2021年,由中国人民银行、中央网信办等五部门印发的《关于规范金融业开源技术应用与发展的意见》中的第十一条提出了金融机构应制定应急处置预案的意见:
“支持金融机构制定应急处置预案,应对开源技术潜在漏洞、后门及闭源、停服等突发情况。及时更新应急处置预案,定期开展演练,保证应急处置预案的有效性。”
如何更好地解读并落实这条意见呢?实际上,这条指导意见是针对于如何更好地处理漏洞问题,防范信息安全风险而提出的。信通院也就此条意见作出了深层次解读:“信息安全风险,安全漏洞问题最为显著,金融机构宜在引入软件前应进行安全漏洞扫描并出具安全漏洞检测报告,在软件使用过程中应通过扫描工具、外部漏洞通报等方式收集安全漏洞信息并进行评估。”
漏洞问题的管理不止于引入前的存量风险检测,在引入后也应进行持续关注新增漏洞,及时评估风险,排查自身是否受到影响,才能全面管控信息安全风险。信易盾SCA涵盖了漏洞检测、情报收集、通报告警、风险评估等基本功能,全方位协助金融机构开展信息安全风险管理,落实应急处置预案建设。
1.存量风险检测+详细报告
在金融机构引入开源软件之前,建议使用信易盾检测存在哪些漏洞风险,并自动生成安全检测报告,详细展示漏洞名称、漏洞数量、漏洞类型等信息,帮助金融机构洞察漏洞风险,评估引入的软件安全性。
2.持续监测外部风险,自动更新
信易盾的情报监测机制会24小时监测风险舆情,收集新出现的漏洞信息,更新情报数据库,帮助金融机构节省收集信息的时间,更快速地感知新增风险。
3.自动更新检测,排查自身风险
当数据库中更新了新增风险后,信易盾会自动检测已有项目是否受到新增风险影响,并提供对比分析,可视化展示新增漏洞信息,帮助用户清晰地掌握有哪些新增的漏洞需要修复处理。
4.新风险通知告警
信易盾提供了全天候的风险监测服务,可以将自动检测结果以邮件、短信等多种方式告知用户,使用户能够在发现风险的第一时间处理修复,在受到漏洞攻击之前就清除风险。
利用信易盾开源软件管理平台,金融机构能够持续监测是否出现新的风险,快速定位风险影响,及时止损,建立完善的应急风险处置机制,保证开源软件安全的长治久安。