客服熱線:400-868-5678

??

您所在的位置:首頁 > 新聞中心 > 媒體報道

農信銀技術支持服務方案和實踐

2019年12月30日      來源:金科創新社      點擊次數:

在11月28-29日由農信銀資金清算中心主辦,金科創新社承辦的“2019農村金融科技創新與共享發展會議暨第三屆農村金融科技創新優秀案例評選”上,農信銀資金清算中心創新研發部經理秦思思就源代碼安全掃描云平臺、數據脫敏系統、金融科技能力指數模型等科技創新應用,對農信銀可提供的技術支持服務方案和實踐經驗進行了詳細的解讀和介紹。

一、源代碼安全掃描云平臺?

《銀行業金融機構信息科技外包風險監管指引》明確提出,“對重要或核心的信息系統開發交付物進行源代碼檢查和安全掃描”。近年來,央行、銀保監會等監管機構對源代碼安全的要求越來越具體、越來越嚴格,相對于網絡安全、數據安全,源代碼安全是將安全策略前移,對提升系統安全性更具效力。

源代碼安全是指在編碼階段盡可能減少安全漏洞,如果通過提升開發人員軟技能等方式實施,一方面難度較大,另一方面也不夠直觀、直接,一款自動化掃描工具可以很好地解決該問題。以往類似工具在應用過程中存在掃描不全、誤報太多、開發人員使用意愿不強、無法對開源組件掃描、用戶管理難等問題。

針對上述問題,農信銀中心提供了源代碼安全掃描云平臺(如圖1所示),一款基于源代碼靜態掃描的工具平臺,主要包括兩大功能模塊:分析引擎模塊和掃描管理模塊。其中分析引擎模塊是平臺的核心模塊,由代碼安全分析引擎(對代碼進行檢索分析的核心功能)、代碼安全規則庫、開發語言適配器(支持多種開發語言)、語法樹生成器等部分組成。

圖1 農信銀源代碼安全掃描云平臺

1.功能和特點

掃描不全、誤報太多、想增加規則怎么辦、多級機構怎么管理、面臨國產化要求怎么實現、開源組件如何處理、能和代碼規范掃描工具繼承嗎……針對源代碼掃描產品使用中的上述困惑,源代碼安全掃描云平臺提供了相應的解決方案。

一是代碼安全分析。平臺支持包括CVECWEOWASP在內的所有常見漏洞規則庫,可自定義代碼安全規則,很好地解決掃描不全的問題。

二是安全審計。通過漏洞說明和修復建議、調整漏洞分級策略、維護TOP10漏洞級別等功能很好地應對誤報太多的問題,同時可逐步規范和提高安全代碼開發能力。

三是平臺化操作。通過自動任務掃描、集成常見配置工具功能,開發人員只需設置好任務,無需參與掃描過程,在掃描完后登錄云平臺查看掃描結果,根據漏洞修復建議改善代碼即可,很大程度提高了開發人員使用意愿。

四是開源組件掃描。平臺支持開源組件掃描,檢測開源組件使用情況、提供漏洞修復建議。

五是分布式部署。掃描引擎支持分布式部署,可提供云服務、多層級機構管理及收費功能。一級機構在使用過程中,可充分利用這個功能,對二三級機構用戶進行管理,包括成本核算的需求均可以實現。

六是代碼規范工具。平臺本身不支持代碼編寫規范的掃描,但通過集成常見代碼規范掃描工具,如Checkstyle(一款開源的代碼編寫規范掃描工具)等,可做到代碼規范掃描。

七是安全可控。掃描引擎完全國產化,與國外先進產品相比,掃描規則更加靈活,接口更加開放。如掃描50萬行代碼,國外產品耗時70分鐘,云平臺只需27分鐘。

2.農信銀實踐

農信銀中心開發和上線前兩個環節應用源代碼安全掃描平臺。開發環節,要求開發人員自助掃描,項目組自管理;上線前,要求配置管理員必須將即將封版的代碼,提交源代碼掃描云平臺掃描,掃描結果經專人審計通過后方可提交產品庫。

