毕业论文网
本论文主要论述了安全管理论文范文相关的参考文献,对您的论文写作有参考作用。
对商业银行开源软件安全管理
开源软件具有开放、共享、自由等特性,对促进云计算、大数据、区块链、人工智能等前沿技术发展起到了十分积极的推动作用.当前,商业银行在金融科技创新中广泛应用这些前沿技术,使用开源软件也成为一种新常态.然而,近年来开源软件频繁曝出高危漏洞,使商业银行在享受开源软件便利的同时,也承担着巨大的风险.如何在使用开源技术的过程中有效规避风险,成为考验商业银行安全管理水平的一个重要课题.
一、商业银行开源软件使用现状和特点
2016 年7 月, 原银监会发布《中国银行业科技“十三五”发展规划的指导意见(征求意见稿)》,提出“鼓励合规使用开源技术和正版软件”“积极研究开源软件在银行重要信息系统的应用”等意见.近几年,商业银行的研发、运维等工作领域日益普遍应用开源软件,尤其是在集中式架构向分布式转变过程中,Linux 等开源软件体现出不可或缺的作用.总体来看,商业银行对开源软件的使用呈现出一些新特点.
1. 转变态度,积极拥抱
同所有的企业一样,商业银行使用开源软件的主要驱动力是提高效率、节约成本.传统集中式架构的双高(资金成本高、时间成本高)以及金融科技创新对工作效率的高要求,都促使商业银行放下偏见,逐渐由抵制拒绝转为积极拥抱开源软件.
2. 使用为主,灵活创新
当前,开源软件在商业银行的应用规模仍然偏小,大多数银行还是以使用为主,对于开源社区的贡献较少,将自己研发的软件进行开源更是凤毛麟角.许多商业银行基于开源软件进行了自主创新,搭建了符合自身需求的信息系统,在大数据、云计算等领域尤其明显.
3. 选型慎重,规划长远
商业银行普遍重视开源软件的选型,在使用之前会根据自身需要进行综合评测,除了功能性、适用性之外,还看重许可证、安全性、兼容性、可维护性等指标,同时关注开源社区的活跃度、发展前景等,以满足长远发展需要.
4. 强调安全,关注合规
商业银行对业务连续性要求较高,同时面临严格的外部监管.因此,商业银行在引入和使用开源软件时比较注重安全合规问题,希望开源软件是安全、稳定、可维护的,也希望不要引发知识产权相关纠纷问题.
二、商业银行开源软件安全管理问题
一直以来,关于开源软件的安全性有“众人之眼”的说法——越多人盯着就越安全,但这种理论并不适用于所有情况.近几年,开源软件曝出的漏洞层出不穷,因开源软件安全问题引发的事件也时有发生.2017 年9月,全球最大的信用报告机构之一Equifax 公司,因使用存在漏洞的Apache Struts 开源组件而被攻击,造成大约1.479 亿人的身份信息泄露,在业界引起轩然大波.新思科技在《2018 年开源代码安全和风险分析》报告中指出,其审计的1100 多个商业代码库中,平均每个代码库包含64 个漏洞.可见,当前开源软件面临的安全形势十分严峻.与此同时,我国商业银行开源软件安全管理亦存在一定不足.
1. 对开源软件安全重视程度不足
尽管漏洞不断,但开源软件的安全仍极易被忽视.有的商业银行对开源软件漏洞的危害性认识不清,重视不够;有的因资源投入不足、沟通渠道不畅,无法及时获取漏洞信息;有的缺乏足够的管理和技术能力及时修复漏洞.
2. 缺乏开源软件安全统筹管理
加强统筹是做好开源软件安全管理的基础.目前,仍有商业银行对开源软件的统筹不足,不清楚自己的系统在开发过程中使用了哪些开源软件,无法列出开源软件清单,管理松散.这样在漏洞爆发时就很难知道哪些系统中存在漏洞,更谈不上及时修复漏洞.
3. 开源软件漏洞处置能力不足
开源软件漏洞一旦被公开,就能用来攻击系统,因此必须及时加以处置.随着开源软件应用数量的增多,需要处置的漏洞也在不断增加,给缺乏专业化漏洞处置队伍的商业银行带来巨大的压力.
4. 缺乏专业化安全技术支持
开源软件采用“集市”模式开发,所遵循的规范比较松散,没有一个独立的组织来统筹设计规划,难以管理.许多开源软件没有专业化支持团队,在漏洞爆发后,无法快速发布补丁或更新版本.这已经成为商业银行使用开源软件的主要顾虑之一.
三、商业银行开源软件安全管理对策
随着开源软件使用的越来越多,开源软件实际上已经成为软件开发的核心基础设施.开源软件的安全问题应该上升到基础设施安全的高度,得到更多的、更广泛的重视.当前,频繁曝出的漏洞是开源软件最核心的安全问题.因此,加强开源软件安全管理,应紧紧围绕漏洞处置这一核心工作,以提高漏洞发现的及时性、准确性,提升漏洞修复的时效性、全面性为主要目标.为实现该目标,特提出以下管理策略:
1. 严格准入,持续监测
商业银行应建立自己的开源软件配置库,只有已入库的开源软件才可以供研发人员使用.因此,商业银行应把好入口关,在入库前对开源软件的安全水平、漏洞情况进行严格审核.对于已入库开源软件,还要持续进行漏洞监测,一旦业界曝出新漏洞需及时进行处置.
