"本文从数字化风险和安全能力建设的角度,分析了当前数字化时代科技安全风险治理面临的挑战,并提出一套以安全为核心的风险治理方法,用以治理和管控各类应用安全风险和数据安全风险。"
面临挑战及应对思路
数字化时代科技安全风险治理面临巨大挑战
结合风险挑战下凸显的安全问题及各类监管要求,明确由安全部门和合规部门参与主导的风险治理需求和目标,形成一套能力完备、可成长的安全管理体系,从运动式检查转变为长效化管控,多方协同,扭转安全管理的被动局面。
安全治理整体思路
科技安全及合规风险治理总体需求及目标(基于全行信息安全及合规管理方针)
安全管理体系部分详述
01
制度建设
基于风险治理的总体需求和目标,建立健全全流程安全管理制度。制度规范作为安全防护要求、管理策略、操作规程等集合,一般需要覆盖以下几点要求:
角色及职责界定
明确适用范围
明确安全管理要求
需要遵循的操作及处置流程
例外处理办法
目前行内已发布实施涵盖数据安全、应用安全、研发流程安全等制度规范,如《应用安全管理规范》、《数据安全管理规范》、《开源软件安全管理实施细则》等,同时为预防和应对变化的风险趋势, 我们也在不断细化、完善、更新制度体系。
02
流程建设
流程建设分为「事件处理型」和「研发流程型」。
风险事件从上报到验证关闭,全流程状态通知,并逐级抄送,提升处置时效。并将流程中的数据打通,可提供丰富直观的报表,降低运营成本的同时也让运营工作更加精细化。
一般事件类处置流程
经过安全团队的严格推进和研发团队的定制化实践 ,行内SDLC执行已逐渐由安全主导转变为开发主导,契合DevOps流程。研发流程配合安全统一管控,实现自动化能力提升,安全也可做到过程数据卡点管控,对发现的漏洞执行溯源。
结合SDLC的DevOps安全与风险管控机制
随着安全服务和安全能力的不断成长和进化,安全管控体系中的执行要求、检查、控制、保障,绝大部分由工具自动化静默执行。安全工具和卡点管控嵌入到需求管理、测试管理、版本管理等各类流程中,从另一方面来说,也保证了需求必须按照标准化流程流转。
研发安全风险管控具体流程
在SDLC的安全测试环节,包括人工测试、工具扫描发现的漏洞,统一在sop安全运营平台实现闭环管理。
漏洞处理流程
03
运营分析
应用安全的持续运营,能够打通各环节的建设内容,促进整个体系良性发展。
安全运营分析包括三个方面:
运营指标:支持多类型事件、多维度数据分析,对安全团队自身运营质量和其他团队的执行质量都有数据化展示分析,最终形成制度化考核机制,对涉及的人、过程、技术进行综合评估
高效汇报机制:定期通过邮件、例会等形式同步各干系人运营质量及安全要求,自上而下推动风险管控和制度的更新迭代
持续运营提升:依据上一轮成效评估,持续改进管理过程和运营手段,实现对业务的价值输出目标
安全运营分析的三个方面
安全运营是一个长久化、持续性过程。尤其是在行内数据量庞大,组织架构复杂、信息分散的背景下,运营机制的自动化和可视化,很大程度上决定着运营质量和效率。我们要做的是一个实时汇总,能够感知全局安全态势的平台,通过大数据分析提供新一轮迭代优化的依据。
各类风险报表化展示
04
配套的基础设施建设
围绕安全风险治理的需求提出的治理体系框架,除了管理体系建设、标准化流程管理、运营质量分析,还必须有基础设施支撑:
流量分析检测平台:通过专有扫描环境,灵活定制扫描规则,实现实时/周期记录、扫描多场景数据
代码扫描平台:IDE插件自助检测增量/全量代码,覆盖传统安全漏洞和合规治理检测规则
应用堆栈分析平台:结合行内APM监测工具的安全风险扫描平台,可检测传统安全漏洞和开源组件类风险扫描
开源软件安全治理:专项治理开源软件,实现组件漏洞应急响应、组件依赖分析及安全版本查询,推动行内架构和服务治理、统一组件开发和接入
…………
应用周期涉及的安全基础设施
流量分析检测
写在最后
安全风险治理体系的建设非一朝一夕,也非一成不变,这里有一个基本思路可以参考:
一、识别主要风险
二、制定治理方案
三、定制规则试点运营
四、制定风险治理流程
五、完善规范制度
六、消灭存量管控增量
七、持续运营提升
遵循复盘优化、循环上升的思路,梳理出需求和目标, 协调安全、业务、研发、架构等部门的参与配合,管理治理联动,助力安全风险管控能力提升。