国舜股份全生命周期开发安全解决方案以业务安全和信息安全为出发点，通过流程、制度、规范的梳理，相关人员安全意识的培训，威胁资源库、安全测试资源库等相关资源的建设，充分保障开发出来的业务系统满足业务安全和信息安全的需求，保障业务的稳健持续发展。

一、全生命周期开发安全解决方案的实施背景

随着业务电子化依赖程度的加深以及服务趋于开放互联，全球网络安全威胁事件近年来不降反升，如何快速响应千变万化的业务需求，并在敏捷开发的过程中保障信息系统的安全性，成为大多数政企、金融机构正在面临也必须解决的关键问题。

信息系统安全性保证是通过对其全生命周期各阶段的管理共同实现的，以往只在测试、运维阶段关注安全性的管理方式，治标不治本。新业务的安全需求促使对系统安全性的考量从事后处置走向事前预防，这也意味着安全管理必须从系统的运维阶段大幅前移，覆盖包括需求、设计、开发、测试、部署、运维的全生命周期。安全介入得越早，系统潜伏的安全隐患就会越少，而对漏洞修复的成本也会越低。

二、全生命周期开发安全解决方案的主要内容和成效

国舜股份全生命周期安全开发解决方案深度消除安全隐患，支持安全工作从运维阶段大幅前移，覆盖包括需求、设计、开发、测试、部署、运维等信息系统全生命周期。

全生命周期开发安全解决方案包括全阶段安全服务、安全开发组件库、情景式安全分析需求平台等内容。

（一）全阶段安全服务

全生命周期开发安全服务涵盖需求、设计、编码、测试、部署等全阶段的安全咨询、安全培训、安全检测等服务。具体包括

1.需求阶段：安全需求流程和规范咨询服务、威胁资源库咨询服务、安全需求培训等。

2.设计阶段：安全设计流程和规范咨询服务、安全设计培训等。

3.编码阶段：安全编码流程和规范咨询服务；源代码审计流程、规范咨询服务；安全开发培训等。

4.测试阶段：安全测试流程和规范咨询服务、安全测试资源库咨询服务、业务测试培训、安全测试培训、渗适测试培训、安全管理体系咨询服务等。

5.部署阶段：上线流程、规范咨询服务；安全配置基线咨询服务；基线检测服务等。

（二）安全开发组件库

安全开发组件库是面向企业应用系统的一站式应用安全解决方案，用于防范常见的应用系统安全漏洞，从攻击防御、 安全工具、 业务安全功能等层面提升应用系统安全防护水平，帮助应用开发者低成本接入安全解决方案，全方位保障应用系统的安全性。具有以下特点：

♦ 独立的 jar 包灵活配置，开关机制；

♦ 统一的调用接口，易于集成与代码识别，便于扩展；

♦ 单独的管理系统，生成组件代码指纹，便于版本管理；

♦ 关联上下文反馈日志，与后台线下分析系统联动，准确定位；

♦ 质量保障，经过严格的内部测试。

（三）情景式安全需求分析平台

情景式安全需求分析平台通过用户对系统及业务场景的描述，利用成熟化威胁资源库和威胁分析方法论，对系统进行威胁分析和安全需求分析，对关键流程进行详细安全分析，最后为用户生成标准安全需求文档和安全设计建议，为开发人员提供安全开发指导。

情景式安全需求分析平台主要由威胁资源库、安全需求分析、安全设计、安全测试用例四部分组成：

1.威胁资源库

国舜安全威胁资源库结合中国国情和本土化安全环境对威胁进行分类补充，基本囊括了目前市面上所有的威胁种类。它把这些具体的威胁种类抽象成一系列的攻击模式，威胁资源库中的每个攻击模式都从攻击者的视角对其对应的攻击的设计和执行进行了说明，并给出了如何降低攻击影响的方法和措施。通过对攻击模式的了解和掌握，攻击防护者能够更好地理解和掌握特定攻击的各个因素，更好地防范攻击者的后续攻击。

国舜威胁资源库根据攻击机制将威胁归为16个大类，每个类别中又根据对攻击手法的描述的抽象程度分为3种模式，分别是元攻击模式（Meta Attack Pattern），标准攻击模式（Standard Attack Pattern）和（Detailed Attack Pattern）精细攻击模式。元攻击模式是一类攻击手法的概括性描述，通常不包含具体的技术实现细节；标准攻击模式是针对某一具体的攻击方法进行描述，包括了完整的实现流程，它比元攻击模式更具体；精细攻击模式需要满足的特定条件更特殊，比标准攻击模式描述的也将更具体，它的实现往往需要融合多个标准攻击模式的方法和手段。

