• 快捷搜索
  • 全站搜索

金融机构亟待建立应用系统安全测试体系

2013-12-11 16:40:45作者:编辑:金融咨询网
目前在金融行业还没有一套体系化的测试方法,这使得金融行业应用系统的安全风险防范工作略显不足,在金融机构内部建立自身的应用系统安全测试体系,可有效提升安全防范能力,减少因应用系统安全问题带来的隐患。

随着金融机构对计算机网络和软件系统的依赖程度逐渐增加,以及电子金融产品的不断推出,新信息技术在给业务带来巨大方便、高效的同时,也带来了潜在的风险。由于我国商业化应用系统测评体系起步晚,发展也尚未成熟,加之金融应用系统有其自身的特殊性,所以目前在金融行业还没有一套体系化的测试方法,这使得金融行业应用系统的安全风险防范工作略显不足,因此在金融机构内部建立自身的应用系统安全测试体系,可有效提升安全防范能力,减少因应用系统安全问题带来的隐患。

        通过仔细分析众多金融机构所做的大量的应用系统测试工作,启明星辰发现目前总体仍存在如下不足:

        (一)需求方面安全考虑不足。启明星辰在为多数金融机构提供咨询服务过程中发现,需求方面的安全考虑不充分,如在需求阶段对安全需求描述不够完整、对安全风险场景设计较为简单,对安全边界的统一规划不足,需求阶段对应用系统敏感信息防泄露考虑不足。

        (二)开发环节安全控制不足。启明星辰在为各金融机构进行白盒测试、渗透测试及安全测试的过程中发现应用系统安全存在SQL注入、跨站脚本信息泄露、越权操作等安全问题,包括众多大型银行,同时过程中也发现不按编码规范执行和代码安全检查不足的问题,这些都是开发环节控制不足的体现。

        (三)应用系统安全测试工作范围局限。应用系统安全测试目前在大多机构仅仅是在安全部门进行,整个测试方法与理念未贯穿于系统开发全过程。需求和设计过程仍未涉及较体系化的安全措施和控制点。

        (四)外包开发和外购模块的风险控制不足。多数机构外购的产品缺乏可信赖的第三方评估机构,另外第三方开发商不可能遵循金融机构自身的开发规范,因此无法控制相关风险。

        针对上述问题,虽然有些金融机构采取了一些相应的措施应对,如对网页敏感信息加固,对新版本进行安全测试,系统等保测评或外购模块安全测试等。但这些措施都仅是“头痛医头、脚痛医脚”,未解决根本问题。经分析存在上述问题的根源如下:

        (一)效率和安全性矛盾。所有机构在开发时优先关注功能,只能牺牲一定的安全。

        (二)制约机制不足。大多机构中,相关的安全规范由开发人员自行制订、颁布、执行、检查,安全测试未成为应用系统能否上线的关键环节。

        (三)分散管理的问题。机构各部门分散管理应用系统及其各自的安全,未形成统一管理。

        因此,要根本解决上述出现的问题,必须将目前分散的测试工作整合成一个整体,并建立起一个内部应用系统安全测试体系,这样就能将安全测评整合于整个开发和操作流程中,过程完全掌握,也能够更好地把控开发质量;同时也能够使更多的部门融入到测评工作来,各业务部门对自身业务系统更加熟悉,能从不同角度为安全测评提供更全面的支持。

建立机构内部的应用系统测试体系之道

        金融机构便可建立应用系统测试体系,主要从以下几方面建设:

        (一)建立内部测试组织体系

        任何一项工作没有良好的组织保障就不能顺利开展,因为建立组织体系是第一要事。组织体系要将相关部门及相关岗位人员都纳入,这样才能将相关工作都深入到各自的岗位中,但大多机构由于行政管理的原因,直接纳入都会比较困难,因此通常情况下虚实结合更容易落实,图1所示。当然,有了组织,必须配备如下图所示的相关技术工程师。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章