交易無(wú)處不在,拿什么來(lái)守護(hù)支付安全?
如今,大到國(guó)際巨頭的資金往來(lái),小到日常每一筆網(wǎng)上銀行交易,金融IT的觸角已經(jīng)延伸到各個(gè)角落。我們?cè)谌粘I钪蓄l繁使用著網(wǎng)絡(luò)支付、電子銀行、移動(dòng)支付等金融工具,相應(yīng)的交易模式也在不斷變化中。永遠(yuǎn)在線的交易,自然也促使銀行業(yè)對(duì)軟件質(zhì)量的關(guān)注提升到了新高度。
作為一家品牌綜合影響力不斷擴(kuò)大的地方銀行,天津銀行自成立以來(lái),一直注重為用戶提供專業(yè)、安全、可靠的金融服務(wù)和產(chǎn)品。近年來(lái),他們更是通過(guò)部署HPE Fortify產(chǎn)品,進(jìn)一步完善了系統(tǒng)安全測(cè)試流程,大幅提升了測(cè)試團(tuán)隊(duì)查找軟件安全漏洞的效率,降低系統(tǒng)在實(shí)際運(yùn)行中可能存在的巨大風(fēng)險(xiǎn),從而真正為最終用戶提供安全周到的金融產(chǎn)品。
人工方式代碼審核費(fèi)時(shí)、費(fèi)力,時(shí)常漏檢
天津銀行在不斷創(chuàng)新金融產(chǎn)品和服務(wù)方式的同時(shí),持續(xù)強(qiáng)化信息科技安全建設(shè),他們采取多種安全措施確保軟件系統(tǒng)安全,如在辦公、生產(chǎn)、測(cè)試等不同區(qū)域設(shè)置防火墻、加密機(jī)制保證網(wǎng)絡(luò)層的安全,在新產(chǎn)品上線或系統(tǒng)升級(jí)時(shí)進(jìn)行功能、業(yè)務(wù)壓力測(cè)試,通過(guò)質(zhì)量管理工具降低風(fēng)險(xiǎn)防止代碼被改動(dòng),等等。
驗(yàn)收測(cè)試是天津銀行對(duì)應(yīng)用系統(tǒng)最主要的質(zhì)量控制環(huán)節(jié),而從安全角度對(duì)每款新軟件進(jìn)行全面的風(fēng)險(xiǎn)分析,并提出有針對(duì)性的整改方案也已經(jīng)成為產(chǎn)品穩(wěn)定上線前必不可少的一步,這項(xiàng)工作需要測(cè)試人員通過(guò)代碼審核來(lái)完成。
代碼審核是從安全角度對(duì)源代碼進(jìn)行分析,其關(guān)注點(diǎn)是有可能對(duì)軟件產(chǎn)生威脅的安全漏洞或架構(gòu)上的設(shè)計(jì)缺陷,而這些通常也是黑客攻擊利用的漏洞。天津銀行以前一直采用人工方式來(lái)進(jìn)行代碼安全檢測(cè),但這種方式會(huì)占用大量的時(shí)間和人力,并且審核的效率也不高,同時(shí),也不能將所有的系統(tǒng)進(jìn)行深入的檢測(cè)。另外,由于天津銀行外包商提供的產(chǎn)品,在標(biāo)準(zhǔn)、語(yǔ)言、操作系統(tǒng)版本等方面也各有差異,更加大了測(cè)試的任務(wù)量和復(fù)雜度漏檢、錯(cuò)檢的問(wèn)題常有發(fā)生,這對(duì)于人員精簡(jiǎn)的天津銀行軟件測(cè)試部門(mén)來(lái)講無(wú)疑是雪上加霜。
