信息化觀察網(wǎng)

隨著新一輪信息技術(shù)的發(fā)展，移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、下一代通信技術(shù)、物聯(lián)網(wǎng)等新技術(shù)應(yīng)用不斷深入，在加劇傳統(tǒng)行業(yè)變革的同時(shí)，也帶來了新的網(wǎng)絡(luò)安全需求。面對網(wǎng)絡(luò)安全新形勢，企業(yè)不僅要嚴(yán)防精心策劃的外部攻擊，還要防范來自企業(yè)內(nèi)部威脅，數(shù)據(jù)及信息安全已成為企業(yè)戰(zhàn)略中的關(guān)鍵部分，是企業(yè)全局發(fā)展的重要基石。此外，《網(wǎng)絡(luò)安全法》、《刑法》、《消費(fèi)者權(quán)益保護(hù)法》的不斷推進(jìn)，以及監(jiān)管部門對于現(xiàn)今網(wǎng)絡(luò)安全事件及移動(dòng)端APP越權(quán)高發(fā)事件的高度重視，形成新時(shí)代背景下的網(wǎng)絡(luò)安全新態(tài)勢，企業(yè)數(shù)據(jù)安全和個(gè)人信息安全防護(hù)如何落地成為難題。

在此背景下，以中小銀行為代表的金融機(jī)構(gòu)及企業(yè)的數(shù)據(jù)安全和個(gè)人信息安全防護(hù)面臨三大挑戰(zhàn)：數(shù)據(jù)安全治理、隱私權(quán)限安全，以及軟件安全開發(fā)。

第一，數(shù)據(jù)安全治理。眾所周知，數(shù)據(jù)安全治理要實(shí)現(xiàn)“數(shù)據(jù)不出門，數(shù)據(jù)不落地”只是一個(gè)基礎(chǔ)要求，實(shí)際業(yè)務(wù)中對數(shù)據(jù)的質(zhì)量和保準(zhǔn)有著更高要求，例如現(xiàn)在大家都在講的零售轉(zhuǎn)型場景中，一款主流分期導(dǎo)流IT產(chǎn)品數(shù)據(jù)不僅量大而雜亂，且面臨兩大數(shù)據(jù)泄露風(fēng)險(xiǎn)：如圖中所示，整個(gè)IT產(chǎn)品由合作機(jī)構(gòu)方系統(tǒng)（包括APP，H5，API等）和分期系統(tǒng)兩大塊組成，合作機(jī)構(gòu)技術(shù)參差不齊，很多甚至沒有做到基本安全防護(hù)，從而造成數(shù)據(jù)泄露；此外，業(yè)務(wù)運(yùn)作過程中，當(dāng)需要用到外部數(shù)據(jù)時(shí)，由于數(shù)據(jù)通過API的形式調(diào)用和傳輸，從而造成數(shù)據(jù)泄露風(fēng)險(xiǎn)。

分期導(dǎo)流IT產(chǎn)品架構(gòu)圖

如何解決呢？大數(shù)據(jù)處理技術(shù)可以很好的解決這個(gè)問題。通付盾最新一代數(shù)據(jù)源管理平臺(tái)，基于大數(shù)據(jù)處理技術(shù)，為銀行等金融企業(yè)客戶提供多數(shù)據(jù)源融合、并符合數(shù)據(jù)隱私保護(hù)標(biāo)準(zhǔn)的統(tǒng)一數(shù)據(jù)源管理；平臺(tái)建立統(tǒng)一的數(shù)據(jù)輸入輸出標(biāo)準(zhǔn)，幫助客戶提升數(shù)據(jù)融合、數(shù)據(jù)管理及數(shù)據(jù)應(yīng)用能力，例如接口一站式接入、在線測試、實(shí)時(shí)監(jiān)控、智慧任務(wù)、數(shù)據(jù)路由器等。