在安全威胁分析的基础上，借助威胁资源库，将有力提高安全需求分析的完备性，减少安全需求分析的工作量。

2.安全需求分析

由于系统数量庞大、互相之间关系错综复杂，基于单一系统的安全需求分析已难以满足实际业务的需要，有必要在现有安全需求分析的基础上，建立超越单一信息系统，以客户为对象，以客户的行为和应用场景为基础的威胁分析和安全需求。在此安全需求的基础上，拓展相应的安全设计方案和攻击消减措施，以及配套的测试方案。在开发过程中，在现有开发安全工作的基础上，全面应用，建立更加完整、合理的安全开发体系。

本方案参考国内外安全开发经验，包括研究微软SDL、思科CSDL、《ISO/IEC 27034安全开发标准》，以及国内同行的实践经验，结合安全开发的实践经验，在明确客户C（Confidentiality机密性）、I（Integrality完整性）、A（Availability可用性）属性的基础上，引入微软的STRIDE威胁分析模型，通过了解攻击者的想法、描绘安全系统和确定威胁来进行威胁建模，评估、计划以及降低应用程序可能面临的风险，通过对客户的STRIDE分析和要素分解分析，立体展现以客户为中心的安全威胁，形成超出单一系统的统一安全需求。

3.安全设计库

针对安全设计库的效用主要体现在：

（1）安全需求实现的质量有保障；

安全设计库的建成将通过成熟的安全设计方案来解决日常的安全需求开发问题，可以消除程序员水平参差不齐带来的质量问题，安全需求实现的质量有保障。

（2）降低安全需求实现的成本。

安全设计库的建成将极大地降低安全需求开发的成本，利用成熟的安全设计库，只需要参照示范进行合适地设计和调整，就能完成安全需求，安全需求实现的成本大大降低，而安全效果更高。

4.安全测试用例

目前在实际工作中，安全测试过分依赖测试人员的个人水平，导致测试结果不稳定，同时测试资源严重不足，安全测试工作无法保障。为此，有必要对安全测试进行深度的整理，针对具体攻击模式建立对应的测试验证方案，将安全测试规范化，保证安全测试的效果的稳定。

国舜股份基于丰富的安全实施经验，分析总结过往处理的安全漏洞，以及在乌云漏洞平台、补天漏洞平台上的相关案例，针对平台中的每一条安全需求，制定了对应的安全测试用例，包括安全测试流程、测试方法，和相关测试工具的使用方法。

三、全生命周期开发安全解决方案的主要做法和经验

在为国内某著名股份制银行（在股份制银行中名列前茅）服务过程中，国舜股份安全开发服务团队首先对客户的现有开发流程进行完整地安全评估，发现存在不少安全隐患：

1.开发团队对安全了解有限，存在很多安全缺陷；

2.上线前没有充分的安全测试，导致有些系统的安全隐患比较大；

3.即便发现安全隐患，但时间紧，开发整改速度慢，导致带病上线等。

按照客户的实际需求和管理组织、机制，对安全开发体系进行全面的梳理，建立完整的安全开发流程和规范，建立了威胁资源库和安全测试资源库。并同时建立上线检测流程。

在此之后，开发产品的安全质量有明显提高，杜绝带病上线的情况，上线前安全检测发现的漏洞数量大幅减少。

银行通过建立和完善全生命周期开发安全管理体系，将安全保障贯穿信息系统生命周期始终。保证了信息系统生命周期各阶段安全活动有明确的部门和角色来执行，分工明确，责任落实，便于量化考核。同时，通过工具的推广使用，节省安全成本。在信息系统开始规划阶段即全面考虑系统安全问题，实施各种安全控制措施，从而达到早发现、早预防、早整改，节省综合成本。解决安全问题、简化安全管理。

四、全生命周期开发安全解决方案带来的效益

全生命周期开发安全解决方案通过全阶段信息系统安全护航，有利于提升客户开发团队的安全意识和安全开发能力，从而开发出更加安全的产品；有利于提升客户开发团队的安全意识和安全开发能力，在发现安全问题，进行响应、整改时能够更加快速而有效；有利于提升客户安全投入的使用效率，可以在系统的早期就消灭很多安全隐患，将信息安全的“早发现，早响应”，升级为“早预防、早发现、早响应”，并能及时发现开发过程潜在的安全风险，为下一步的信息安全建设指明方向。