证券行业安全测试管理平台建设实践.pdf

证券行业安全测试管理平台建设实践 房慧丽 张旭 / 上交所技术有限责任公司 质量保障部 摘要：本文分析了证券行业信息系统安全开发生命周期管理及实践中的问题与挑战，针对安 全检测滞后、漏洞管理分散等普遍问题，结合 DevSecOps 理论及技术，设计并实现了集自 动化安全测试与平台化漏洞管理为一体的应用程序安全测试编排工具，即安全测试管理平 台，以期为信息系统解决安全漏洞、降低系统风险提供有力工具支撑。 关键字：证券行业 信息系统安全开发生命周期 DevSecOps 安全测试管理平台 一、 安全测试管理平台建设背景 （一）证券行业信息安全态势简述 近年来，随着证券行业快速发展、业务不断创新，证券行业对信息系统的依赖程度日益加 深。但发展的同时，由于承载大量敏感数据、系统架构复杂等特点，证券行业信息系统也面 临着巨大的安全威胁与挑战。并且随着移动互联网、大数据、云计算等新技术在证券行业的 应用推广，证券行业信息系统的攻击面及威胁进一步扩展。除此之外，国家及行业内部相应 的监管要求也进一步提高：在《网络安全法》中明确规定，建设关键信息基础设施应当确保 其具有支持业务稳定、持续运行的性能，并能保证安全技术措施同步规划、同步建设、同步 使用；习总书记也指出 “金融、能源、电力、通信、交通等领域的关键信息基础设施是经济 社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标”。因此，保 障信息系统安全运行不仅是证券行业机构自身业务发展及竞争需求，也是其应尽的法律业 务。 根据国内知名安全媒体 FreeBuf （漏洞盒子）发布的《2017 金融行业应用安全态势年度报 告》[1]，证券行业的应用安全往往是用户更为关心的，报告中基于大数据统计出证券行业 中出现的主要漏洞类型主要集中在一些常见的应用层漏洞上，且接近 50%的漏洞属于非常 容易被利用的范围，如图 1 及图 2 中所示。因此，在信息系统开发生命周期中通过各环节 的安全活动减少系统应用层漏洞，依然是证券行业机构信息安全工作的重点之一。 图 1 证券行业漏洞类型 图 2 证券行业漏洞利用难易程度 （二）安全开发生命周期（SDL）理论 为了帮助非安全专业的开发人员构建更安全的软件、解决安全合规要求、同时降低开发成 本，微软提出了安全开发生命周期（SDL）即Security Development Lifecycle，SDL 的 核心理念就是将安全考虑集成在软件开发的每一个阶段:安全培训、需求分析、设计、编 码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动，以减 少软件中漏洞的数量并将安全缺陷降低到最小程度。安全开发生命周期 （SDL）是侧重于 软件开发的安全保证过程，旨在开发出安全的软件应用，安全活动简图如图 3 所示[2]。 图 3 SDL 安全活动简图 在完整的安全开发生命周期中，产品研发阶段，即需求分析、设计、编码、测试阶段，涉及 的安全活动着力于在产品部署上线前消除安全风险、修复安全漏洞。产品研发阶段核心关键 安全活动实践主要包括：安全需求确认、安全编码、源代码安全测试、开源组件安全测试、 动态应用安全测试、静态应用安全测试、交互应用安全测试等等。 （三）安全开发生命周期实践中的问题 在信息系统安全开发生命周期实践的过程中，由于大部分证券行业机构因安全资源有限、开 发任务紧急繁重等原因，产品研发阶段关键安全活动在开展时常常遇到各种问题和阻碍： 1、安全风险发现滞后，问题整改成本较高 由于在信息系统研发过程中，研发人员往往对安全需求、安全设计、安全测试重视及投入不 足，或者缺乏相应的安全检测工具及技能；而安全人员往往在系统上线前介入到系统的安全 检测工作中，此时信息系统的代码开发、功能验证等工作均已完成，在这个节点发现的安全 问题已经较为滞后，安全问题整改需要重新进行相应的编码与测试工作，可能会影响系统最 终上线进度，问题整改成本较高。 2、安全漏洞管理机制不成熟 不同于互联网企业，相当部分的证券行业机构还停留在安全漏洞管理的初级阶段，通常只有 很少的漏洞管理流程或程序，且自动化的程度低，漏洞管理流程数据不可量化。不成熟的安 全漏洞管理不仅不利于安全团队清晰掌控整体的安全状况，不便于开展公司级别的安全威胁 与风险分析；同时也不利于向研发团队提供安全质量度量指标，无法加入信息系统整体的质 量门限进行统一的监控与提升。 3、安全测试工具与现有研发工具、规范、流程脱节 安全测试中所需的工具往往较独立，不是天然集成在研发工具链中，且在常规的研发流程中 也属于单独的一环，期望研发人员能在系统研发测试的工作中使用多种专业工具来参与安全