2. 多措并举,全面检查
应采取多种措施、多渠道的复合监测方式,综合不同来源、不同维度的漏洞监测结果,来提高漏洞发现的及时性和准确性.对于新曝出漏洞,要进行全面排查和处置,包括发布风险提示、对配置库进行排查、对各系统的漏洞进行修复等.
3. 等级区分,快速处置
应兼顾效率和安全,针对不同类型的开源软件,采取不同强度的准入、监测技术手段.应对开源软件漏洞进行分级,明确不同类型、不同级别漏洞的处置标准和时限要求.应明确漏洞处置工作流程,提供相关技术支持服务,确保漏洞处置的时效性、全面性.
四、商业银行开源软件安全管理体系
开源软件安全管理是一项长期性、体系化工作.为推动此项工作落地,商业银行应建立组织完善、职责清晰、流程明确、标准合理、管理有效、技术过硬的开源软件安全管理工作体系.
1. 开源软件安全管理模型
参考PDCA 循环模型、PDR(防护、检测、响应)安全模型,可将开源软件安全管理工作抽象为6 项主要管理活动,形成“开源软件安全管理模型”(如图1 所示).
(1)安全准入:在引入开源软件时,做好安全测评、漏洞检查等工作,确保引入开源软件满足一定安全标准;
(2)安全使用:开发人员需按照统一要求,安全合规的使用已入库开源软件,严禁私自使用未引入开源软件;
(3)安全退出:对于因安全原因不宜再使用的开源软件,需在关联性分析基础上,制定妥善的退出方案,并列入不推荐使用清单;
(4)漏洞监测:采取多种技术手段,持续检测、监视已入库开源软件的漏洞情况,及时、准确的通报所发现漏洞;
(5)漏洞处置:开源软件使用方需按照漏洞处置要求,及时进行漏洞处置,不能及时处置的需采取妥善的风险缓释措施;
(6)漏洞复测:开源软件安全管理部门需对漏洞修复情况进行复测,确保漏洞修复工作的有效性、时效性.
2. 开源软件安全管理体系的设计
根据以上工作模型,我们设计出一个较为通用的开源软件安全管理体系,如图2 所示.该体系以开源软件安全管理策略为指导,通过组织、管理、技术3 个部分,支持6 项安全管理活动开展.
(1)组织部分
安全管理部门:作为开源软件安全管理的牵头部门,设置组织级开源软件安全管理岗,负责建立和维护开源软件安全管理体系,做好开源软件安全准入、安全退出把关,统筹推动开源漏洞监测、处置、复测等工作开展;
应用开发部门:作为开源软件的安全使用部门,为每个应用系统级设置系统级开源软件安全管理岗,负责根据统一制度、标准要求,安全合规地使用开源软件,并及时妥善地做好本系统相关开源软件漏洞处置工作;架构管理部门:作为开源软件使用统筹部门,负责统筹开源软件引入策略和规划,参与制定开源软件安全管理标准,组织制定或评审具体开源软件漏洞的处置方案;
配置管理部门:负责建立和维护开源软件配置库,构建开源软件与应用系统的对应关系视图,为开源软件漏洞处置工作提供基础信息.
(2)管理部分
管理制度:应制定《开源软件安全管理办法》类制度,明确开源软件安全管理工作的角色、职责、流程和要求等;
工作流程:开源软件安全管理工作主要集中在引入阶段的安全测评、使用过程中的漏洞监测和处置,基本工作流程如图3、图4 所示.
管理要求:除了对6 项安全管理活动进行要求外,还需对其他管理工作或特殊情况提出要求,如开源软件的商业支持、对开源软件的修改、开源软件内嵌开源软件的漏洞修复等.
(2)技术部分
技术手段:为实现确保漏洞发现及时性、准确性的目标,按照“多措并举”的原则,采取不同层面、不同来源的多技术工具和手段,具体见表1.
技术标准:为合理配置资源,按照“等级区分”的原则,制定《开源软件漏洞处置技术手册》等技术规范,明确开源软件漏洞的分类、分级标准,对不同级别的漏洞采取不同的处置策略,并明确处置时限要求.例如,按漏洞的原理不同,将其分为身份伪造、数据篡改、通信抵赖、信息泄露、拒绝服务等不同类型;按漏洞的利用复杂度、影响程度不同,将其分为高、中、低危,对应处置时限要求分别为3 天、5 天、10 天,可采取的漏洞处置策略包括关闭应用、修复漏洞、临时加固、接受漏洞等.
知识库:为做好知识积累,应由安全管理部门建立《开源软件安全漏洞知识库》.对于引入阶段安全测评、日常漏洞处置过程中积累的开源软件漏洞,应纳入知识库中定期发布.应用开发部门在引入某开源软件前,应提前查询漏洞知识库,避免使用含漏洞的开源软件版本.
安全管理论文范文结:
关于本文可作为相关专业安全管理论文写作研究的大学硕士与本科毕业论文安全管理论文开题报告范文和职称论文参考文献资料。
1、安全生产管理论文
2、安全管理论文
5、安全论文
6、医学教育管理杂志