基于大數(shù)據(jù)處理技術(shù)，數(shù)據(jù)源管理平臺(tái)可以實(shí)現(xiàn)對第三方服務(wù)商的服務(wù)接口整合以及標(biāo)準(zhǔn)化轉(zhuǎn)換，供各方進(jìn)行數(shù)據(jù)調(diào)用，并可通過服務(wù)配置快速適配外部接口；為降低服務(wù)成本，根據(jù)不同數(shù)據(jù)的變更特性進(jìn)行緩存，避免短時(shí)間重復(fù)調(diào)用，同時(shí)也可對服務(wù)內(nèi)外部接口轉(zhuǎn)換、緩存策略等進(jìn)行快速配置；統(tǒng)一落地?cái)?shù)據(jù)安全管控要求；提供訪問鑒權(quán)、加密解密等。在性能上，平臺(tái)可以實(shí)現(xiàn)數(shù)據(jù)接入免代碼、多種數(shù)據(jù)源預(yù)置、多樣數(shù)據(jù)傳輸方式、覆蓋廣泛加密算法、數(shù)據(jù)流動(dòng)利器、多類屬性映射、實(shí)現(xiàn)對海量數(shù)據(jù)源調(diào)用的高速高效運(yùn)行。

在數(shù)據(jù)源管理平臺(tái)基礎(chǔ)上，企業(yè)結(jié)合自身強(qiáng)有力的組織架構(gòu)，完善的管理制度及工作流程支撐，規(guī)范數(shù)據(jù)管理各項(xiàng)工作的開展，從而發(fā)現(xiàn)、充實(shí)、集成和管理數(shù)據(jù)的整個(gè)生命周期，提升企業(yè)風(fēng)險(xiǎn)管理能力及精細(xì)化管理要求。

第二，隱私權(quán)限安全。2019年，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局在北京舉行“APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理”新聞發(fā)布會(huì)，發(fā)布《關(guān)于開展APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》，體現(xiàn)了監(jiān)管部門對當(dāng)前愈演愈烈的APP越權(quán)問題日益重視。通付盾移動(dòng)應(yīng)用態(tài)勢感知平臺(tái)監(jiān)測數(shù)據(jù)顯示，目前90%以上APP“越界”獲取用戶隱私權(quán)限，大部分APP都要求獲取讀取位置信息、訪問聯(lián)系人、讀取短信記錄等權(quán)限，甚至圖像處理、電子書等應(yīng)用也要求位置定位權(quán)限，權(quán)限讀取極其不合理。

面對APP越權(quán)問題,我們認(rèn)為，當(dāng)前監(jiān)管部門的整頓難點(diǎn)在于舉證過程。例如，有媒體報(bào)道，某款大眾化APP被懷疑存在竊聽用戶信息的行為，用戶在通話記錄中提到“牙痛”這個(gè)詞，該APP就給用戶推送牙痛相關(guān)廣告，用戶即便發(fā)現(xiàn)這一問題并進(jìn)行舉報(bào)，接下來也要面臨十分困難的舉證過程，它要求用戶將APP的敏感權(quán)限調(diào)用情況，無論是靜態(tài)或動(dòng)態(tài)情況下，按照標(biāo)準(zhǔn)給出證據(jù)。

目前，移動(dòng)應(yīng)用合規(guī)檢查產(chǎn)品中的權(quán)限檢測技術(shù)可以解決這類問題，權(quán)限檢測技術(shù)專門針對APP/SDK使用全過程的權(quán)限進(jìn)行檢測，該技術(shù)基于以符號執(zhí)行為核心的靜態(tài)分析引擎和以運(yùn)行態(tài)沙盒為核心的動(dòng)態(tài)檢測引擎，旨在快速、準(zhǔn)確地檢測APP/SDK中存在的敏感權(quán)限調(diào)用。

目前通付盾權(quán)限檢測系統(tǒng)能夠基于全局權(quán)限申請調(diào)用進(jìn)行檢測；基于應(yīng)用啟動(dòng)權(quán)限申請進(jìn)行檢測；基于應(yīng)用運(yùn)行過程權(quán)限進(jìn)行檢測；基于應(yīng)用靜默運(yùn)行權(quán)限進(jìn)行監(jiān)測，提供支持判定結(jié)果的檢測依據(jù)，包括運(yùn)行中截圖及抓包數(shù)據(jù)文件等，全面掌握應(yīng)用及第三方SDK權(quán)限調(diào)用情況，解決用戶舉證難題。

