用户工具

站点工具


service:techmag:201906_035:13

差别

这里会显示出您选择的修订版和当前版本之间的差别。

到此差别页面的链接

两侧同时换到之前的修订记录 前一修订版
后一修订版
前一修订版
service:techmag:201906_035:13 [2019/09/11 09:35]
-
service:techmag:201906_035:13 [2019/09/18 05:20] (当前版本)
-
行 11: 行 11:
 ==== (一) 证券行业信息安全态势简述 ==== ==== (一) 证券行业信息安全态势简述 ====
   近年来,随着证券行业快速发展、业务不断创新,证券行业对信息系统的依赖程度日益加深。但发展的同时,由于承载大量敏感数据、系统架构复杂等特点,证券行业信息系统也面临着巨大的安全威胁与挑战。并且随着移动互联网、大数据、云计算等新技术在证券行业的应用推广,证券行业信息系统的攻击面及威胁进一步扩展。除此之外,国家及行业内部相应的监管要求也进一步提高:在《网络安全法》中明确规定,建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并能保证安全技术措施同步规划、同步建设、同步使用;习总书记也指出“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标”。因此,保障信息系统安全运行不仅是证券行业机构自身业务发展及竞争需求,也是其应尽的法律业务。\\   近年来,随着证券行业快速发展、业务不断创新,证券行业对信息系统的依赖程度日益加深。但发展的同时,由于承载大量敏感数据、系统架构复杂等特点,证券行业信息系统也面临着巨大的安全威胁与挑战。并且随着移动互联网、大数据、云计算等新技术在证券行业的应用推广,证券行业信息系统的攻击面及威胁进一步扩展。除此之外,国家及行业内部相应的监管要求也进一步提高:在《网络安全法》中明确规定,建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并能保证安全技术措施同步规划、同步建设、同步使用;习总书记也指出“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标”。因此,保障信息系统安全运行不仅是证券行业机构自身业务发展及竞争需求,也是其应尽的法律业务。\\
-  根据国内知名安全媒体FreeBuf(漏洞盒子)发布的《2017金融行业应用安全态势年度报告》[1],证券行业的应用安全往往是用户更为关心的,报告中基于大数据统计出证券行业中出现的主要漏洞类型主要集中在一些常见的应用层漏洞上,且接近50%的漏洞属于非常容易被利用的范围,如图1及图2中所示。因此,在信息系统开发生命周期中通过各环节的安全活动减少系统应用层漏洞,依然是证券行业机构信息安全工作的重点之一。\\+  根据国内知名安全媒体FreeBuf(漏洞盒子)发布的《2017金融行业应用安全态势年度报告》<sup>[1]</​sup>​,证券行业的应用安全往往是用户更为关心的,报告中基于大数据统计出证券行业中出现的主要漏洞类型主要集中在一些常见的应用层漏洞上,且接近50%的漏洞属于非常容易被利用的范围,如图1及图2中所示。因此,在信息系统开发生命周期中通过各环节的安全活动减少系统应用层漏洞,依然是证券行业机构信息安全工作的重点之一。\\
 {{ :​service:​techmag:​201906_035:​1.loudong.png |}} {{ :​service:​techmag:​201906_035:​1.loudong.png |}}
 <WRAP centeralign>​ <WRAP centeralign>​
行 23: 行 23:
  
 ==== (二) 安全开发生命周期(SDL)理论 ==== ==== (二) 安全开发生命周期(SDL)理论 ====
-  为了帮助非安全专业的开发人员构建更安全的软件、解决安全合规要求、同时降低开发成本,微软提出了安全开发生命周期(SDL)即Security Development Lifecycle,SDL的核心理念就是将安全考虑集成在软件开发的每一个阶段:​安全培训、需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。安全开发生命周期 (SDL)是侧重于软件开发的安全保证过程,旨在开发出安全的软件应用,安全活动简图如图3所示[2]。\\+  为了帮助非安全专业的开发人员构建更安全的软件、解决安全合规要求、同时降低开发成本,微软提出了安全开发生命周期(SDL)即Security Development Lifecycle,SDL的核心理念就是将安全考虑集成在软件开发的每一个阶段:​安全培训、需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。安全开发生命周期 (SDL)是侧重于软件开发的安全保证过程,旨在开发出安全的软件应用,安全活动简图如图3所示<sup>[2]</​sup>​。\\
 {{ :​service:​techmag:​201906_035:​3.sdl.png |}} {{ :​service:​techmag:​201906_035:​3.sdl.png |}}
 <WRAP centeralign>​ <WRAP centeralign>​
阅读
service/techmag/201906_035/13.1568194502.txt.gz · 最后更改: 2019/09/11 09:35 由 -