競(jìng)爭(zhēng)的激烈導(dǎo)致銀行業(yè)在快速推出新業(yè)務(wù)的同時(shí),除了要保持高效的服務(wù)能力之外,更要確保客戶交易安全。這種業(yè)務(wù)的快速變化迫使支撐它運(yùn)行的IT系統(tǒng)也要更敏捷。IT必須敏捷,但業(yè)務(wù)系統(tǒng)卻越做越復(fù)雜、越來(lái)越多,而銀行又要在有限的人員投入下保證質(zhì)量、防范風(fēng)險(xiǎn),挑戰(zhàn)和壓力越來(lái)越大。快速的去交付一個(gè)軟件服務(wù),純手工人工非自動(dòng)化的方式已然不能適應(yīng)業(yè)務(wù)的快速變化,所以天津銀行亟需要采用專業(yè)的自動(dòng)化測(cè)試工具,通過(guò)一組全面規(guī)則、測(cè)試機(jī)制在軟件開(kāi)發(fā)、測(cè)試過(guò)程中發(fā)現(xiàn)和管理軟件的安全隱患,進(jìn)而提升審核效率。
對(duì)于安全測(cè)試工具的選擇,天津銀行負(fù)責(zé)軟件開(kāi)發(fā)的許平副總經(jīng)理認(rèn)為非常有必要,她表示:“以前通過(guò)人工方式進(jìn)行代碼審核,雖然也能達(dá)到銀監(jiān)會(huì)審計(jì)要求的標(biāo)準(zhǔn),但其實(shí)心里沒(méi)有底,沒(méi)有統(tǒng)一標(biāo)準(zhǔn)、源代碼掃描不規(guī)范、細(xì)小錯(cuò)誤能不能發(fā)現(xiàn)等問(wèn)題都是現(xiàn)實(shí)存在的,軟件即使審計(jì)通過(guò)上線了,但在實(shí)際運(yùn)行過(guò)程中風(fēng)險(xiǎn)依然非常大。”許平希望能夠采用成熟的代碼檢測(cè)工具來(lái)進(jìn)一步完善系統(tǒng)測(cè)試流程,消除代碼潛在的風(fēng)險(xiǎn),提高代碼的質(zhì)量、可讀性和可維護(hù)性,保護(hù)銀行的應(yīng)用。
HPE Fortify,實(shí)現(xiàn)源代碼安全檢測(cè)
在選擇安全測(cè)試工具時(shí),天津銀行直接將目標(biāo)選定為HPE Fortify產(chǎn)品。因?yàn)槿澜缱畲蟮?0大銀行中的9家都選擇了HPE Fortify。HPE Fortify在業(yè)界擁有很好的用戶口碑,國(guó)內(nèi)許多金融企業(yè)也廣為應(yīng)用這款產(chǎn)品進(jìn)行軟件安全測(cè)試。HPE Fortify是一個(gè)靜態(tài)的軟件源代碼安全測(cè)試工具,擁有最全面的安全代碼規(guī)則包,支持市場(chǎng)上最流行、最多樣化的編程語(yǔ)言,安全漏洞檢查也最為徹底。成熟領(lǐng)先的產(chǎn)品、豐富的實(shí)施經(jīng)驗(yàn)、專業(yè)的服務(wù)團(tuán)隊(duì)讓天津銀行鎖定HPE。
如今的黑客攻擊主要利用軟件本身的安全漏洞,這些漏洞是由不良的軟件架構(gòu)和不安全的代碼產(chǎn)生的,而防御方案則非常明確——就是構(gòu)建安全的代碼。保證代碼安全沒(méi)有捷徑可走,必須在每一個(gè)開(kāi)發(fā)周期鞏固軟件安全性。開(kāi)發(fā)人員可利用HPE Fortify進(jìn)行強(qiáng)有力的源代碼分析;安全測(cè)試人員借助HPE Fortify使測(cè)試變得可量化,更易修復(fù)漏洞;評(píng)審人員能夠通過(guò)HPE Fortify從整個(gè)代碼中找出安全問(wèn)題,定下主次順序,然后解決問(wèn)題。
HPE Fortify完全自動(dòng)化的測(cè)試流程、多維度分析源代碼安全問(wèn)題、精確定位漏洞產(chǎn)生的全路徑,以及1分鐘約1萬(wàn)行的掃描速度,讓天津銀行開(kāi)發(fā)測(cè)試人員不僅在對(duì)源代碼進(jìn)行安全漏洞掃描時(shí)省時(shí)省力,還能獲知詳細(xì)的漏洞信息及相應(yīng)的修復(fù)建議,能夠在第一時(shí)間與應(yīng)用開(kāi)發(fā)外包團(tuán)隊(duì)溝通Bug所在,及時(shí)修正漏洞。