在源代碼安全掃描云平臺的應用過程中,農信銀中心總結了如下經驗。第一,發布應用安全開發規范,指導和規范開發人員寫出相對安全的代碼;第二,持續發布和完善軟件源代碼安全漏洞列表及修復指南,作為開發人員修復安全漏洞的直接依據,指南中出現的漏洞開發人員必須修復,堅決杜絕將安全問題帶入生產環境。第三,自定義項目常見漏洞檢測規則,在漏洞指南的基礎上,自定義項目漏洞檢測規則,以不斷豐富規則庫;第四,在實施中采用“全量掃描 +增量掃描”方式,這也是平臺落地的關鍵。掃描平臺上線之初,很多系統已經運行在生產環境中了,通過對代碼進行全量掃描后,解決所發現的大量問題,后續則只針對增量代碼進行掃描。通過1到2年的經驗積累,開發人員的編碼習慣和技能得以很好的規范和提升;第五,定期發布度量數據,跟蹤整改。農信銀于2016、2017年重點做全量掃描,2017年的度量數據顯示,漏洞密度高達0.42個/KLOC,2018年逐漸將全量掃描轉為增量掃描,嚴重漏洞密度降低至0.05個/KLOC,2019年進一步下降至0.01個/KLOC。

3.農信銀可提供的服務

基于對源代碼安全掃描云平臺的開發和使用經驗,農信銀中心一方面可以提供成熟產品的技術支持服務,并可定制掃描流程。另一方面也可以直接提供代碼掃描服務和咨詢服務,包括個性化規則開發、漏洞審計服務、代碼安全咨詢服務等。

二、基于大數據技術的數據脫敏系統?

1.銀行業的數據脫敏需求

國家層面和行業監管層面對銀行業用戶隱私數據和個人信息保護都提出了嚴格和明確的要求。《中華人民共和國網絡安全法》對擁有大量隱私數據以及個人信息的行業,提出了更高脫敏要求;《金融科技三年發展規劃》要求加大金融信息保護力度;《人民銀行〔2019〕第7號》指出,在數據使用或披露前,涉及C級(C級,一旦丟失、泄露、被篡改、被損毀會對社會公眾利益造成危害)及以上數據的,應采用數據脫敏技術,確保開發測試環境中的數據脫敏使用,對外披露數據的脫敏處理等;《中國銀行業“十二五”信息科技發展規則監管指導意見》要求,加強數據、文檔的安全管理,逐步建立數據資產分類分級保護機制,完善敏感信息存儲與傳輸等高風險環節的控制措施,對數據、文檔的訪問應建立嚴格的審批機制,對用于測試的生產數據要進行脫敏處理,嚴格防止敏感信息泄漏;《銀保監會信息科技風險現場檢查指南》規定,測試中如需使用生產數據,應對相應數據進行脫敏、變形處理,當使用生產數據測試時需得到高級管理層的審批并采取相關限制及進行脫敏處理……

數據脫敏是指按照脫敏規則對敏感信息進行數據的變形,實現敏感信息的可靠保護。銀行業在數據脫敏過程中面臨的問題主要體現在,需提供系統測試、業務測試或場景模擬中所需的大量真實數據,采用人工腳本進行生產數據脫敏,不僅費時費力,而且效率低下、質量不高。

建立一套靈活的、自動化的、可調整的敏感信息與隱私數據脫敏機制,同時融合簡單有效的脫敏任務管理流程,構建完整的敏感信息與隱私數據安全使用與保護體系成為解決數據脫敏問題的重要課題。

2.功能和特點

農信銀數據脫敏系統架構見圖2,從各類生產系統數據庫中獲取數據,識別所獲取數據中的敏感數據,自動提供脫敏規則,以人工審核為輔助,完成數據脫敏,交付第三方使用。同時該系統可實現與運維、開發平臺無縫對接。

圖2 農信銀數據脫敏系統架構

功能和特點主要包括:第一,保持業務關聯性,對于不同數據業務字段通過規則保持關聯關系;第二,保持數據統計的特征,如對于身份證號中含有代表出生日期的年月日數據通過規則保證數據特征,從而保證數據更加接近真實,并確保隱私數據安全;第三,支持多種數據源,支持所有常見的數據庫;第四,自動發現敏感信息,支持自定義敏感策略。

此外,該平臺可無縫對接Hadoop,支持分布式部署,擴展更加容易,采用內存計算,性能更加優化。同時,通過對脫敏后的數據采取加密等保護措施,確保脫敏后數據的安全及可靠。

