《证券期货业信息技术架构管理指南》的安全要求解读与应对
2024-12-13 03:55:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

随着信息技术在证券期货业的广泛应用,架构管理的重要性日益凸显。为适应行业发展需求,规范信息技术架构管理流程,降低安全风险与成本,证监会近日发布《证券期货业信息技术架构管理指南》(以下简称《指南》),给行业机构在信息技术架构管理方面提供明确的规范和指引,强调了从架构设计到上线运行的全流程安全管理要求。默安科技安全专家基于在证券期货业的长期研究与落地积累,针对《指南》中的安全要求进行了相关解读。

要点一:上线/变更前审查

“架构上线或变更升级前,应对架构的执行程序、源代码进行严格审查、测试,确保运行质量安全。
对信息技术架构知识产权、版权、专利、商标、声明等进行事前合规审查,可根据需要引入第三方审查服务,通过审查架构的自主性和可用性,避免法律纠纷。”

在证券期货业,业务的快速发展和创新驱动着信息技术架构的变更与升级。每一次架构上线或变更都是一次关键决策,因为一旦出现安全漏洞,可能导致交易中断、数据泄露等严重后果,从而带来巨大损失。从《指南》中也不难理解,在这个过程中,对架构的执行程序和源代码进行严格审查、测试至关重要,需要确保新架构在投入生产环境前运行质量达到最高安全标准,以保障业务的连续性和稳定性。

源代码安全检测

在架构上线或变更这一关键决策点,源代码安全检测系统发挥着不可替代的作用。在架构上线或变更前,对源代码进行深度审查、测试,如同为架构的稳固性进行一次全面“体检”,及时发现并修复潜在安全漏洞,确保运行质量达到最高安全标准,有效防范因源代码安全问题引发的系统风险。

默安科技雳鉴SAST静态应用安全检测系统(简称雳鉴SAST)可以融入软件研发流程,不仅支持多种代码获取方式,依托于代码安全分析引擎,还可对行业常用的Java、Python、C++等主流编程语言编写的源代码进行全面扫描。

软件成分风险排查

在架构上线或变更前,证券期货业机构需全面掌握软件成分风险状况,避免因使用存在安全隐患或合规问题的组件而给架构带来风险,及时发现开源组件中的已知漏洞,确保架构中的软件成分安全可靠,为架构的稳定运行提供有力支持。

默安科技雳鉴SCA软件成分分析系统(简称雳鉴SCA)专注于软件成分风险的排查,能够与代码仓库以及组件库无缝对接,精准识别项目变更中引用的第三方组件及其版本信息。基于默安科技自研的文件指纹检测及依赖分析技术,对第三方组件的风险等级、安全漏洞、许可证合规性等进行全方位评估。

要点二:通过管理有效执行各项要求
“岗位设置目标是对架构管理岗位职责进行划分,更有效地执行各项具体要求,保障企业战略目标的落实。证券期货业机构可设立系统架构师、质量检查员、安全监测员岗位,并定义各工作岗位职责,对架构建设、质量审查、运行监测、数据安全和应急响应等重要环节负责。”

《指南》通过对岗位和职责进行精细划分,在推进业务和新技术融合的同时,也对安全建设提出了新的要求,目的是为了在符合业务和安全的整体管控前提下,业务系统能够长期、稳定、安全地运行,进而为企业战略目标的落地生根构建稳固基石,这和默安科技整体的产品布局和目标高度契合。默安科技通过对包括证券期货业在内的客户群体开展长期研究,可以针对各行业特点和安全要求实施不同的落地方案。在证券期货业,默安科技产品能够参与包括应用系统架构需求设计、安全质量审查、数据安全风险检测等多个重要环节的能力建设,帮助证券期货业机构高效执行《指南》中规定的各项要求。

软件成分风险全生命周期管理

雳鉴SCA基于其软件成分分析与风险检测的核心能力,通过与组件库、代码仓库、研运平台等基础设施集成,将管理流程与技术相结合,形成贯穿开源组件生命周期的整体方案。雳鉴SCA帮助证券期货业机构从已有组件的梳理与检测,到新引入组件的选型、评估、维护和退出管控,以及突发安全事件的应急响应,形成全方位的开源组件治理。

源代码漏洞生命周期管理

在漏洞发现方面,雳鉴SAST的语义分析及风险检测引擎能够及时发现源代码中的各类安全漏洞。除了漏洞基本信息、漏洞描述、修复建议、代码示例、风险回溯等内容,雳鉴SAST还基于AI大语言模型技术,针对性地生成漏洞修复代码,帮助开发人员深入理解漏洞产生的原因和影响范围,快速优化问题代码。在漏洞管理层面,雳鉴SAST支持将漏洞一键同步至JIRA和禅道等常用Bug管理平台,实现漏洞的持续跟踪管理。

与研发流程的深度融合

雳鉴SAST和雳鉴SCA均能够以插件式的方式完美融入研发流程,不改变现有开发习惯,实现零门槛接入。无论是研发人员进行日常编码,或在研发过程中的代码合并节点,乃至监控代码仓库的变化,雳鉴SAST和雳鉴SCA都能够实现让研发人员无感知,如同为研发流程披上了一层隐形的“安全护盾”,全面覆盖编码中和编码后的安全问题,确保安全管理与研发工作协同共进。

雳鉴系列产品的三大优势

自主可控的安全保障

作为默安科技公司自主研发的核心产品,雳鉴SAST、雳鉴SCA系列产品完全符合国家信息安全产品“自主、可控”的原则。公司拥有独立的研发团队,持续投入研发资源,不断优化产品功能和性能,确保产品在技术上的领先性。同时,公司通过严格的内部安全管理机制,保障产品自身的安全性,为证券期货业机构提供可靠的安全保障,助力机构在信息技术架构管理中实现自主掌控,增强应对安全风险的能力。

全面的行业适配

证券期货业具有高度的专业性和严格的监管要求,雳鉴系列产品在设计和功能开发过程中充分考虑行业的特定需求。例如,在软件成分管理方面,产品能够对证券期货业常用的软件组件和框架进行针对性的安全检测和分析,确保其符合行业安全标准。对于涉及交易数据处理、用户信息管理等关键业务的代码和组件,产品提供更严格的安全检测策略,保障业务的核心安全。

确保遵循合规

严格遵循行业监管法规和标准是证券期货业机构的重要任务。雳鉴系列产品帮助企业确保在信息技术架构管理方面的合规性,支持对软件成分的开源许可证合规性审查,确保企业在使用开源组件时遵守相关法律法规,避免因许可证问题引发的法律风险。在源代码安全检测方面,产品依据行业最佳实践和安全标准,对代码中的安全漏洞进行全面检测,确保企业的软件开发和架构管理符合监管要求。

从严格的架构审查到高效的内部质量审查,从精准的检测手段到无缝的研发流程融合,从自主可控的安全保障到全面的行业适配与合规遵循,再到持续的服务支持和技术创新,默安科技凭借深厚的技术积累和创新能力,推出的产品方案与《指南》深度契合,为证券期货业机构提供全方位、多层次的信息技术架构安全保障,推进安全左移消减风险,打造坚实的安全防线,助力行业在数字化时代稳健发展。


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzODQxMjM2NQ==&mid=2247499704&idx=1&sn=38677902e3ab4ba3972368b86dc34356&chksm=e93b089ade4c818c84af67d8a7369fc1bbb7a8125d7d8bdc5867925e92b782af2ecdc2e88fc7&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh