1.方案介绍1.1 方案建设背景和意义

“十四五”时期，全球金融信息化发展态势不断融合，数字金融技术日新月异，金融数字化转型进程逐步推进并进入新阶段。“后疫情时代”全球数字金融产业链深刻变化、软件供应链安全事件倍速发生、新理念新技术带来了新的巨大挑战、软件供应链安全问题更加复杂化、多元化，软件安全成为社会根本性、基础性问题。另外基于我国大量采买境外基础软件的普遍现状，开源软件存在进出口管制风险、知识产权风险、开源软件漏洞风险。软件供应链安全已然上升到国家安全层面，金融行业需要立即构建自主可控、安全可信的软件供应链安全体系，保障国家数字化安全转型。

本方案基于上述背景，结合金融数字安全实际需求设计，目的在于保障数字金融业务遭受软件系统自身缺陷、第三方软件以及供应商的安全水平、开源生态的安全隐患、恶意攻击的安全威胁等安全限制。助力数字金融安全运转，增效数字中国安全发展。

1.2 方案建设目标

本方案建设旨在解决规范软件在金融数字业务系统生命周期中的安全采集、安全管理及安全使用，从系统开发源头构建完整的软件供应链安全。始终坚持确保软件供应链的完整性、保密性、可用性、可控性。

完整性：确保在软件采集和使用、管理等所有环节中，软件产品和服务不被植入、篡改、替换和伪造。

保密性：确保软件采集和使用、管理等所有环节中，传递的敏感信息不被未授权泄露。

可用性：确保软件采集和使用、管理等所有环节中，避免遭受不合理拒绝。

可控性：是指金融企业对软件产品、服务或软件技术供应链的控制能力。可控性包括软件技术供应链可追溯性，也包括软件技术供应链信息的理解或透明度、对数据的支配能力、对所拥有和使用软件产品的控制能力、对使用软件产品和服务的选择权、软件产品服务或软件技术供应商的行为与合同协议相符等。

1.3 主要任务

构建覆盖整个软件生命周期的安全管理平台，保障金融行业软件供应链的安全，建设模块重点在以下几个模块：

·准入安全（包括软件来源、软件安全合规、软件资产管理、服务支持、安全应急响应等）

·DevSecOps落地

·安全开发一体化

·全流程自动化

·合规化

·准出安全（包括软件来源、软件安全合规、软件资产管理、服务支持、安全应急响应等）

实现对整个软件生命周期的软件安全采集、安全编码、安全管理、安全使用、安全监控等。

2. 方案建设内容2.1 准入安全（包括软件来源、软件安全合规、软件资产管理、服务支持、安全应急响应等）

根据完善的数据模型，对所引入的软件项目进行各个维度的数据采集，得出评估业务系统的综合评分。协助开发和安全人员对软件供应链产品以及供应商进行相对优质的选择，同时辅助安全人员对组件的安全性进行溯源。

此外，由于我国基础软件项目主导能力不足，存在开源断供风险、代码安全风险、知识产权风险以及自主创新风险,在准入安全的建设和赋能中尤其要重视开源成分的安全采买、安全使用、安全退出。

2.2  DevSecOps落地

DevSecOps从DevOps的概念延伸和演变而来，其核心理念是安全需要贯穿从开发和运营整个业务生命周期每一个环节才能提供有效保障，实现安全与业务流程的良好整合。本方案运用DevSecOps理念实践作为贯穿思路，打破传统安全门禁，实现软件供应链全链路的多维、全面安全保障。

2.3 安全开发一体化

以“安全左移”为核心理念，让安全覆盖需求、设计、研发、验证、发布、运营的全生命周期，搭建安全体系，减少安全威胁以降低安全成本，全方面提升金融数字业务的安全性及人员安全能力，从软件供应链安全角度为数字业务系统的实现更完善的安全赋能。

2.4 全流程自动化

方案的各个模块以及各个技术工具既将安全无缝集成到DevOps ，又能实现安全解耦；当安全原子能力的检测升级、扩展、更新，无需调整或影响研发流水线。

2.5 合规化

方案结合各项安全合规管理制度以及标准，帮助建设和改善金融业务软件应用安全合规管理体系。实现对安全合规的管理，帮助金融企业规避合规风险。同时帮助金融企业建设好安全组织体系、安全管理体系和安全技术体系的全面安全保障体系。

2.6 准出安全

在准入安全的基础上将重点落在软件上线前安全检测以及上线后运行时安全检测与防护、应急响应体系建设等。帮助金融企业实现“安全左移”的同时，让安全覆盖软件活动的所有阶段。

3. 关键技术方案

3.1 验证阶段

在软件开发验证阶段，主要使用安全工具进行测试确保编码实际安全，同时对于开源及第三方组件进行风险管理。在该阶段投入使用静态代码审计工具、动态应用安全测试工具、交互式应用安全测试工具、软件成分分析工具，通过多种自动化工具结合使用，针对数字应用的自身安全、隐私问题进行全面、深度测试。

3.1.2 交互式应用安全测试系统（IAST）

IAST的优点在于其可支持DevSecOps，以及可对应用程序进行持续的实时测试、监控、评估和验证。

在验证阶段进行业务测试时使用交互式应用安全测试系统（IAST），部署Agent程序同步完成安全测试，在业务测试完成后，输出安全测试报告。报告展示的漏洞信息能够精确定位漏洞具体位置，能提供专业的安全修复建议，帮助开发人员快速地完成问题定位及漏洞修复。

3.1.2 软件成分分析（SCA）

使用软件成分分析（SCA）工具对开源供应商健康度评估，辅助完善项目架构和组件选型；对软件自研成分产权分析，保障应用自身的自主可控性；提供软件物料清单管理SBOM，实现全生命周期的风险评估、选型引入、监测预警和响应修复；提供修复方案、组件推荐及一键式修复功能。

利用工具准确识别软件中的开源成分以及代码安全性，为安全评估提供重要的手段支撑，同时提高代码自主水平。

3.2 运行阶段

使用“All in one三合一”交互式应用安全检测和开源成分安全分析与免疫防御一体化平台ASTP，通过正常业务使用同步无感知地完成对数字应用及所引用的三方组件进行漏洞检测和漏洞定位。当发现漏洞或遇到异常攻击时，根据IAST输出的漏洞风险元数据和动态执行指纹，立即自动激活免疫防御能力，实现IAST和RASP有效智能攻防结合，让数字应用具备事前主动、全面、精确的代码免疫防御能力。

4. 结束语

未来全球金融信息化程度将越来越高，相应的风险也进一步提升]。方案以安全管理平台为实践载体，以辅助和共生的形式对金融企业内业务及责任等进行保障，目前主要运用于以数字业务为核心的金融类组织。保障金融企业对于开源以及三方应用的安全引入和管理，以及后续项目的开发、使用、防护的安全赋能。保证业务系统安全高效运行，持续、稳定的产生价值；保护数据不被非法窃取或破坏，不被因数据产生经济损害。

同时，方案可助力金融企业通过对业务和场景梳理，对供应商和引入的开源项目的筛选，并将在建和运营项目纳入系统的监控范围，建设贴身的、动态的、可持续性的数据安全体系（技术、管理、运维），保障金融企业数据安全机密性、完整性、可用性，确保业务在安全的环境下稳定运行。