1、金融科技应用安全风险监测实践分享姓名姓名钱伟峰钱伟峰（照片部分由主办方添加）个人介绍钱伟峰安言咨询副总经理，10年以上IT风险管理咨询经验，3年以上IT审计经验。为包括一汽集团、吉利汽车、海尔集团、上汽大众、农业银行、建设银行、交通银行、光大银行、华夏银行、广发银行在内的众多企业提供咨询与IT审计服务。CISA、CISP、PMP、ISMS审核员、ITSMS审核员、ITSS项目经理工信部IT审计师授权培训讲师（信息系统运行与服务审计、信息安全审计章节授课人、信息安全审计章节培训教材编写者）l 由定性向定量转变好坏亡羊补牢未雨绸缪l 由事后向事前转变l 由孤立向联系转变风险监测指标的特点风险监测指

2、标的优势及时性前瞻性宏观性提供数字化的安全监测指标应用安全风险监测完善安全工作的闭环机制应用安全风险识别风险识别的可参考维度 开发全生命周期 系统缺陷类型 基础环境信息 背景数据 缺陷库数据应用安全风险监测指标分类-成 因控 制影 响安全缺陷成因指标控制指标结果指标按因果维度分类：l 系统安全定级不准确l 设计缺陷未及时评审l 选用非标准版本基础软件l l 代码审计覆盖率l 缺陷整改完成率l 缺陷重复出现率l l 通过安全测试的平均轮次l 等保测评发现安全缺陷占比l 因缺陷引发的生产事件占比l 应用安全风险监测指标分类-按时间维度分类：时间风险事件发生事前指标事后指标事中指标l 新技术风险评估

3、占比l 安全构件选用占比l 新增开发构件占比l l 代码复读发现的安全缺陷占比l UAT测试安全缺陷漏出率l l 上线安全评估发现缺陷占比l Top10问题数量占比l 准备阶段实现阶段验证阶段改进阶段 现状调研 风险识别 风险分析 风险建模 监测架构设计 监测指标设计 指标算法设计 展示工具设计 度量规范编写 试点方案设计 数据采集 指标评价 试点报告编制 试点经验总结 指标完善 评价工具完善 项目验收结项全面覆盖：指标应当全面地覆盖信息系统需求、设计、编码、测试等领域数据可得：指标应当与潜在风险高度相关并可测，选取的指标应能持续地获得完整的数据支持指标可控：选取的指标应当可以通过可选的管控措

4、施进行有效的控制选取原则选取对象关键风险领域识别指标设计分析工作流程和内部信息，识别潜在风险。识别风险高的领域或子领域。关注风险变动明显的领域或子领域。分析关键风险领域与子领域，明确风险点。确定对应的风险指标，建立风险指标库。完善风险指标信息。指标评估和筛选剔除数据可得性较差的指标剔除难以被有效控制的指标整理具备良好数据可得性、可控性的指标，建立风险指标清单。设定阈值和定义监测方式综合分析每项指标性质，设定指标阈值。制定指标的监测方式，包括频率等。建立风险监测体系。风险监测指标设计依据合规要求网络安全等级保护基本要求最佳实践ISO 27001、CMMI、SDLC指标设计考虑因素关键风险领域识别

5、指标设计指标评估和筛选设定阈值和监测方式指标优化与改进上线发布测试验证开发编码系统设计需求分析持续运行新技术运用风险系统安全定级安全需求选用安全需求评审需求缺陷整改非标软件件风险新增构件风险安全构件使用代码复读代码审计工具工具扫描高级别缺陷统计ST测试漏出率工具扫描情况人工发现情况UAT测试漏出率问题数量分布上线安全检测安全抽查发现问题数量分布等保测评发现缺陷引发事件数国家机关发现渗透测试发现COBITISO 27001CMMI等级保护要求企业内部开发规范风险监测指标指标库头脑风暴德尔菲方法代码检查工具使用率安全缺陷漏出率安全需求覆盖率平均修复时间明确性可衡量性可达到的现实性及时性数据采集难度

6、历史数据数据可靠性预警值关联性频率参考SMART原则指标筛选规则高中低应用安全风险监测指标设计依据和原则 按照5W1H方法，对应用安全领域的关注点进行分析要素要素说明度量维度度量信息When何时发现发现阶段技术方案评审、ST测试、UAT测试、模拟测试、上线后Why为何发生问题类型系统漏洞、访问控制、XSS、注入、What是何级别问题级别高、中、低Who如何发现发现方式人工、工具Where何处发现项目分布A项目群、B项目群、How如何控制控制措施问题修复情况、安全测试通过轮次全生命周期的应用安全度量模型控制措施应用安全度量方法 从安全问题的类型、级别、发现方式、发现阶段、控制与改进等6个维度度量

7、，并结合不同维度的组合分析，更为深入地进行度量 通过对数据进行横向比对和趋势分析，发现整体问题和安全状况变化。维度指标数量指标举例问题类型3各类型安全问题比率各类型各阶段安全问题类型数量问题级别2各级别安全问题数量各级别安全问题比率发现阶段7各方式发现安全问题比率各阶段安全问题各发现方式比率发现方式6项目组各级别安全问题数量各种工具发现安全问题比率所属项目3项目组各级别安全问题数量项目组安全问题各阶段发现的数量控制与改进7安全问题整改完成率系统通过安全测试的轮次应用安全风险监测方法 指标结构 统计内容描述主要统计安全问题的类型。指标说明描述指标具体内容，统计方法以及作用。统计方式描述统计方式，

8、如对周期内的安全问题级别进行统计 统计口径统计内容计算方式所需数据数据来源各类型安全问题比率各类型安全问题数量/周期内安全问题总数各类型安全问题数量周期内安全问题总数安全报告、缺陷管理系 统、生 产 事件、应用安全应用安全风险监测结构执行风险监测分析关键风险l根据关键风险指标体系的建设情况，完善关键风险监测方案，确定各指标数据的收集、提交、汇总责任人与方式等内容。l根据关键风险指标检测方案进行数据采集，各数据提交人通过各种方式提交/录入关键风险指标数据。l根据录入的数据和预设的公式生成风险监测指标数据，当风险监测指标值超过预设的阈值范围，将触发相关部门注意或生成行动方案。l可根据要求生成不同类

9、型的风险监测指标报告和图表，并由风险监测指标分析人员对风险监测指标的变化因素作详细分析，定期向领导报告。应用安全风险持续监测与分析 在风险监测指标审批生效后，启动指标监测工作。参考监测结果，定期对风险监测指标指标体系进行验证并不断调整，以保证其有效性。验证并不断调整调整的发起 风险监测指标实施部门根据风险监测指标实际应用的有效性提出风险监测指标管理政策及清单的修改意见，如：阈值的设置范围调整，并将修改意见以报告形式上交领导审阅。审阅和分析 风险监测指标管理部门根据风险监测指标的使用情况分析及审阅风险监测指标管理政策及清单的增减、修改及定期重检调整申请意见，然后提交风险监测指标体系负责人。调整的审批 对于风险监测指标管理政策及对风险监测指标体系的修改，由风险监测指标体系负责人审批并协调相关人员对指标进行和改进。风险监测指标体系的持续改进度量工作持续开展-缺乏总体统计-缺少量化分析-以问题修复为导向 通过建立并持续开展应用安全度量工作，实现应用安全水平的持续提升。度量试点及改进未开展度量-尝试数据汇总-提升数据质量-建立安全度量机制-尝试开展趋势比对-定期开展度量工作-发现各类潜在问题-实现全面比对分析-持续提升安全水平应用安全风险监测体系的持续应用