現(xiàn)在幾乎所有的金融服務(wù)都是依靠軟件運轉(zhuǎn)的。但是金融服務(wù)行業(yè)在網(wǎng)絡(luò)安全防護(hù)方面仍然需要更多投入，才能與時俱進(jìn)。近年來，很多國家對移動金融應(yīng)用客戶端的安全合規(guī)監(jiān)管日趨嚴(yán)格，中國也設(shè)立了金融APP備案制度，幫助解決移動金融信息安全問題。金融機構(gòu)為了遵循合規(guī)要求和為用戶提供安全保障，加強軟件安全勢在必行。

新思科技網(wǎng)絡(luò)安全研究中心(CyRC)對金融服務(wù)行業(yè)當(dāng)前的軟件安全實踐進(jìn)行獨立調(diào)查(SS-FSI)，調(diào)查報告發(fā)現(xiàn)金融服務(wù)機構(gòu)已經(jīng)意識到網(wǎng)絡(luò)安全風(fēng)險，他們認(rèn)為應(yīng)該投入更多資源以解決這些風(fēng)險。

該報告的主要發(fā)現(xiàn)：

·大多數(shù)金融服務(wù)機構(gòu)為軟件開發(fā)人員提供安全開發(fā)培訓(xùn)。但只有19%表示培訓(xùn)需要強制參與

·大多數(shù)機構(gòu)采用第三方金融軟件和系統(tǒng)。他們擔(dān)心這些產(chǎn)品的安全漏洞。但是只有差不多50%的受訪者表示他們要求第三方供應(yīng)商遵循網(wǎng)絡(luò)安全要求或者提供驗證結(jié)果

·進(jìn)行安全測試的機構(gòu)，有很大一部分依賴滲透測試和安全補丁管理來確保技術(shù)安全。這兩種測試當(dāng)然是有用的，但相比采用多種測試工具，滲透測試和安全補丁管理還不足以在早期發(fā)現(xiàn)和修復(fù)漏洞以及將此安全實踐貫穿在整個軟件開發(fā)生命周期(SDLC)

·只有少量金融機構(gòu)采用軟件組件分析(SCA)工具以識別和解決開源代碼的漏洞。大部分受訪者缺少代碼清單，沒有建立一個管理代碼的流程

對此，新思科技有五個建議，以幫助金融服務(wù)機構(gòu)提升數(shù)據(jù)安全，保護(hù)他們及客戶的資產(chǎn)。

1. 進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)

首先，金融服務(wù)機構(gòu)應(yīng)該制定一個能夠反映在每一個流程及商業(yè)決定上的網(wǎng)絡(luò)安全政策。為員工提供培訓(xùn)，普及網(wǎng)絡(luò)安全的最佳做法。比如，設(shè)定復(fù)雜的密碼、妥善保存機密信息以及了解魚叉式網(wǎng)絡(luò)釣魚等常見攻擊。

2. 遵循現(xiàn)有的合規(guī)要求，并了解即將頒布的法規(guī)，未雨綢繆

越來越多中國金融服務(wù)機構(gòu)正在拓展海外市場，因此這些機構(gòu)的產(chǎn)品不止要滿足中國的合規(guī)要求，還需要考慮目標(biāo)市場的行業(yè)要求以及現(xiàn)有和即將頒布的法規(guī)。而且金融機構(gòu)也應(yīng)該要求他們的供應(yīng)商滿足這些行業(yè)和法規(guī)的要求。

3. 采用多種測試工具

沒有任何一種單一的工具可以解決所有問題。自動化測試工具應(yīng)包括動態(tài)應(yīng)用安全測試、靜態(tài)應(yīng)用安全測試和交互式應(yīng)用安全測試等。而且隨著API應(yīng)用越來越普遍，API安全測試工具對于金融服務(wù)機構(gòu)來說也很重要。這些工具可以幫助開發(fā)人員更快地發(fā)現(xiàn)和修復(fù)漏洞，減少損失。

4. 不要忽略開源組件

所有網(wǎng)絡(luò)安全專家都會告訴你：如果你都不知道用了哪些組件，那網(wǎng)絡(luò)安全就無從談起。現(xiàn)在開發(fā)軟件大多數(shù)要用到開源組件，開源帶來便利等好處的同時，也伴隨著風(fēng)險。

《2020年開源安全和風(fēng)險分析》報告(OSSRA)顯示經(jīng)過審計的代碼庫中，75%包含具有已知安全漏洞的開源組件，將近一半(49%)的代碼庫包含高風(fēng)險漏洞，91%的代碼庫包含已經(jīng)過期四年以上或者近兩年沒有開發(fā)活動的組件。OSSRA研究了由Black Duck審計服務(wù)團(tuán)隊執(zhí)行的超過1,250個商業(yè)代碼庫。

金融服務(wù)機構(gòu)必須審查第三方代碼(包括內(nèi)部開發(fā)的代碼)，以避免軟件安全和法律層面的風(fēng)險。SCA解決方案可以幫助金融服務(wù)機構(gòu)管理整個軟件供應(yīng)鏈以及應(yīng)用生命周期的開源應(yīng)用。

5. 強化系統(tǒng)

最后，但同樣也很重要的是強化你的系統(tǒng)，將安全內(nèi)置在軟件中。這包括在軟件構(gòu)建之初就要對關(guān)鍵應(yīng)用進(jìn)行安全威脅建模和架構(gòu)審查，以及在整個構(gòu)建過程中進(jìn)行有效的代碼審查。