■记者李茜
互联网时代,金融业遇到的网络攻击层出不穷。近年来,ATM攻击、DDoS攻击、勒索软件到APT攻击等,金融行业似乎永远是黑客最感兴趣的攻击对象之一。对此,业内专家表示,伴随着网络科技的越来越成熟,维持应用程序安全已经成为一项有挑战性的任务。金融服务机构受到高度的监管,应用程序运行环境复杂,因此应尽早部署安全系统及在SDLC早期(即“左移”)制定多重安全举措,为日常运营和客户资产提供坚实的软件安全保障。
新思科技软件质量与安全部门管理顾问Olli Jarva表示:“金融服务机构经常部署复杂的应用程序,与采用不同语言的分布式地理信息系统连接。它们通过多种协议进行通信,其中一些使用的是多个平台提供的免费开源软件。”
事实上,这种复杂性使金融服务机构的网络面临更多漏洞。更糟糕的是,市场压力迫使软件行业要更快交付产品。在急于完成一个软件时,安全流程极有可能就被忽视了。
OlliJarva表示,为了防患于未然,金融机构应未雨绸缪,实现设立多个防火墙,保护机构自身运作、应用程序及客户资产。
比如,构建软件安全架构。软件完整性指软件质量与安全,是衡量一款软件是否卓越的关键。在每款应用开发之初,安全专家和软件架构师应该紧密合作,以开发高度整合的、简化的软件安全架构。风险分析应该在软件开发早期阶段进行——这通常被称为“左移”。
“当所有安全决策都通过一个小型、集中式内核运行时,它不太可能会省略某个安全决策(例如授权)。开发团队可以放心地去构建一个安全的应用程序,因为代码在默认情况下从一开始就是安全的。”OlliJarva指出。
值得注意的是,金融机构不仅要在网络安全硬件上下功夫,相关专业人员与培训计划也亟待提升日程。
分析人士表示,软件是一个团队协作开发的结果。开发过程中的所有参与者都应在安全方面获得充分的信息和培训,从而在整个软件开发生命周期(SDLC)推动安全计划进展。推行安全计划不能只靠软件开发人员,还需要了解常见漏洞和核心安全概念的质量保证(QA)团队和项目经理。QA团队应该能够进行基本的安全测试工作。
“创造具有安全意识的环境和培养这样的团队,意味着在SDLC早期就能发现安全问题,并且在其成为沉重负担前解决掉。”OlliJarva强调。 (责任编辑:admin) |