客服热线:400-868-5678



您所在的位置:首页 > 新闻中心 > 媒体报道

农信银技术支持服务方案和实践

2019年12月30日      来源:金科创新社      点击次数:

在11月28-29日由农信银资金清算中心主办,金科创新社承办的“2019农村金融科技创新与共享发展会议暨第三届农村金融科技创新优秀案例评选”上,农信银资金清算中心创新研发部经理秦思思就源代码安全扫描云平台、数据脱敏系统、金融科技能力指数模型等科技创新应用,对农信银可提供的技术支持服务方案和实践经验进行了详细的解读和介绍。

一、源代码安全扫描云平台‍

《银行业金融机构信息科技外包风险监管指引》明确提出,“对重要或核心的信息系统开发交付物进行源代码检查和安全扫描”。近年来,央行、银保监会等监管机构对源代码安全的要求越来越具体、越来越严格,相对于网络安全、数据安全,源代码安全是将安全策略前移,对提升系统安全性更具效力。

源代码安全是指在编码阶段尽可能减少安全漏洞,如果通过提升开发人员软技能等方式实施,一方面难度较大,另一方面也不够直观、直接,一款自动化扫描工具可以很好地解决该问题。以往类似工具在应用过程中存在扫描不全、误报太多、开发人员使用意愿不强、无法对开源组件扫描、用户管理难等问题。

针对上述问题,农信银中心提供了源代码安全扫描云平台(如图1所示),一款基于源代码静态扫描的工具平台,主要包括两大功能模块:分析引擎模块和扫描管理模块。其中分析引擎模块是平台的核心模块,由代码安全分析引擎(对代码进行检索分析的核心功能)、代码安全规则库、开发语言适配器(支持多种开发语言)、语法树生成器等部分组成。

图1 农信银源代码安全扫描云平台

1.功能和特点

扫描不全、误报太多、想增加规则怎么办、多级机构怎么管理、面临国产化要求怎么实现、开源组件如何处理、能和代码规范扫描工具继承吗……针对源代码扫描产品使用中的上述困惑,源代码安全扫描云平台提供了相应的解决方案。

一是代码安全分析。平台支持包括CVECWEOWASP在内的所有常见漏洞规则库,可自定义代码安全规则,很好地解决扫描不全的问题。

二是安全审计。通过漏洞说明和修复建议、调整漏洞分级策略、维护TOP10漏洞级别等功能很好地应对误报太多的问题,同时可逐步规范和提高安全代码开发能力。

三是平台化操作。通过自动任务扫描、集成常见配置工具功能,开发人员只需设置好任务,无需参与扫描过程,在扫描完后登录云平台查看扫描结果,根据漏洞修复建议改善代码即可,很大程度提高了开发人员使用意愿。

四是开源组件扫描。平台支持开源组件扫描,检测开源组件使用情况、提供漏洞修复建议。

五是分布式部署。扫描引擎支持分布式部署,可提供云服务、多层级机构管理及收费功能。一级机构在使用过程中,可充分利用这个功能,对二三级机构用户进行管理,包括成本核算的需求均可以实现。

六是代码规范工具。平台本身不支持代码编写规范的扫描,但通过集成常见代码规范扫描工具,如Checkstyle(一款开源的代码编写规范扫描工具)等,可做到代码规范扫描。

七是安全可控。扫描引擎完全国产化,与国外先进产品相比,扫描规则更加灵活,接口更加开放。如扫描50万行代码,国外产品耗时70分钟,云平台只需27分钟。

2.农信银实践

农信银中心开发和上线前两个环节应用源代码安全扫描平台。开发环节,要求开发人员自助扫描,项目组自管理;上线前,要求配置管理员必须将即将封版的代码,提交源代码扫描云平台扫描,扫描结果经专人审计通过后方可提交产品库。

