交易無處不在,拿什么來守護支付安全?
如今,大到國際巨頭的資金往來,小到日常每一筆網上銀行交易,金融IT的觸角已經延伸到各個角落。我們在日常生活中頻繁使用著網絡支付、電子銀行、移動支付等金融工具,相應的交易模式也在不斷變化中。永遠在線的交易,自然也促使銀行業對軟件質量的關注提升到了新高度。
作為一家品牌綜合影響力不斷擴大的地方銀行,天津銀行自成立以來,一直注重為用戶提供專業、安全、可靠的金融服務和產品。近年來,他們更是通過部署HPE Fortify產品,進一步完善了系統安全測試流程,大幅提升了測試團隊查找軟件安全漏洞的效率,降低系統在實際運行中可能存在的巨大風險,從而真正為最終用戶提供安全周到的金融產品。
人工方式代碼審核費時、費力,時常漏檢
天津銀行在不斷創新金融產品和服務方式的同時,持續強化信息科技安全建設,他們采取多種安全措施確保軟件系統安全,如在辦公、生產、測試等不同區域設置防火墻、加密機制保證網絡層的安全,在新產品上線或系統升級時進行功能、業務壓力測試,通過質量管理工具降低風險防止代碼被改動,等等。
驗收測試是天津銀行對應用系統最主要的質量控制環節,而從安全角度對每款新軟件進行全面的風險分析,并提出有針對性的整改方案也已經成為產品穩定上線前必不可少的一步,這項工作需要測試人員通過代碼審核來完成。
代碼審核是從安全角度對源代碼進行分析,其關注點是有可能對軟件產生威脅的安全漏洞或架構上的設計缺陷,而這些通常也是黑客攻擊利用的漏洞。天津銀行以前一直采用人工方式來進行代碼安全檢測,但這種方式會占用大量的時間和人力,并且審核的效率也不高,同時,也不能將所有的系統進行深入的檢測。另外,由于天津銀行外包商提供的產品,在標準、語言、操作系統版本等方面也各有差異,更加大了測試的任務量和復雜度漏檢、錯檢的問題常有發生,這對于人員精簡的天津銀行軟件測試部門來講無疑是雪上加霜。
競爭的激烈導致銀行業在快速推出新業務的同時,除了要保持高效的服務能力之外,更要確保客戶交易安全。這種業務的快速變化迫使支撐它運行的IT系統也要更敏捷。IT必須敏捷,但業務系統卻越做越復雜、越來越多,而銀行又要在有限的人員投入下保證質量、防范風險,挑戰和壓力越來越大。快速的去交付一個軟件服務,純手工人工非自動化的方式已然不能適應業務的快速變化,所以天津銀行亟需要采用專業的自動化測試工具,通過一組全面規則、測試機制在軟件開發、測試過程中發現和管理軟件的安全隱患,進而提升審核效率。
對于安全測試工具的選擇,天津銀行負責軟件開發的許平副總經理認為非常有必要,她表示:“以前通過人工方式進行代碼審核,雖然也能達到銀監會審計要求的標準,但其實心里沒有底,沒有統一標準、源代碼掃描不規范、細小錯誤能不能發現等問題都是現實存在的,軟件即使審計通過上線了,但在實際運行過程中風險依然非常大。”許平希望能夠采用成熟的代碼檢測工具來進一步完善系統測試流程,消除代碼潛在的風險,提高代碼的質量、可讀性和可維護性,保護銀行的應用。
HPE Fortify,實現源代碼安全檢測
在選擇安全測試工具時,天津銀行直接將目標選定為HPE Fortify產品。因為全世界最大的10大銀行中的9家都選擇了HPE Fortify。HPE Fortify在業界擁有很好的用戶口碑,國內許多金融企業也廣為應用這款產品進行軟件安全測試。HPE Fortify是一個靜態的軟件源代碼安全測試工具,擁有最全面的安全代碼規則包,支持市場上最流行、最多樣化的編程語言,安全漏洞檢查也最為徹底。成熟領先的產品、豐富的實施經驗、專業的服務團隊讓天津銀行鎖定HPE。
如今的黑客攻擊主要利用軟件本身的安全漏洞,這些漏洞是由不良的軟件架構和不安全的代碼產生的,而防御方案則非常明確——就是構建安全的代碼。保證代碼安全沒有捷徑可走,必須在每一個開發周期鞏固軟件安全性。開發人員可利用HPE Fortify進行強有力的源代碼分析;安全測試人員借助HPE Fortify使測試變得可量化,更易修復漏洞;評審人員能夠通過HPE Fortify從整個代碼中找出安全問題,定下主次順序,然后解決問題。
HPE Fortify完全自動化的測試流程、多維度分析源代碼安全問題、精確定位漏洞產生的全路徑,以及1分鐘約1萬行的掃描速度,讓天津銀行開發測試人員不僅在對源代碼進行安全漏洞掃描時省時省力,還能獲知詳細的漏洞信息及相應的修復建議,能夠在第一時間與應用開發外包團隊溝通Bug所在,及時修正漏洞。
HPE Fortify通過內置的五大主要分析引擎:數據流、語義、結構、控制流和配置流對應用軟件的源代碼進行靜態的分析,在分析的過程中與它特有的軟件安全漏洞規則集進行全面地匹配、查找,從而將源代碼中存在的安全漏洞掃描出來。HPE Fortify安全代碼規則多達50000多條,規則內容涉及ASP.NET,C/C++,C#,Java,XML,VB.NET等多種語言,并且能夠跨層、跨語言地分析代碼的漏洞的產生,而上述這些也恰恰是天津銀行目前系統架構所采用的多種語言環境,而HPE Fortify與世界同步的業界最權威的安全規則庫,則確保了天津銀行能夠防范最新型的安全漏洞,在軟件形成產品成本前將軟件安全風險降到最低。
整合業務及服務,提升園區招商吸引力
談到方案實施的好處,許平認為:代碼審核更規范、更精確,原來人工方式無法監控到內存泄露問題,更不能定位到底是哪行代碼出現內存泄露,黑客有可能會利用漏洞來影響應用或大幅度降低應用的性能,而現在,這一問題得到解決,有效降低新產品上線失敗的風險,加速了對高質量應用的部署。而且通過減少漏洞被利用的頻率,還有助于減少災難恢復的成本。具體來講還包括:
- 提升代碼審核效率;
- 代碼審核范圍涉及全部應用;
- 安全檢測標準化、制度化;
- 測試結果更規范、更全面;
同時,許平還希望搭建起一個測試團隊高效協同平臺,以促進銀行測試團隊和項目開發人員間全產品生命周期內的協作,并且能夠與銀行測試人員同步漏洞檢測,消除測試版本部署的隨意性以及環境沖突的不可預見性,減少溝通時間,推動開發質量的提高,加速新產品上線。
為了防范風險,天津銀行還研究制定了信息科技風險管理制度體系,完成了信息科技系統“兩地三中心”的災備體系建設,這一系列舉措將使天津銀行的信息科技支撐能力進一步增強。
“部署HPE Fortify方案后,天津銀行對內網、外網中所有新上線應用全部進行源代碼安全測試,極大提升了軟件性能,能夠滿足監管要求,保護系統不會受到惡意代碼攻擊,大幅降低企業風險”,許平最后總結道。
