信息安全管理从软件开发开始

自从软件诞生起，其安全性就一直是一个不可回避的问题。“如何开发出具有高安全性的软件”，与“如何利用软件漏洞进行攻击”，安全人员和黑客就是在这样不断的较量中共同推动着软结合件行业的发展。在银行业，软件的安全性能尤为重要。设想如果2011年末的互联网信息泄露事件发生在某家银行，其影响和损失将是如何的触目惊心。因而能否开发出安全、可靠、高效的软件，对提升客户体验，增强银行的核心竞争力，乃至确保银行的生存发展等都至关重要。在我国，银行软件主要由各行自主组织开发。如何加强软件开发中的安全管理，提升软件的安全设计水平，是每家银行都要面临的课题。

我国银行软件开发中的安全管理现状
        1．在信息科技风险治理的驱动下不断提高安全管理水平
        目前，我国主要商业银行已经建立起公司治理框架，根据《巴塞尔新资本协议》强化了全面的风险管理。从总行到分支机构，普遍健全了安全管理组织，颁布了一系列信息安全制度和规范。在信息科技风险治理的驱动下，商业银行软件开发得到进一步规范，提高了软件开发的安全管理水平。

        2．在业务连续性要求的驱动下不断提高安全性能
        银行业在国民经济中的战略定位和服务敏感性，决定了其业务连续性要求非常之高。近几年，信息科技在银行的经营和发展中发挥出越来越重要的作用，软件也成为保障银行业务连续性的重要一环。为此，银行业十分重视软件的安全性能，广泛采取了数字签名、信息加密、身份鉴别、访问控制等诸多安全技术，重视软件压力测试和渗透测试，并结合网络、系统方面的安全措施，构建多层防御体系，安全保障的进步，有目共睹。

        3．在内外部监管要求的驱动下不断进行安全整改
        我国历来十分重视信息安全工作，已经建立了包括上百个标准在内的信息安全标准体系。银监会颁布的《商业银行信息科技风险管理指引》和公安部推行的“信息系统安全等级保护”工作对信息系统的安全开发和管理均提出了明确要求，是银行软件开发中必须遵守的安全准则。同时，商业银行的信息化工作持续接受行内外的双重检查、审计、风险评估等活动，当中发现的问题均须进行整改，也促使了商业银行不断提高和改进软件安全水平。

存在的问题和不足
        银行软件的开发不仅要有强大的IT团队，还需要将IT和金融完美结合。由于银行软件具有种类繁多、复杂度高、技术更新快等特点，这就决定了银行软件的开发需要采用不同的语言、平台或架构，以满足不同的需求，这也增加了开发过程中的安全管理难度。对比国际信息安全发展趋势，以及优秀软件开发企业的安全管理实践，就不难发现差距。

        1．安全管理流程和机制不健全
        国内银行软件开发大多以信息化项目的形式进行，拥有完整的项目管理流程，但流程中涉及安全管理的内容较少。主要表现在缺少安全管理角色，项目全生命周期中的安全管理工作不明确，需求、设计、测试等阶段的安全评审机制缺失等等。

        2．安全需求分析不充分
        银行的软件开发需求大多来自业务部门，但业务部门不会提出像密码复杂度、数据加密等安全方面的技术性需求：同样，信息系统的运维部门有许多监控方面的需求，这些都必须在项目初始阶段就加以考虑。而目前的开发对业务和功能性都很重视，却往往忽视了安全性。

        3．安全设计、开发不规范
        为了满足信息系统的管理需要，现有应用软件一般都有身份鉴别、访问控制等安全设计，但其安全水平良莠不齐，不成体系，有待规范指导。此外，开发人员依据的编程规范对安全编码的要求较少，所编写代码仍然可能存在漏洞。

        4．安全技术不能复用
        银行软件有一些其性的安全设计，如用户登录、数据加密、日志审计等，如果每个项目组都自行开发，不仅造成资源浪费，还会由于设计中的某些技术难点，影响项目整体进度。

        5．安全监管要求和标准难落地
        内外部监管部门历次信息安全检查、审计都会提出一些问题，发现的，整改了；新开发的，没有经过检查、审计的，问题可能仍旧存在。此外，信息安全标准并非完全适用于每个行业，如等级保护标准，要想真正落地，还需要根据自身实际情况进行采纳。

 1 2 3 下一页 尾页

扫码即可手机
阅读转发此文