在源代码安全扫描云平台的应用过程中,农信银中心总结了如下经验。第一,发布应用安全开发规范,指导和规范开发人员写出相对安全的代码;第二,持续发布和完善软件源代码安全漏洞列表及修复指南,作为开发人员修复安全漏洞的直接依据,指南中出现的漏洞开发人员必须修复,坚决杜绝将安全问题带入生产环境。第三,自定义项目常见漏洞检测规则,在漏洞指南的基础上,自定义项目漏洞检测规则,以不断丰富规则库;第四,在实施中采用“全量扫描 +增量扫描”方式,这也是平台落地的关键。扫描平台上线之初,很多系统已经运行在生产环境中了,通过对代码进行全量扫描后,解决所发现的大量问题,后续则只针对增量代码进行扫描。通过1到2年的经验积累,开发人员的编码习惯和技能得以很好的规范和提升;第五,定期发布度量数据,跟踪整改。农信银于2016、2017年重点做全量扫描,2017年的度量数据显示,漏洞密度高达0.42个/KLOC,2018年逐渐将全量扫描转为增量扫描,严重漏洞密度降低至0.05个/KLOC,2019年进一步下降至0.01个/KLOC。

3.农信银可提供的服务

基于对源代码安全扫描云平台的开发和使用经验,农信银中心一方面可以提供成熟产品的技术支持服务,并可定制扫描流程。另一方面也可以直接提供代码扫描服务和咨询服务,包括个性化规则开发、漏洞审计服务、代码安全咨询服务等。

二、基于大数据技术的数据脱敏系统‍

1.银行业的数据脱敏需求

国家层面和行业监管层面对银行业用户隐私数据和个人信息保护都提出了严格和明确的要求。《中华人民共和国网络安全法》对拥有大量隐私数据以及个人信息的行业,提出了更高脱敏要求;《金融科技三年发展规划》要求加大金融信息保护力度;《人民银行〔2019〕第7号》指出,在数据使用或披露前,涉及C级(C级,一旦丢失、泄露、被篡改、被损毁会对社会公众利益造成危害)及以上数据的,应采用数据脱敏技术,确保开发测试环境中的数据脱敏使用,对外披露数据的脱敏处理等;《中国银行业“十二五”信息科技发展规则监管指导意见》要求,加强数据、文档的安全管理,逐步建立数据资产分类分级保护机制,完善敏感信息存储与传输等高风险环节的控制措施,对数据、文档的访问应建立严格的审批机制,对用于测试的生产数据要进行脱敏处理,严格防止敏感信息泄漏;《银保监会信息科技风险现场检查指南》规定,测试中如需使用生产数据,应对相应数据进行脱敏、变形处理,当使用生产数据测试时需得到高级管理层的审批并采取相关限制及进行脱敏处理……

数据脱敏是指按照脱敏规则对敏感信息进行数据的变形,实现敏感信息的可靠保护。银行业在数据脱敏过程中面临的问题主要体现在,需提供系统测试、业务测试或场景模拟中所需的大量真实数据,采用人工脚本进行生产数据脱敏,不仅费时费力,而且效率低下、质量不高。

建立一套灵活的、自动化的、可调整的敏感信息与隐私数据脱敏机制,同时融合简单有效的脱敏任务管理流程,构建完整的敏感信息与隐私数据安全使用与保护体系成为解决数据脱敏问题的重要课题。

2.功能和特点

农信银数据脱敏系统架构见图2,从各类生产系统数据库中获取数据,识别所获取数据中的敏感数据,自动提供脱敏规则,以人工审核为辅助,完成数据脱敏,交付第三方使用。同时该系统可实现与运维、开发平台无缝对接。

图2 农信银数据脱敏系统架构

功能和特点主要包括:第一,保持业务关联性,对于不同数据业务字段通过规则保持关联关系;第二,保持数据统计的特征,如对于身份证号中含有代表出生日期的年月日数据通过规则保证数据特征,从而保证数据更加接近真实,并确保隐私数据安全;第三,支持多种数据源,支持所有常见的数据库;第四,自动发现敏感信息,支持自定义敏感策略。

此外,该平台可无缝对接Hadoop,支持分布式部署,扩展更加容易,采用内存计算,性能更加优化。同时,通过对脱敏后的数据采取加密等保护措施,确保脱敏后数据的安全及可靠。

