金融机构应用系统安全的发展趋势主要围绕新技术的应用、多层次的安全防御 体系以及合作共享方面。
首先,新技术的应用将为金融机构应用系统安全带来新的机遇和挑战。例如, 人工智能(AI)、区块链、云计算和物联网等新兴技术为构建更安全、智能和灵活 的应用系统提供了可能。金融机构可以利用 AI 技术进行异常检测、威胁分析和自动化响应,提高攻击检测和应对的效率;区块链技术可以提供去中心化的安全存储 和验证,增强数据的安全性和完整性。 其次,金融机构应逐步构建多层次的安全防御体系。传统的单一防护已不足以 应对现代网络威胁,需要采取更多层次的防御措施,包括网络边界防御、内部网络 安全、系统和应用安全、数据加密和访问控制等。金融机构应该采用防火墙、入侵 检测和预防系统(IDS/IPS)、漏洞管理系统、安全信息与事件管理系统(SIEM) 等技术来建立综合性的安全防护体系。
此外,金融机构应当加强与各方的合作共享。金融行业应建立起信息共享机制, 促进金融机构之间和与其他行业的合作,增强对网络威胁的感知和应对能力。同时, 金融机构应与安全研究机构、监管机构和供应商等建立起长期稳定的合作关系,共 同应对安全挑战,分享安全威胁情报和最佳实践。
应用系统安全测试体系建设是金融机构服务安全的重要保障。在信息安全风险 日益严峻的情况下,必须不断加强。调研情况可以看出,大部分金融机构都开始了 相关工作,并取得了较好的效果。但同时也可看出,安全测试的规范性还需要进一 步加强。例如,应用系统安全测试的流程、职责分工、测试环境、应用场景、结果 评判、整体应用系统安全评估、安全测试能力的评估等,都需要进一步规范化,建 立起相应的管理、评价、改进机制,并参考同业先进经验,取长补短,不断提升自 身的能力,保证应用系统安全性在投入应用前受到严格的检验,从而得到最大程度 的保障。
应用系统的安全关系到软件投产后能否提供安全的服务、避免重大的信息安全 风险。因此,在应用系统设计、开发及投产上线需要充分考虑安全性要求,仔细分 析、仔细设计、严格测试,保证交付一个合格的应用系统。因此,金融机构应该在 应用系统的开发中,对涉及安全性的各个环节进行整体分析、设计,并把这些安全 性要求融入系统的需求、设计、测试、交付等环节,从而系统性地防范安全风险。 为了做到上述要求,系统开发部门还需要有相应的考核机制以及改进机制,以促进 安全开发能力的持续提升。
对于应用系统的安全性,很多机构进行了深入研究,也提出了许多可供参考的 标准。金融机构自身也进行了深入探讨。如何构建更加严密的风险防控机制,最大 限度提高应用系统的安全性,使之可以规范化并不断改进提升,是各机构需要仔细 探讨的问题。为此,金融机构应该在自身实践的基础上,吸收业界先进实践经验并 与相关标准规范对标,制定自己的应用系统安全测试标准,以此指导自身开展规范 性的安全测试,并在系统投产后进行测试结果的评估及反馈,对测试标准及相关机 制进行持续改进。由于业务场景的变化、技术进步的推动,应用系统的安全性也会 随之变化,因此对测试标准还需要进行定期的检查和更新,以保证安全性的不断提 升。
应用系统安全测试能力的提升,不仅在于技术手段,更重要的是安全测试和管 理的人才队伍建设。从调研情况看,各金融机构对此十分重视,进行了人才培养相 应的制度建设、实践训练,从体制、机制上推进人才培养工作。但是也看到,有些机构由于资金投入、重视程度等多方面原因,导致应用系统安全测试队伍建设存在 诸多问题,如缺乏专门的安全测试人员或安全测试人员不足难以开展较为全面的安 全测试等。这些问题都需要努力克服,机构要为安全测试队伍的建设下大力气,给 测试人员创造条件提升能力,从体制机制上提升应用系统安全测试的能力,从而保 证应用系统的安全性。
应用系统的安全是一个贯穿整个软件生命周期(Software Development Life Cycle,SDLC)的要求,任何一个环节的疏漏都可能带来不可挽回的损失。充分 重视应用系统的安全,建立覆盖整个软件生命周期的科学规范的设计、开发、测试、 投产、维护流程,是保证应用系统整体安全性必不可少的体制、机制保障。金融机 构由于其经营服务的特点,对应用系统安全性的要求应更加严格,更加规范。为此, 金融机构应从应用系统的整体视角出发,对上述提到的应用系统生命周期全过程, 结合业务应用场景、技术发展背景、自身机构特点,仔细研究,建立充分考虑安全 要求、降低信息科技风险的应用系统全生命周期的开发投产维护等管理流程,从生 产、维护全过程保证应用系统的安全性。
