上篇 | DevSecOPs在金融机构的落地实践

大家好,我是哒佬

金融行业面临的安全挑战

随着互联网技术的不断创新发展,越来越多的行业通过互联网为客户提供服务,其中互联网金融已成为金融行业发展的热点。同时,由于其特殊性,金融行业一直都是网络犯罪的主要目标,也是我国网络安全的重点行业。
合规。合规是金融企业的底线,其各项业务开展以及IT发展,必须遵守各项管理规定。随着《网络安全法》的正式施行,国家对保护公民个人信息等权益的重视,已经上升到新的高度。
内外部威胁。一直以来,金融行业都面临着境外黑客组织的高级持续威胁(APT)的对象。攻击者利用行业软件与供应链安全等影响面广的问题或漏洞,入侵系统获取公民信息或其他金融信息,造成巨额损失和市场声誉风险。据IBM的《2020年数据泄露成本报告》,金融服务行业数据泄露的平均成本为585万美元,而所有行业受访者的平均成本为386万美元。
IT成熟度相对低。据《证券经营机构信息系统生命周期安全管理现状调研报告2017》显示,56%的证券经营机构,自研比例在10%以下。自有IT研发人员少,依靠大量外购或外包人员,IT软件成熟度较低。从攻击面资产管理还大量依靠文本工具管理方式,也可以看出安全成熟度更低。
安全人才缺乏。从证券经营机构安全管理来看,多数公司的专职安全人员只有1-3人,日常工作主要承担防火墙、安全检测、补丁管理等较为传统的安全工作。随着近年对安全的越发重视,经营机构开始成立独立的安全团队,但随着IT技术部门人员的扩张,安全团队人员占比却持续降低。

DevOps转型及遇到的挑战

技术在不断发展,软件开发模式也在不断变化,从传统的瀑布式到敏捷(Agile)、精益(Lean),越来越多的公司开始采用DevOps。中国信通院发布的《中国DevOps现状调查报告(2020年)》显示,采用DevOps实践获得了研发效率、交付速度的极大提升。

从2017年开始,经营机构全面向敏捷及DevOps转型,DevOps平台也在同步自研中,目前已具备相对完善的功能,大量项目在逐步迁移至DevOps平台。DevOps的转型快速提升了软件开发的速度和质量,但传统的安全运营模式却在严重影响产品交付速度和系统上线周期。最后,在业务的压力下,很多应用未进行安全测试就上线,带来了巨大的安全风险。
但Gartner在2015年数据中心和信息安全峰会的调研报告显示,安全已经成为IT DevOps发展的阻碍。经过调研,安全人员和研发人员都认为,安全降低了IT对于业务需求的响应速度。因此安全必须要积极转型,以适应DevOPs全新的开发过程。
在此趋势下,DevSecOps诞生了,DevSecOps的出现是为了改变和优化之前安全工作的一些现状,比如安全测试的孤立性、滞后性等问题,通过固化流程、加强不同人员协作,通过工具、技术手段将可以自动化、重复性的安全工作融入到研发体系内,让安全及合规作为属性嵌入到DevOps开发运营一体化中,在保证业务快速交付的同时实现安全内建(BUILDSECURITY IN),降低IT安全风险。
(0)

相关推荐