3.农信银实践

应用数据脱敏系统,农信银制定了“申请数据-业务关联部门审批-运维部门受理任务-操作岗拟定脱敏规则-复核岗复核脱敏规则-执行脱敏任务-交付脱敏数据”流程。

目前系统中创建了支付清算和云支付等业务条线,每个条线对应不同的审批部门和运维部门,数据脱敏操作在生产环境进行,只有脱敏后的数据才能被获取至开发测试环境,脱敏的数据主要应用于系统测试,保障了在安全前提下高效高仿真完成测试任务。

4.农信银可提供的服务

农信银一是可对外提供数据脱敏系统的安装、部署、技术支持等服务,二是可提供二次开发服务,包括版本升级,自定义脱敏规则开发,以及脱敏咨询服务(包括培训服务,脱敏流程咨询、流程制定、规范制定等)。

三、农村金融机构金融科技能力指数模型‍

1.研究背景

金融科技从业者普遍存在如下困惑:对于决策层来说,科技很重要,可是科技“看不见、摸不着”,如何管好科技、用好科技,最大限度发挥IT价值?来自业务层的“槽点”可知,业务满意度不高,然而,如何提升满意度,如何挖掘和发展新业务方向,将其量化并动态监测?在科技层面也存在诸多矛盾,科技工作本身就具有“矛盾末端呈现”的特点,问题根源也许不在IT,但IT却往往沦为“背锅侠”,痛点在哪?

为了帮助金融科技从业人员走出上述困境,农信银中心与高校实验室合作开展“农村金融机构金融科技能力指数模型”课题研究。

2.研究目的和意义

课题研究意义和目的主要体现在两个方面。

一是金融科技发展的风向标,建立一套全面衡量农村金融机构IT能力、互联网能力和金融科技融合能力的指数模型,一套可量化、可测度、可视化、可预警的农村金融机构金融科技能力指数体系(包括综合指数、若干分项指数和子指数群),具备其大小强弱高低的评分能力。

二是为普惠金融理论和实证研究提供可用的量化选择,呈现给决策者、管理者、监管者和被评价对象,以精准地揭示其IT能力、互联网能力、金融科技融合能力的强弱大小高低及发展趋势,具有十分重要的现实意义和价值,是农村金融机构金融科技建设不可或缺的环节和沟通渠道。

3.研究内容、过程及成果

作为我国首个金融科技能力评价模型,研究内容从如下三个方面展开:三个角度(IT能力、互联网能力、金融科技融合能力)、三个维度(服务能力、管理能力、治理能力)、五个层面(决策层、管理层、业务层、科技层、监管层)。

采用如下研究步骤,第一进行农村金融科技IT现状分析;第二建立指标集,参考人民银行、G20组织、世界银行等权威机构发布的相关金融指标;第三设立调查问卷,调查农信机构金融科技真实情况;第四进行指标筛选,采用人工智能方式进行仿真、学习和模拟,从而进行指标筛选,选择适用于农村金融机构的指标。最后建立能力指数体系。

4.研究成果

课题以建设“中国农村金融机构金融科技能力指数体系”为主要目标,发布《中国农村金融机构金融科技能力指数评估分析报告》。在此基础上,实现三个子目标:一是研究“中国农村数字普惠金融指数体系”,发布《中国农村数字普惠金融发展报告》,衡量农村普惠金融发展现状,助力破解普惠金融“最后一公里”难题;二是研究“电子银行和手机银行农村用户体验指数体系”,发布《中国农村金融用户体验报告》,采用IS0-9241-210:2019人机交互最新标准,从用户体验角度指导农村金融机构科技能力的改进优化;三是研究“中国农村金融机构痛点指数体系”,发布《中国农村金融机构痛点分析报告》,针对痛点问题开创痛点指数,推动农村金融机构理念转变,指导科技创新转型。

在演讲的最后,秦思思表示,除上述技术支持服务外,农信银中心还可提供支付标记化、成员单位农信银支付前置、情景式安全需求管理云平台、质量管理和标准化咨询等技术支持服务。同时,农信银中心积极倡导农信机构间的科技共享,望携手农信银机构共建开放、共享、高效的金融科技体系,在践行普惠金融、履行服务“三农”社会责任的道路上砥砺前行。(秦思思)

上一篇:

下一篇: 

中科汇联承办,easysite内容管理系统,portal门户,舆情监测,搜索引擎,政府门户,信息公开,电子政务