中国银行软件中心主任工程师 刘述忠
文 | 刘述忠
软件系统研发是银行应用系统的制造过程和金融服务产品的生产过程,也是金融信息化的核心环节。信息安全的约束和管理作为金融服务的重要保障,也贯穿于软件研发过程的始终。一个合格的应用系统,必须具备良好的信息安全保障能力,既能保障自身的安全,也能保障用户的安全。金融服务产品有了安全的保障,才能供用户放心使用,合法保护用户的切身利益。
中国银行软件中心(以下简称“软件中心”)在软件系统研发的长期实践中,对信息安全的认识是一个不断深化、不断完善的过程。经过十几年的发展,伴随着应用系统的研发实践,信息安全体系的建设也日趋成熟,为中国银行信息系统建设和金融服务提供了重要的安全保障。
在实际工作中,软件中心始终坚持“安全贯穿于系统研发的全生命周期”思想,并以此为基础,不断强化、完善信息安全管理体系的建设,取得了良好的实践效果。
一、软件中心信息安全管理体系
软件中心通过多年的探索积累,形成了一套基于矩阵式管理的组织架构,而信息安全管理也在矩阵式管理体系中以多种维度体现。
1.矩阵式管理模式
矩阵式管理架构中横向包括开发管理、测试管理、运维管理等;纵向包括需求与技术管理、质量管理、项目管理等。
横向管理中,开发管理由总部7个开发部、上海分中心和深圳分中心各2个开发部组成开发群组;测试管理由总部2个测试部、上海分中心和深圳分中心各1个测试部组成测试群组;运维管理由总部4个应用维护部组成。
纵向管理中,总部主要负责应用系统的技术管理和需求管理;质量管理部主要负责质量管理、测试管理;项目管理部主要负责生产任务管理、项目过程管理、维护过程管理。两个分中心的工程管理部同时承担条线管理职能在本地的落地。
此外,软件中心工程技术委员会发挥顶层设计的作用,沟通所有技术条线,统筹信息安全管理。
在上述管理体系中,信息安全管理融入其中。各条线管理、各实施部门均按照分工范围和职责,对涉及的任务进行信息安全方面的管理与实施,保障信息安全要求在全流程中得以实现。
2.安全开发生命周期管理
信息安全贯穿软件研发的全生命周期:在需求阶段包括安全需求分析、攻击分析等;在设计阶段包括安全设计原则、安全设计方案等;在实施阶段包括开发安全规范、静态分析等;在测试阶段包括安全基线测试、模糊测试、渗透测试等;在发布阶段包括应急响应、系统监控等。
此外,资源管理包括外包环境管理、信息安全环境保障等;配套安全管理措施包括信息安全教育、安全技术讲解、安全测试原理研究、持续安全学习等。
3.信息安全人才培养
近年来,软件中心不断加强信息安全技术队伍建设和人才培养。在信息安全的知识普及、技术培训、安全技术研究、资质认证、技术交流等方面开展了大量工作。截至目前,信息安全领域持证人员达到24人。
同时,定期发布关于信息安全知识和常见问题的“安全小助手”,目前已发布40期,聚沙成塔,日积月累推动软件中心基础安全建设,分享安全知识和安全态势,强化全员安全意识。加强与外部权威安全机构的交流,推动信息安全技术的前瞻性研究。
4.信息安全体系建设
为了更好地提升信息安全管理水平,软件中心经过准备,于2015年引入ISO27001信息安全标准,对软件研发的全流程进行分析、改进、完善,全面提升安全管理的规范性,并将于2016年完成认证。
该项目引入专业咨询公司,对标国际标准,对软件中心现有的质量管理体系做了全面梳理、分析,以信息安全管理的薄弱环节为重要突破点,基于集中管控、分领域实施的原则,采用“钉钉子”方式,将ISO27001的管理要求融入现有的质量管理体系中,打造满足国际标准并适用于软件中心实际的新型管理体系框架。
ISO27001标准体系的具体建设内容包括:优化管理体系顶层设计,建立软件中心信息安全整体策略和检查评价方法,完善信息安全管理基础流程,优化软件工程过程中的信息安全风险控制措施,提升外包风险管控能力,提升内部IT安全管控和服务能力,提升软件中心监管合规水平,提升审计能力等。
二、信息安全管理实践
软件中心在信息安全体系建设中,坚持“综合治理”的理念,既注重信息安全的管理体系建设,也注重技术与规范体系建设,取得了较好的实践效果。“综合治理”以管理和技术为两条主线,技术为主体,管理为保障,互相配合,实现保障系统安全的目标。
1.信息安全管理
一是安全加固:全面建立产品安全性基线301个;二是安全测试:在多个投产批次中加强产品安全性验证,提前识别安全隐患;三是完善研究工具:完成白盒安全测试工具、渗透测试工具引入。
四是建立机制:建立安全漏洞处置机制,对高风险漏洞快速响应,妥善处理;五是数据安全:重点加强对借用生产数据等敏感信息的保护,严格落实数据脱敏与巡检机制;六是重大事件防范:重大活动、事件期间,成功防范网络攻击与安全威胁。
2.信息安全技术与规范
完善应用开发相关的技术规范和流程,制定应用安全开发指引;针对各应用系统建立安全基线,保障应用系统安全;制定数据脱敏规范;开展国产密码算法在商业银行领域的应用研究,完成网银系统国密算法改造国家试点项目;制定密码密钥专题,指导批次投产,保障生产稳定运营;构建可复用的数据加解密组件和密钥保护组件。
3.信息安全测试
预研白盒安全测试工具,并推广黑盒安全测试工具;针对SQL注入和XSS跨站脚本两大常见高危漏洞开展专项检查;针对重点互联网产品开展批次安全测试。
三、软件中心安全管理的后续工作
根据软件中心的发展计划,新成立西安、合肥两个分中心,软件中心将进入一个新的发展阶段,同时,也面临更多的挑战和风险。
随着人员规模增长、物理环境扩张、业务范围拓展、监管合规要求提高等,软件中心将进一步完善信息安全管理体系,强化信息安全管控能力,为业务发展、系统建设和信息系统安全可靠运行提供更好的保障。后续,软件中心将在以下几个方面提前防范,控制风险。
1.完善信息安全管理体系
进一步加强信息安全的管理能力,强化并进一步完善集中管控的信息安全管理机制,强化全员信息安全意识,做好信息安全的范围、人员全覆盖,完善管理与技术并重的信息安全综合治理体系,实现ISO27001标准体系的平稳运行。
2.完善信息安全技术规范
进一步完善软件研发全周期的信息安全规范,在需求分析、设计、开发、测试、应用、系统运维等环节,建立严格的信息安全规范约束,并加强信息安全技术研究与应用,为应用系统的可靠运行和业务服务提供更好的信息安全保障。
3.加强外包安全管控
近年来,从行业经验看,外包项目在质量、实施周期、安全性、人员稳定性等方面存在较大风险。国家有关部门和行业监管机构也加强了外包管理的风险控制要求。软件中心将进一步采取措施,逐步完成关键外包产品的技术转移,并加强安全管控,从外包商务合同、外包人员使用、外包人员培训、外包人员桌面安全、外包系统安全规范等方面全面加强管理,做好安全防范。
4.做好分中心建设的信息安全管理
在西安、合肥分中心的建设中,按照总部信息安全的统一要求和总行的各项管理规定,在机房建设、网络环境、权限管理、安全认证、桌面安全、病毒防范、信息资产安全等方面,进行全面的信息安全管理。加强员工信息安全意识教育和技术培训,提高信息安全处理能力,降低安全风险。