3.農信銀實踐

應用數據脫敏系統,農信銀制定了“申請數據-業務關聯部門審批-運維部門受理任務-操作崗擬定脫敏規則-復核崗復核脫敏規則-執行脫敏任務-交付脫敏數據”流程。

目前系統中創建了支付清算和云支付等業務條線,每個條線對應不同的審批部門和運維部門,數據脫敏操作在生產環境進行,只有脫敏后的數據才能被獲取至開發測試環境,脫敏的數據主要應用于系統測試,保障了在安全前提下高效高仿真完成測試任務。

4.農信銀可提供的服務

農信銀一是可對外提供數據脫敏系統的安裝、部署、技術支持等服務,二是可提供二次開發服務,包括版本升級,自定義脫敏規則開發,以及脫敏咨詢服務(包括培訓服務,脫敏流程咨詢、流程制定、規范制定等)。

三、農村金融機構金融科技能力指數模型?

1.研究背景

金融科技從業者普遍存在如下困惑:對于決策層來說,科技很重要,可是科技“看不見、摸不著”,如何管好科技、用好科技,最大限度發揮IT價值?來自業務層的“槽點”可知,業務滿意度不高,然而,如何提升滿意度,如何挖掘和發展新業務方向,將其量化并動態監測?在科技層面也存在諸多矛盾,科技工作本身就具有“矛盾末端呈現”的特點,問題根源也許不在IT,但IT卻往往淪為“背鍋俠”,痛點在哪?

為了幫助金融科技從業人員走出上述困境,農信銀中心與高校實驗室合作開展“農村金融機構金融科技能力指數模型”課題研究。

2.研究目的和意義

課題研究意義和目的主要體現在兩個方面。

一是金融科技發展的風向標,建立一套全面衡量農村金融機構IT能力、互聯網能力和金融科技融合能力的指數模型,一套可量化、可測度、可視化、可預警的農村金融機構金融科技能力指數體系(包括綜合指數、若干分項指數和子指數群),具備其大小強弱高低的評分能力。

二是為普惠金融理論和實證研究提供可用的量化選擇,呈現給決策者、管理者、監管者和被評價對象,以精準地揭示其IT能力、互聯網能力、金融科技融合能力的強弱大小高低及發展趨勢,具有十分重要的現實意義和價值,是農村金融機構金融科技建設不可或缺的環節和溝通渠道。

3.研究內容、過程及成果

作為我國首個金融科技能力評價模型,研究內容從如下三個方面展開:三個角度(IT能力、互聯網能力、金融科技融合能力)、三個維度(服務能力、管理能力、治理能力)、五個層面(決策層、管理層、業務層、科技層、監管層)。

采用如下研究步驟,第一進行農村金融科技IT現狀分析;第二建立指標集,參考人民銀行、G20組織、世界銀行等權威機構發布的相關金融指標;第三設立調查問卷,調查農信機構金融科技真實情況;第四進行指標篩選,采用人工智能方式進行仿真、學習和模擬,從而進行指標篩選,選擇適用于農村金融機構的指標。最后建立能力指數體系。

4.研究成果

課題以建設“中國農村金融機構金融科技能力指數體系”為主要目標,發布《中國農村金融機構金融科技能力指數評估分析報告》。在此基礎上,實現三個子目標:一是研究“中國農村數字普惠金融指數體系”,發布《中國農村數字普惠金融發展報告》,衡量農村普惠金融發展現狀,助力破解普惠金融“最后一公里”難題;二是研究“電子銀行和手機銀行農村用戶體驗指數體系”,發布《中國農村金融用戶體驗報告》,采用IS0-9241-210:2019人機交互最新標準,從用戶體驗角度指導農村金融機構科技能力的改進優化;三是研究“中國農村金融機構痛點指數體系”,發布《中國農村金融機構痛點分析報告》,針對痛點問題開創痛點指數,推動農村金融機構理念轉變,指導科技創新轉型。

在演講的最后,秦思思表示,除上述技術支持服務外,農信銀中心還可提供支付標記化、成員單位農信銀支付前置、情景式安全需求管理云平臺、質量管理和標準化咨詢等技術支持服務。同時,農信銀中心積極倡導農信機構間的科技共享,望攜手農信銀機構共建開放、共享、高效的金融科技體系,在踐行普惠金融、履行服務“三農”社會責任的道路上砥礪前行。(秦思思)

上一篇:

下一篇: 

11迭5走势图 中科匯聯承辦,easysite內容管理系統,portal門戶,輿情監測,搜索引擎,政府門戶,信息公開,電子政務