Ponemon-金融服务业软件安全状况.pdfVIP

金融服务业软件安全状况 独立调查 Ponemon Institute LLC 开展的调查 Created by 目录 关于本报告 1 概述 2 调查结果详述 4 金融服务公司的软件安全态势 4 金融软件和应用程序的风险 8 金融服务技术设计与开发的安全实践 12 结论和建议 18 风险和风险控制策略 18 利用托管服务来补充内部资源 19 方法 20 附录：具体调研结果 23 关于Ponemon Institute 36 关于本报告 新思科技网络安全研究中心(CyRC) 最近委托数据安全中心Ponemon Institute 对金融服务行业(FSI) 当前的软件安全 实践进行独立调查，以了解该行业的软件安全态势及其解决安全相关问题的能力。这份名为《金融服务业软件安全状 况》(SS-FSI) 的报告就是本次调研的结果。 为助力新思科技实现确保软件安全和高质量运行的目标，CyRC 会定期发布调研报告来支持强有力的网络安全实践。 这些出版物包括深入洞悉开源代码在商业软件中的安全性、合规性和代码质量风险的年度报告 《开源安全与风险分析 (OSSRA)》，以及Synopsys 与SAE International 为解决基于软件的联网车辆中固有软件安全风险而联合发布的报告 《保护现代车辆的安全》。 为了撰写这份SS-FSI 报告，Ponemon 的研究人员调查了来自金融服务行业各个领域的400 多名IT 安全从业人员， 包括银行、保险、抵押贷款/ 处理和经纪领域。调研参与者来自各行各业的工作岗位，如安装和实施金融应用、开发 金融应用以及为金融服务业提供服务等。有关本次调研方法和参与者的完整信息，请参见 和 部分。 “方法” “附录” 1 简介 当前，大量新兴技术正涌向金融服务行业，其中最引人注目的是提高金融服务行业内部流程的自动化水平以提升效率 和利润率，以及开发新的软件以便用户能在传统银行、网上银行和手机银行领域实现完整无缝的客户体验。 金融技术已深深地嵌入到每一项FSI 业务中，如果没有它，任何银行或保险公司都将无法运营。但是，正如这份报告 所显示的，大多数FSI 机构都难以保护其现有技术。在参与本次调研的FSI 机构中，超过一半FSI 都曾经历因网络攻 击而导致客户数据被盗、系统故障与宕机等安全问题。。 显然，FSI 现有的网络安全体系和技术已经跟不上金融服务业技术快速发展的步伐，如果不立 即采取积极有效的措施，这个问题只会进一步恶化。 对FSI 而言，网络安全是一个非常现实的问题 我们的报告显示，FSI 机构需要更多地关注网络安全、安全编码培训、用于发现源代码缺陷和 安全漏洞的自动化工具、以及用于识别由内部开发团队和外部软件供应商引入的开源组件的分析工具（SCA ）。 虽然FSI 机构仍在持续构建所需的软件安全技能和资源，大多数机构都为软件开发人员提供了一定形式的安全开发培 训，但是只有一小部分开发人员真正需要（或被强制参加）这种培训。此外，对于评估安全研发的效果，FSI 机构更 多地依赖于内部评估，而不是使用BSIMM （软件安全构建成熟度模型）或SAMM （软件保障成熟度模型）等外部评 估工具。 造成软件漏洞的最常见原因是开展漏洞测试在整个软件研发过程中为时过晚。我们发现，多数FSI 机构往往在产品发 布后才进行漏洞评估，可能出于诸多原因例如缺乏应用程序安全专业知识、担心成本问题、以及担心在软件开发生命 周期(SDLC) 过早地引入安全流程和安全活动会阻碍开发工作导致对市场的响应迟缓等等。 不到一半的受访者表示，安全评估发生在软件设计、开发和测试期间，只有25% 的受访者表示， 他们的机构能够在软件发布之前检测出金融软件和系统中的安全漏洞。 FSI 软件供应链是主要风险所在地 虽然大多数的FSI 机构仍在自行研发软件和系统，但许多机构已经开始依赖第三方独立提供商 来交付必威体育精装版技术。尽管在本次调研中，近四分之三的受访者表示