,任务,安全,开源,SDLC,网安
From: https://blog.51cto.com/u_15891519/6271803

相关文章

  • 开源网安入选安全牛「全景图」八项细分领域,引领软件供应链安全发展
    安全牛第十版《网络安全行业全景图》正式发布(以下简称”全景图“),共收录456家国内网络安全企业和相关行业机构,细分领域共收录3180项。开源网安成功入选RASP、开发流程安全管控、DevSecOps、静态安全测试、动态/模糊安全测试、交互式安全测试、软件成分分析、安全意识与培训8项细分领......
  • linux 系统安全和应用
    目录一、系统安全原因:1.系统数据想要保护,否则会造成数据丢失2.系统安全是产品上线的必要要求3.系统安全可以保护系统,避免受到攻击4.系统安全可以保护数据隐私,避免形象受损 二、账号安全1.锁定锁定文件chattr+i文件(可以多个......
  • 转resin安全配置
    1.版本:应该从Resin官方提供的下载页面下载最新稳定版本,注意不要下载beta版本。Resin官网地址为:http://www.caucho.com/download/2.删除默认页面:Resin安装好后,存在默认的示例页面、文档及管理页面:需要删除以下文件及目录:%resin%/webapps/ROOT/index.jsp%resin%/doc/r......
  • 迅为LS2K1000核心板智能电力安全监控解决方案
      迅为2K1000开发析采用龙芯2K1000处理器是一款高性能处理器,适用于智能电力安全监控系统。以下是基于迅为2K1000核心板的智能电力安全监控解决方案的介绍:  实时监控与数据采集:借助龙芯2K1000处理器的高性能计算能力和实时数据处理能力,结合传感器网络和监控设备,实现对电......
  • VMware Aria Automation Config 8.12 - Aria Automation 的软件配置管理与安全性
    VMwareAriaAutomationConfig8.12-AriaAutomation的软件配置管理与安全性请访问原文链接:https://sysin.org/blog/vmware-aria-automation-config/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.orgAriaAutomation的软件配置管理与安全性AriaAutomationConfi......
  • Acunetix 15.6 (Linux, Windows) 发布 - Web 应用程序安全测试
    Acunetix15.6(Linux,Windows)-Web应用程序安全测试请访问原文链接:https://sysin.org/blog/acunetix-15/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.orgAcunetix漏洞扫描器,管理您的网络安全。使用Acunetix提高您的Web应用程序安全性Acunetix不仅仅是一......
  • Invicti v23.5 for Windows 发布 - 企业应用安全测试
    Invictiv23.5forWindows-企业应用安全测试InvictiStandard11May2023v23.5.0.40516请访问原文链接:https://sysin.org/blog/invicti/,查看最新版。原创作品,转载请保留出处。作者主页:sysin.orgInvicti是一种自动化但完全可配置的Web应用程序安全扫描程序,使您能够扫......
  • CentOS7 中 semanage命令的安装(SELinux安全子系统)
    SELinux安全子系统SELinux(Security-EnhancedLinux)是美国国家安全局在Linux开源社区的帮助下开发的一个强制访问控制(MAC,MandatoryAccessControl)的安全子系统。RHEL7系统使用SELinux技术的目的是为了让各个服务进程都受到约束,使其仅获取到本应获取的资源。SELinux服务有三种配......
  • c#中线程安全-记录
    在C#中,值类型的数据不会产生线程不安全。这是因为值类型的数据在内存中是按值存储的,每个线程都有自己的栈空间,因此不会出现多个线程同时访问同一个内存地址的情况。而引用类型的数据则是按引用存储的,多个线程可能会同时访问同一个内存地址,从而导致线程不安全的问题。为了避免这种......
  • 自用nginx配置(常见安全配置,http转https,http和https混合请求,解决http host头攻击漏洞)
    自用nginx配置(常见安全配置,http转https,http和https混合请求,解决httphost头攻击漏洞)#usernobody;worker_processes1;#error_loglogs/error.log;#error_loglogs/error.lognotice;#error_loglogs/error.loginfo;#pidlogs/nginx.pid;events{w......