HPE Fortify通過(guò)內(nèi)置的五大主要分析引擎:數(shù)據(jù)流、語(yǔ)義、結(jié)構(gòu)、控制流和配置流對(duì)應(yīng)用軟件的源代碼進(jìn)行靜態(tài)的分析,在分析的過(guò)程中與它特有的軟件安全漏洞規(guī)則集進(jìn)行全面地匹配、查找,從而將源代碼中存在的安全漏洞掃描出來(lái)。HPE Fortify安全代碼規(guī)則多達(dá)50000多條,規(guī)則內(nèi)容涉及ASP.NET,C/C++,C#,Java,XML,VB.NET等多種語(yǔ)言,并且能夠跨層、跨語(yǔ)言地分析代碼的漏洞的產(chǎn)生,而上述這些也恰恰是天津銀行目前系統(tǒng)架構(gòu)所采用的多種語(yǔ)言環(huán)境,而HPE Fortify與世界同步的業(yè)界最權(quán)威的安全規(guī)則庫(kù),則確保了天津銀行能夠防范最新型的安全漏洞,在軟件形成產(chǎn)品成本前將軟件安全風(fēng)險(xiǎn)降到最低。
整合業(yè)務(wù)及服務(wù),提升園區(qū)招商吸引力
談到方案實(shí)施的好處,許平認(rèn)為:代碼審核更規(guī)范、更精確,原來(lái)人工方式無(wú)法監(jiān)控到內(nèi)存泄露問(wèn)題,更不能定位到底是哪行代碼出現(xiàn)內(nèi)存泄露,黑客有可能會(huì)利用漏洞來(lái)影響應(yīng)用或大幅度降低應(yīng)用的性能,而現(xiàn)在,這一問(wèn)題得到解決,有效降低新產(chǎn)品上線失敗的風(fēng)險(xiǎn),加速了對(duì)高質(zhì)量應(yīng)用的部署。而且通過(guò)減少漏洞被利用的頻率,還有助于減少災(zāi)難恢復(fù)的成本。具體來(lái)講還包括:
- 提升代碼審核效率;
- 代碼審核范圍涉及全部應(yīng)用;
- 安全檢測(cè)標(biāo)準(zhǔn)化、制度化;
- 測(cè)試結(jié)果更規(guī)范、更全面;
同時(shí),許平還希望搭建起一個(gè)測(cè)試團(tuán)隊(duì)高效協(xié)同平臺(tái),以促進(jìn)銀行測(cè)試團(tuán)隊(duì)和項(xiàng)目開(kāi)發(fā)人員間全產(chǎn)品生命周期內(nèi)的協(xié)作,并且能夠與銀行測(cè)試人員同步漏洞檢測(cè),消除測(cè)試版本部署的隨意性以及環(huán)境沖突的不可預(yù)見(jiàn)性,減少溝通時(shí)間,推動(dòng)開(kāi)發(fā)質(zhì)量的提高,加速新產(chǎn)品上線。
為了防范風(fēng)險(xiǎn),天津銀行還研究制定了信息科技風(fēng)險(xiǎn)管理制度體系,完成了信息科技系統(tǒng)“兩地三中心”的災(zāi)備體系建設(shè),這一系列舉措將使天津銀行的信息科技支撐能力進(jìn)一步增強(qiáng)。
“部署HPE Fortify方案后,天津銀行對(duì)內(nèi)網(wǎng)、外網(wǎng)中所有新上線應(yīng)用全部進(jìn)行源代碼安全測(cè)試,極大提升了軟件性能,能夠滿足監(jiān)管要求,保護(hù)系統(tǒng)不會(huì)受到惡意代碼攻擊,大幅降低企業(yè)風(fēng)險(xiǎn)”,許平最后總結(jié)道。
