《2020BCS-北京网络安全大会:金融机构开源软件安全治理思考与实践.pdf》由会员分享,可在线阅读,更多相关《2020BCS-北京网络安全大会:金融机构开源软件安全治理思考与实践.pdf(19页珍藏版)》请在三个皮匠报告上搜索。
1、金融机构开源软件安全治理思考与实践 梁鹏 清华大学电子工程学硕士 中国农业银行研发中心信息安全与风险管理部副处长 长期从事金融领域应用系统研发和应用安全管理工作 背景与挑战 治理策略与实践 思考与体会 云计算 监管要求 安全问题不容小觑 国家信息安全形势 内部管理要求 开源软件快速发展 AI 移动互联网 背 景 大数据 开源软件种类和数量规模巨大 存在安全漏洞众多 数量众多 广泛的直接引用 错综复杂的间接引用 关系复杂 大量应用系统升级改造 大量的回归测试 成本较高 版本不断升级 漏洞不断发现 情况多变 挑 战 背景与挑战 治理策略与实践 思考与体会 总 体 思 路 严格 准入 安全使用 安全
2、退出 建立开源软件管理的制度依据 增量控制 持续改进 持续监测 存量治理 漏洞扫描工具 流程 平台 配置 平台 漏洞处置平台 仓库 管理 策略层 制度层 工具层 流程层 兼 顾 安 全 与 发 展 兼 顾 安 全 与 发 展 外防输入 存量治理 制定标准 内防扩散 持续监测 度量与评价 摸清家底 治 理 策 略 摸清家底 搭建统一管理的开源软件仓库 构建引用关系自动化分析能力 搭建自动化的漏洞排查工具 不 知 道 有 哪 些 ? 不 知 道 谁 在 用 ? 不 知 道 安 全 吗 ? 制定标准 接 受 什 么 ? 拒 绝 什 么 ? 关 注 什 么 ? 风险偏好 差异化管理 外防输入 互联网
3、功能测评 安全测评 协议审查 1 3 安全使用 合法来源 例外使用 构建环节阻断风险 引入环节严格把关 2 不 知 道 从 哪 里 来 ? 不 知 道 能 不 能 用 ? 内防扩散 存量的 不安全 组件 新发现 漏洞的 组件 例外引 入的组 件 限制使用白名单 漏洞组件 不 安 全 组 件 的 使 用 范 围 扩 大 了 吗? 安 全 的 组 件 新 发 现 了 漏 洞 怎 么 办 ? 建立漏洞组件的灰名单 建立应用系统的白名单 及时更新灰名单白名单 NVD CNNVD CNVD 商业库 漏扫工具 持续监测 对接多个漏洞库 多环节持续检测,及时 更新白名单 定期全面漏洞检测 白名单 构建检测 准入检测 昨 天 安 全 今 天 还 安 全 吗 ? 漏 洞 信 息 从 哪 里 来 ? 存量处置 丏项治理 重点突破 自主治理 整体压降 即时处置 落实要求 明确处置支持方 试点开路 分批推进 稳步