1、浅谈大中型软件企业信息安全建设浅谈大中型软件企业信息安全建设2020年11月27日科大讯飞安全架构师 钱君生议题概要议题概要在业界，谈论互联网、金融或运营商安全建设的比较多，谈论大中型软件企业安全建设比较少。实际上，大中型软件企业在当下的IT企业中占有很大的比重，就大中型软件企业的信息安全建设来说，与互联网企业、金融企业存在着很大的差异性。本次分享将结合大中型软件企业安全建设的过程，讨论相关实践细节。关于我关于我OWASP中国安徽区域负责人，现就职科大讯飞集团公司，任安全架构师，是开源图书BurpSuite实战指南、API安全技术与实战（机械工业出版社）编写者。Contents01大中型软件企

2、业业务特点业务形态以2B交付为主、产品交付与项目交付并存02业务对安全建设的挑战安全职责、预算、投入均不对等、安全环境复杂03安全建设实践思路多模型融合的安全体系、关键安全策略议题大纲议题大纲04未来展望未来想做的事大中型软件企业业务特点大中型软件企业业务特点大中型软件企业业务特点大中型软件企业业务特点 业务形态以2B交付为主 产品交付与项目交付并存 客户对象主要是企事业单位 业务开展以项目制形式 通常需要开展招投标和采购活动 系统集成和软件产品集成 业界有甲方爸爸一说，客户在业务中占主导地位 企业的业务开展围绕收益展开 在不断的项目交付过程中，积累自己的基础平台或产品；典型的产品如ERP、H

3、RM、CRM、OA等 围绕项目建设内容，采用产品交付+定制来完成项目交付业务对安全建设的挑战业务对安全建设的挑战1安全职责、预算、投入均不对等|安全事件板子打在客户方，肉疼在厂商 甲方爸爸关心安全，但往往没银子 安全工作必须要做 利润或收益减少，投入可能无收益2安全环境复杂难以标准化|不同的项目，环境不一样 不同的客户，要求不一样 不同的行业，标准不一样 不同的预算，内容不一样3业界最佳实践参照样本缺乏|业界谈论金融、互联网企业多，谈论软件企业的少 业界最佳实践参照样本少，有头部企业做得好，但很少公开说 更多的是落后同时代的其他IT企业，在摸着石头过河多模型多模型融合安全建设思路融合安全建设思

4、路 安全建设思路围绕业务的生命周期开展【图片来源/网络】业务对象：信息系统 SAMM SDL 等保 ISSE落地实施关键落地实施关键安全策略安全策略分级分类策略01底线管控策略02DevSecOps管道化策略04数字化平台运营策略05公共组件策略03分级分类策略分级分类策略 为什么要分级分类 内外部安全要求不一样 产品成熟度不一样 安全投入不一样 如何分级分类 从定性和定量两个方面制定分类标准 挑选对安全影响至为关键的指标 常用指标项产品成熟度系统重要性风险暴露面监管要求中断成本业务连续性要求指标项评分*指标权重底线管控策略底线管控策略 为什么要底线管控 明确最低安全要求 防止安全投入不足 如

5、何底线管控 发布底线要求（精简、明确、利于执行、周期调整）制定底线管理办法 建立审查和惩奖机制 常用底线管控样例 合规性管控底线，比如：APP应用必须参考APP违法违规收集使用个人信息行为认定方法进行上线前合规检测 技术路线选型管控底线，比如：禁止使用GPL协议产品或代码；禁止使用fastjson 运维部署管控底线，比如：禁止存在高危漏洞的应用系统上线发布；禁止高危端口对互联网开放；公共组件公共组件策略策略安全组件库系统A1系统A2系统系统AnESAPI统一认证平台防破解系统API网关安全文件存储数据安全平台业务模块1业务模块2安全组件1业务模块1业务模块2安全组件2业务模块1安全组件n业务模

6、块1业务模块2安全组件n 专业的人做专业的事 通过安全组件的复用，降低软件架构的安全风险输入型攻击身份认证会话管理访问控制代码破解API安全文件与资源安全数据隐私安全审计平台日志与审计OWASP安全验证类型产品示例安全组件nDevSecOpsDevSecOps管道化策略管道化策略代码仓库代码仓库自动化测试自动化测试关键评审关键评审开发人员提交代码开发人员提交代码到代码仓库到代码仓库自动化安全测试自动化安全测试质量管理质量管理自动化发布自动化发布数据库数据库防火墙防火墙云虚机云虚机持续集成持续发布基础设施数字化运营数字化运营策略策略安全BP：项目管理系统数据质量工程师：质量审计数据漏洞扫描平台：漏洞扫描系统数据渗透测试工程师：人工渗透测试数据DevSecOps平台系统收集系统收集安全扫描平台日常收集数据汇集数据分析安全运营分析决策/改进措施 安全事件数、安全事件危害等级安全事件 线上发现问题数、底线管控符合度、研发过程漏洞总数、漏洞修复率质量管理 复用数、缺陷数、需求响应度、客户满意度公共组件未来展望未来展望