現在幾乎所有的金融服務都是依靠軟件運轉的。但是金融服務行業(yè)在網絡安全防護方面仍然需要更多投入，才能與時俱進。近年來，很多國家對移動金融應用客戶端的安全合規(guī)監(jiān)管日趨嚴格，中國也設立了金融APP備案制度，幫助解決移動金融信息安全問題。金融機構為了遵循合規(guī)要求和為用戶提供安全保障，加強軟件安全勢在必行。

新思科技網絡安全研究中心(CyRC)對金融服務行業(yè)當前的軟件安全實踐進行獨立調查(SS-FSI)，調查報告發(fā)現金融服務機構已經意識到網絡安全風險，他們認為應該投入更多資源以解決這些風險。

該報告的主要發(fā)現：

·大多數金融服務機構為軟件開發(fā)人員提供安全開發(fā)培訓。但只有19%表示培訓需要強制參與

·大多數機構采用第三方金融軟件和系統(tǒng)。他們擔心這些產品的安全漏洞。但是只有差不多50%的受訪者表示他們要求第三方供應商遵循網絡安全要求或者提供驗證結果

·進行安全測試的機構，有很大一部分依賴滲透測試和安全補丁管理來確保技術安全。這兩種測試當然是有用的，但相比采用多種測試工具，滲透測試和安全補丁管理還不足以在早期發(fā)現和修復漏洞以及將此安全實踐貫穿在整個軟件開發(fā)生命周期(SDLC)

·只有少量金融機構采用軟件組件分析(SCA)工具以識別和解決開源代碼的漏洞。大部分受訪者缺少代碼清單，沒有建立一個管理代碼的流程

對此，新思科技有五個建議，以幫助金融服務機構提升數據安全，保護他們及客戶的資產。

1. 進行網絡安全培訓

首先，金融服務機構應該制定一個能夠反映在每一個流程及商業(yè)決定上的網絡安全政策。為員工提供培訓，普及網絡安全的最佳做法。比如，設定復雜的密碼、妥善保存機密信息以及了解魚叉式網絡釣魚等常見攻擊。

2. 遵循現有的合規(guī)要求，并了解即將頒布的法規(guī)，未雨綢繆

越來越多中國金融服務機構正在拓展海外市場，因此這些機構的產品不止要滿足中國的合規(guī)要求，還需要考慮目標市場的行業(yè)要求以及現有和即將頒布的法規(guī)。而且金融機構也應該要求他們的供應商滿足這些行業(yè)和法規(guī)的要求。

3. 采用多種測試工具

沒有任何一種單一的工具可以解決所有問題。自動化測試工具應包括動態(tài)應用安全測試、靜態(tài)應用安全測試和交互式應用安全測試等。而且隨著API應用越來越普遍，API安全測試工具對于金融服務機構來說也很重要。這些工具可以幫助開發(fā)人員更快地發(fā)現和修復漏洞，減少損失。

4. 不要忽略開源組件

所有網絡安全專家都會告訴你：如果你都不知道用了哪些組件，那網絡安全就無從談起。現在開發(fā)軟件大多數要用到開源組件，開源帶來便利等好處的同時，也伴隨著風險。

《2020年開源安全和風險分析》報告(OSSRA)顯示經過審計的代碼庫中，75%包含具有已知安全漏洞的開源組件，將近一半(49%)的代碼庫包含高風險漏洞，91%的代碼庫包含已經過期四年以上或者近兩年沒有開發(fā)活動的組件。OSSRA研究了由Black Duck審計服務團隊執(zhí)行的超過1,250個商業(yè)代碼庫。

金融服務機構必須審查第三方代碼(包括內部開發(fā)的代碼)，以避免軟件安全和法律層面的風險。SCA解決方案可以幫助金融服務機構管理整個軟件供應鏈以及應用生命周期的開源應用。

5. 強化系統(tǒng)

最后，但同樣也很重要的是強化你的系統(tǒng)，將安全內置在軟件中。這包括在軟件構建之初就要對關鍵應用進行安全威脅建模和架構審查，以及在整個構建過程中進行有效的代碼審查。