太平洋保险：将安全融入应用开发的全生命周期

众所周知，一套应用部署后，它的漏洞修复成本是非常高的。对于太平洋保险来说，同样面临着应用安全的严峻挑战，有时系统来不及验证或修复，短期内只能带病上线。

太平洋保险集团首席信息安全管理专家张军称，“开发编码人员缺乏开发过程中的安全意识和经验，甚至制定的应用安全规范和标准缺乏可操作性，所以导致漏洞百出，应用安全性无法得到保障。”

太平洋保险反复反思，形成了最新的安全管理主动服务的应用安全管理思路。张军指出，“从立项和需求阶段就开始介入安全。在需求阶段提出安全需求，在开发前进行安全的设计，加强上线前和线上的一些安全的评估。同时以管理制度为指南和工具，提高应用安全落地的可操作性。通过持续的安全培训，提供系统的开发人员、测试人员对应用安全的漏洞的敏感性。在技术上提高相关的应用安全漏洞的发现和防范水平。”

太平洋保险建立了变阶段点控制为全过程管理，包括管理活动、管理职责、管理工具。并明确各个应用系统生命周期各阶段相关各团队的工作职责，最后是完善各阶段的工具、文档解决方案。同时把安全活动纳入到项目管理，上线和运维等流程进行交付控制。将安全需求库安全需求成果，以及应用安全架构及方案分别纳入项目计划阶段，需求说明书，以及架构设计当中。上线发布阶段制定相应的安全期限检查流程，检查结果作为上线的条件之一。

在运维阶段，对电商的应用进行定期检查，发现问题纳入公司漏洞管理和缺陷管理进行分析和跟踪。在治理方面，太保已经形成了较为完善的IT治理架构。

张军指出了太平洋保险在应用安全方面的具体职责，负责对应用系统安全的需求分析、架构设计、安全的解决方案以及安全漏洞、检查分析工作。而规划、需求项目管理部与安全部一起完成意向报告中的安全可行性分析。

开发部门在项目开发阶段实现安全的需求和架构，负责完成安全的编码。同时安全团队也积极转变观念，主动的提供服务。定位转变后的安全团队将在立项阶段开始作为项目组成员参与项目的实施，负责项目立项的报告可行性分析，需求架构阶段的安全分析代码阶段负责编码培训，完善相应的安全解决方案。应用测试阶段负责对测试部门测试人员进行培训。上线运行阶段负责定期巡检、发现漏洞，并且协调漏洞的响应。在需求阶段，安全团队基于威胁分析结果形成了应用安全需求调研表，结合硬件和业务系统应用情况，分析明确应用系统所能涉及的安全领域和风控点。

加强安全验证方面，主要由安全部和测试部共同实施，采用自动和人工两种方法去做，一是对漏洞进行扫描，发现漏洞和跨站等问题。二是安全利用手工验证方式进行功能验证，发现一些异常处理权限控制、文件管理和汇报管理等，与一些不符合设计要求的地方。应用上线以后运行阶段，同时从两个方面进行安全漏洞和缺陷的检查。

“第一是每个月定期对外网应用进行漏洞扫描。二是主动检查。我们不断的完善有关安全的操作指南和模块化的工具。在需求阶段，我们将安全的技术标准规范进行解读，形成了应用安全代言表，根据不同应用面临的风险，将安全需求进行分类，制订了应用安全分级标准。逐步将需求进行规范化、通用化，以及便于团队沟通协同工作。”张军说。

同时，太平洋保险也在积累和完善标准化的安全架构设计和解决方案。为编码人员制订了安全的编码指导手册，不断的积累、完善模块化开发工具、组件等等。为测试人员编制标准的测试样例、完善标准的测试方法。在加强培训指导方面，安全意识培训在前期主要培训对象是项目经理，项目主管，以及项目需求人员。通过提升这些人员的安全意识，可以在项目的日常管理工作和需求提出的时候就能想到安全。对代码规范培训是让开发人员了解安全编码相关的要求。在安全的测试培训中，对安全验证人员培训他们如何利用工具发现有关漏洞，如何有效分析自动化的工具发现问题。从而提高安全测试的覆盖面，以及测试的深度。

所以，在应用安全上，太平洋保险已经初步建立了全程管理应用安全机制和策略，并在可操作性安全主动性方面进行改进。当然，除了在一些管理制度和流程上的完善外，技术手段同样不可少。从业界各厂商提供的解决方案来看，主要是通过定位与修复，防护和延缓以及代码安全三种方式应对应用安全。定位与修复采用的是最简单的方法普遍的方式是应用的自动扫描和深度测试。防护和延缓主要采用防火墙技术。代码安全是通过软件开发安全的生命周期各阶段活动实现。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友