文章目录
前言
“内生安全,是在信息化环境内不断衍生出安全能力,即使网络的边界防御被打穿,系统依然能够在一定程度上保持健康运行,并保证数据和业务安全。”内生安全防护机制要求企业安全建设需要与业务功能全面、紧密耦合,而不只是后期的附加防护措施。与此同时,内生安全的后天成长能力要求企业安全体系必须能够适应不断变化的网络环境,并具备持续演化的能力。
近年来,黑客和不法分子不断发展其攻击手段和产业链结构,攻击日益体系化、攻防双方的不对等,使得银行及金融系统网络安全和数据安全面临着严峻的挑战,需要在不影响业务正常运行的前提下,有效地提升现有的安全防护体系,以更好地应对外部安全威胁。为保护客户信息安全和系统安全,银行以“十四五”规划纲要和“十四五”IT规划为指引,基于内生安全框架建设思路,结合安全攻防实践,构建并检验内生安全防护体系,助力银行高质量发展。
一、赋能内生安全防护机制
银行以平台支撑、自主研发、数据洞察、金融科技创新、专业队伍、风险防控六项信息科技专业能力建设为基础,结合研发安全运营一体化框架,以及系统化的业务与数据安全治理框架,打造专业的自有攻防队伍,使信息系统实现自适应安全生长,打通安全工作“最后一公里”,赋能内生安全防护机制。
(一)攻防专业团队建设需要立足于研发安全赋能。
银行面向商业银行数字化转型的敏捷开发安全管理系统,结合行内工作实际,将ISO27001信息安全管理体系和CMMI能力成熟度模型进行有效融合,形成具有特色的研发安全风险管理体系。基于“安全左移,贯穿开发全生命周期”的研发安全理念,以软件内生安全为目标,将研发安全管控工作前移,从业技融合、组织建设、体系融合、流程优化、工具赋能等多维度进行研究和实践,持续优化软件全生命周期的安全管理能力。
同时结合行内实际情况,组建专业安全团队,负责总行系统开发全流程安全管控工作,包括安全需求、安全设计、安全编码、安全测试和投产上线前安全评估工作,保障在稳态和敏态双模IT开发模式下系统的安全交付,实现安全管控策略在软件研发过程中的落地,建立安全研发运营一体化能力建设机制(如图1所示)。
图1 安全研发运营一体化
此外,通过安全团队与项目组的不断完善和实践,持续优