如今,大到国际巨头的资金往来,小到日常每一笔网上银行交易,金融IT的触角已经延伸到各个角落。我们在日常生活中频繁使用着网络支付、电子银行、移动支付等金融工具,相应的交易模式也在不断变化中。永远在线的交易,自然也促使银行业对软件质量的关注提升到了新高度。
作为一家品牌综合影响力不断扩大的地方银行,天津银行自成立以来,一直注重为用户提供专业、安全、可靠的金融服务和产品。近年来,他们更是通过部署HPE Fortify产品,进一步完善了系统安全测试流程,大幅提升了测试团队查找软件安全漏洞的效率,降低系统在实际运行中可能存在的巨大风险,从而真正为最终用户提供安全周到的金融产品。
人工方式代码审核费时、费力,时常漏检
天津银行在不断创新金融产品和服务方式的同时,持续强化信息科技安全建设,他们采取多种安全措施确保软件系统安全,如在办公、生产、测试等不同区域设置防火墙、加密机制保证网络层的安全,在新产品上线或系统升级时进行功能、业务压力测试,通过质量管理工具降低风险防止代码被改动,等等。
验收测试是天津银行对应用系统最主要的质量控制环节,而从安全角度对每款新软件进行全面的风险分析,并提出有针对性的整改方案也已经成为产品稳定上线前必不可少的一步,这项工作需要测试人员通过代码审核来完成。
代码审核是从安全角度对源代码进行分析,其关注点是有可能对软件产生威胁的安全漏洞或架构上的设计缺陷,而这些通常也是黑客攻击利用的漏洞。天津银行以前一直采用人工方式来进行代码安全检测,但这种方式会占用大量的时间和人力,并且审核的效率也不高,同时,也不能将所有的系统进行深入的检测。另外,由于天津银行外包商提供的产品,在标准、语言、操作系统版本等方面也各有差异,更加大了测试的任务量和复杂度漏检、错检的问题常有发生,这对于人员精简的天津银行软件测试部门来讲无疑是雪上加霜。
竞争的激烈导致银行业在快速推出新业务的同时,除了要保持高效的服务能力之外,更要确保客户交易安全。这种业务的快速变化迫使支撑它运行的IT系统也要更敏捷。IT必须敏捷,但业务系统却越做越复杂、越来越多,而银行又要在有限的人员投入下保证质量、防范风险,挑战和压力越来越大。快速的去交付一个软件服务,纯手工人工非自动化的方式已然不能适应业务的快速变化,所以天津银行亟需要采用专业的自动化测试工具,通过一组全面规则、测试机制在软件开发、测试过程中发现和管理软件的安全隐患,进而提升审核效率。
对于安全测试工具的选择,天津银行负责软件开发的许平副总经理认为非常有必要,她表示:“以前通过人工方式进行代码审核,虽然也能达到银监会审计要求的标准,但其实心里没有底,没有统一标准、源代码扫描不规范、细小错误能不能发现等问题都是现实存在的,软件即使审计通过上线了,但在实际运行过程中风险依然非常大。”许平希望能够采用成熟的代码检测工具来进一步完善系统测试流程,消除代码潜在的风险,提高代码的质量、可读性和可维护性,保护银行的应用。
HPE Fortify,实现源代码安全检测
在选择安全测试工具时,天津银行直接将目标选定为HPE Fortify产品。因为全世界最大的10大银行中的9家都选择了HPE Fortify。HPE Fortify在业界拥有很好的用户口碑,国内许多金融企业也广为应用这款产品进行软件安全测试。HPE Fortify是一个静态的软件源代码安全测试工具,拥有最全面的安全代码规则包,支持市场上最流行、最多样化的编程语言,安全漏洞检查也最为彻底。成熟领先的产品、丰富的实施经验、专业的服务团队让天津银行锁定HPE。
如今的黑客攻击主要利用软件本身的安全漏洞,这些漏洞是由不良的软件架构和不安全的代码产生的,而防御方案则非常明确——就是构建安全的代码。保证代码安全没有捷径可走,必须在每一个开发周期巩固软件安全性。开发人员可利用HPE Fortify进行强有力的源代码分析;安全测试人员借助HPE Fortify使测试变得可量化,更易修复漏洞;评审人员能够通过HPE Fortify从整个代码中找出安全问题,定下主次顺序,然后解决问题。
HPE Fortify完全自动化的测试流程、多维度分析源代码安全问题、精确定位漏洞产生的全路径,以及1分钟约1万行的扫描速度,让天津银行开发测试人员不仅在对源代码进行安全漏洞扫描时省时省力,还能获知详细的漏洞信息及相应的修复建议,能够在第一时间与应用开发外包团队沟通Bug所在,及时修正漏洞。
HPE Fortify通过内置的五大主要分析引擎:数据流、语义、结构、控制流和配置流对应用软件的源代码进行静态的分析,在分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来。HPE Fortify安全代码规则多达50000多条,规则内容涉及ASP.NET,C/C++,C#,Java,XML,VB.NET等多种语言,并且能够跨层、跨语言地分析代码的漏洞的产生,而上述这些也恰恰是天津银行目前系统架构所采用的多种语言环境,而HPE Fortify与世界同步的业界最权威的安全规则库,则确保了天津银行能够防范最新型的安全漏洞,在软件形成产品成本前将软件安全风险降到最低。
整合业务及服务,提升园区招商吸引力
谈到方案实施的好处,许平认为:代码审核更规范、更精确,原来人工方式无法监控到内存泄露问题,更不能定位到底是哪行代码出现内存泄露,黑客有可能会利用漏洞来影响应用或大幅度降低应用的性能,而现在,这一问题得到解决,有效降低新产品上线失败的风险,加速了对高质量应用的部署。而且通过减少漏洞被利用的频率,还有助于减少灾难恢复的成本。具体来讲还包括:
- 提升代码审核效率;
- 代码审核范围涉及全部应用;
- 安全检测标准化、制度化;
- 测试结果更规范、更全面;
同时,许平还希望搭建起一个测试团队高效协同平台,以促进银行测试团队和项目开发人员间全产品生命周期内的协作,并且能够与银行测试人员同步漏洞检测,消除测试版本部署的随意性以及环境冲突的不可预见性,减少沟通时间,推动开发质量的提高,加速新产品上线。
为了防范风险,天津银行还研究制定了信息科技风险管理制度体系,完成了信息科技系统“两地三中心”的灾备体系建设,这一系列举措将使天津银行的信息科技支撑能力进一步增强。
“部署HPE Fortify方案后,天津银行对内网、外网中所有新上线应用全部进行源代码安全测试,极大提升了软件性能,能够满足监管要求,保护系统不会受到恶意代码攻击,大幅降低企业风险”,许平最后总结道。
