現(xiàn)在幾乎所有的金融服務(wù)都是依靠軟件運(yùn)轉(zhuǎn)的。但是金融服務(wù)行業(yè)在網(wǎng)絡(luò)安全防護(hù)方面仍然需要更多投入，才能與時(shí)俱進(jìn)。近年來(lái)，很多國(guó)家對(duì)移動(dòng)金融應(yīng)用客戶端的安全合規(guī)監(jiān)管日趨嚴(yán)格，中國(guó)也設(shè)立了金融APP備案制度，幫助解決移動(dòng)金融信息安全問(wèn)題。金融機(jī)構(gòu)為了遵循合規(guī)要求和為用戶提供安全保障，加強(qiáng)軟件安全勢(shì)在必行。

新思科技網(wǎng)絡(luò)安全研究中心(CyRC)對(duì)金融服務(wù)行業(yè)當(dāng)前的軟件安全實(shí)踐進(jìn)行獨(dú)立調(diào)查(SS-FSI)，調(diào)查報(bào)告發(fā)現(xiàn)金融服務(wù)機(jī)構(gòu)已經(jīng)意識(shí)到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，他們認(rèn)為應(yīng)該投入更多資源以解決這些風(fēng)險(xiǎn)。

該報(bào)告的主要發(fā)現(xiàn)：

·大多數(shù)金融服務(wù)機(jī)構(gòu)為軟件開(kāi)發(fā)人員提供安全開(kāi)發(fā)培訓(xùn)。但只有19%表示培訓(xùn)需要強(qiáng)制參與

·大多數(shù)機(jī)構(gòu)采用第三方金融軟件和系統(tǒng)。他們擔(dān)心這些產(chǎn)品的安全漏洞。但是只有差不多50%的受訪者表示他們要求第三方供應(yīng)商遵循網(wǎng)絡(luò)安全要求或者提供驗(yàn)證結(jié)果

·進(jìn)行安全測(cè)試的機(jī)構(gòu)，有很大一部分依賴滲透測(cè)試和安全補(bǔ)丁管理來(lái)確保技術(shù)安全。這兩種測(cè)試當(dāng)然是有用的，但相比采用多種測(cè)試工具，滲透測(cè)試和安全補(bǔ)丁管理還不足以在早期發(fā)現(xiàn)和修復(fù)漏洞以及將此安全實(shí)踐貫穿在整個(gè)軟件開(kāi)發(fā)生命周期(SDLC)

·只有少量金融機(jī)構(gòu)采用軟件組件分析(SCA)工具以識(shí)別和解決開(kāi)源代碼的漏洞。大部分受訪者缺少代碼清單，沒(méi)有建立一個(gè)管理代碼的流程

對(duì)此，新思科技有五個(gè)建議，以幫助金融服務(wù)機(jī)構(gòu)提升數(shù)據(jù)安全，保護(hù)他們及客戶的資產(chǎn)。

1. 進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)

首先，金融服務(wù)機(jī)構(gòu)應(yīng)該制定一個(gè)能夠反映在每一個(gè)流程及商業(yè)決定上的網(wǎng)絡(luò)安全政策。為員工提供培訓(xùn)，普及網(wǎng)絡(luò)安全的最佳做法。比如，設(shè)定復(fù)雜的密碼、妥善保存機(jī)密信息以及了解魚叉式網(wǎng)絡(luò)釣魚等常見(jiàn)攻擊。

2. 遵循現(xiàn)有的合規(guī)要求，并了解即將頒布的法規(guī)，未雨綢繆

越來(lái)越多中國(guó)金融服務(wù)機(jī)構(gòu)正在拓展海外市場(chǎng)，因此這些機(jī)構(gòu)的產(chǎn)品不止要滿足中國(guó)的合規(guī)要求，還需要考慮目標(biāo)市場(chǎng)的行業(yè)要求以及現(xiàn)有和即將頒布的法規(guī)。而且金融機(jī)構(gòu)也應(yīng)該要求他們的供應(yīng)商滿足這些行業(yè)和法規(guī)的要求。

3. 采用多種測(cè)試工具

沒(méi)有任何一種單一的工具可以解決所有問(wèn)題。自動(dòng)化測(cè)試工具應(yīng)包括動(dòng)態(tài)應(yīng)用安全測(cè)試、靜態(tài)應(yīng)用安全測(cè)試和交互式應(yīng)用安全測(cè)試等。而且隨著API應(yīng)用越來(lái)越普遍，API安全測(cè)試工具對(duì)于金融服務(wù)機(jī)構(gòu)來(lái)說(shuō)也很重要。這些工具可以幫助開(kāi)發(fā)人員更快地發(fā)現(xiàn)和修復(fù)漏洞，減少損失。

4. 不要忽略開(kāi)源組件

所有網(wǎng)絡(luò)安全專家都會(huì)告訴你：如果你都不知道用了哪些組件，那網(wǎng)絡(luò)安全就無(wú)從談起?，F(xiàn)在開(kāi)發(fā)軟件大多數(shù)要用到開(kāi)源組件，開(kāi)源帶來(lái)便利等好處的同時(shí)，也伴隨著風(fēng)險(xiǎn)。

《2020年開(kāi)源安全和風(fēng)險(xiǎn)分析》報(bào)告(OSSRA)顯示經(jīng)過(guò)審計(jì)的代碼庫(kù)中，75%包含具有已知安全漏洞的開(kāi)源組件，將近一半(49%)的代碼庫(kù)包含高風(fēng)險(xiǎn)漏洞，91%的代碼庫(kù)包含已經(jīng)過(guò)期四年以上或者近兩年沒(méi)有開(kāi)發(fā)活動(dòng)的組件。OSSRA研究了由Black Duck審計(jì)服務(wù)團(tuán)隊(duì)執(zhí)行的超過(guò)1,250個(gè)商業(yè)代碼庫(kù)。

金融服務(wù)機(jī)構(gòu)必須審查第三方代碼(包括內(nèi)部開(kāi)發(fā)的代碼)，以避免軟件安全和法律層面的風(fēng)險(xiǎn)。SCA解決方案可以幫助金融服務(wù)機(jī)構(gòu)管理整個(gè)軟件供應(yīng)鏈以及應(yīng)用生命周期的開(kāi)源應(yīng)用。

5. 強(qiáng)化系統(tǒng)

最后，但同樣也很重要的是強(qiáng)化你的系統(tǒng)，將安全內(nèi)置在軟件中。這包括在軟件構(gòu)建之初就要對(duì)關(guān)鍵應(yīng)用進(jìn)行安全威脅建模和架構(gòu)審查，以及在整個(gè)構(gòu)建過(guò)程中進(jìn)行有效的代碼審查。