第三，軟件安全開發(fā)。超過50%的安全漏洞由錯(cuò)誤的編碼產(chǎn)生，開發(fā)人員一般安全開發(fā)意識(shí)和安全開發(fā)技能不足，更加關(guān)注業(yè)務(wù)功能的實(shí)現(xiàn)，想要確保Web應(yīng)用程序在交付之前和交付之后都是安全的，就需要利用Web應(yīng)用安全測試技術(shù)識(shí)別程序中架構(gòu)的薄弱點(diǎn)和漏洞。值得一提的是，近年來開發(fā)模式的演進(jìn)帶來Web應(yīng)用安全測試新挑戰(zhàn)。從過去的傳統(tǒng)開發(fā)模式，到敏捷開發(fā)，再到DevOps，都涉及到設(shè)計(jì)、開發(fā)、測試和部署環(huán)節(jié)，每一個(gè)環(huán)節(jié)都面臨安全問題；眾多產(chǎn)品需要逐個(gè)排隊(duì)進(jìn)行安全檢測，并由安全團(tuán)隊(duì)專門負(fù)責(zé)運(yùn)行，復(fù)雜產(chǎn)品臨近版本發(fā)布才出檢測結(jié)果，一般沒有足夠時(shí)間去分析和修復(fù)發(fā)現(xiàn)的問題，綜上種種，常規(guī)源代碼審核工具成為效率瓶頸。

Web應(yīng)用安全測試技術(shù)經(jīng)過多年發(fā)展取得巨大進(jìn)步，目前業(yè)界公認(rèn)最前沿的技術(shù)為“IAST”，交互式應(yīng)用安全測試技術(shù)，被Gartner公司列為信息安全領(lǐng)域的Top10技術(shù)之一。“IAST”技術(shù)融合了SAST和DAST技術(shù)的優(yōu)點(diǎn)，漏洞檢出率極高、誤報(bào)率極低，同時(shí)可以定位到API接口和代碼片段，整個(gè)過程無需安全專家介入，無需額外安全測試時(shí)間投入，不會(huì)對現(xiàn)有開發(fā)流程造成任何影響，符合敏捷開發(fā)和DevOps模式下軟件產(chǎn)品快速迭代、快速交付的要求。

目前通付盾已經(jīng)開發(fā)出基于“IAST”技術(shù)的IAST代碼審查系統(tǒng)，該系統(tǒng)主要由三部分組成：核心檢測能力，平臺(tái)基礎(chǔ)功能和外部集成接口。其中核心檢測能力基于交互式應(yīng)用安全檢測技術(shù)實(shí)現(xiàn)，包括服務(wù)端和檢測探針；平臺(tái)基礎(chǔ)功能則提供了各類豐富的操作功能，包括組織結(jié)構(gòu)配置、權(quán)限分配、安全弱點(diǎn)檢測管理、統(tǒng)計(jì)分析等；外部集成接口為平臺(tái)與其他研發(fā)過程中的系統(tǒng)對接預(yù)留接口。

通付盾IAST代碼審計(jì)系統(tǒng)

通付盾IAST代碼審查系統(tǒng)分為服務(wù)端和檢測端兩類，采用B/S的架構(gòu)部署，服務(wù)端部署在內(nèi)網(wǎng)服務(wù)器上，其內(nèi)置了關(guān)系數(shù)據(jù)庫、NoSQL數(shù)據(jù)庫及異步消息隊(duì)列服務(wù)；檢測端Agent直接植入到被測試應(yīng)用微服務(wù)Docker容器中，對開發(fā)和測試人員無感知。

當(dāng)前整個(gè)社會(huì)都在經(jīng)歷數(shù)字化轉(zhuǎn)型，安全是企業(yè)業(yè)務(wù)數(shù)字轉(zhuǎn)型的關(guān)鍵，安全不再是單純的技術(shù)問題，而是業(yè)務(wù)與風(fēng)險(xiǎn)問題。作為信息安全責(zé)任主體，第一要從根源入手，排查和整改網(wǎng)絡(luò)安全隱患及漏洞，依據(jù)《網(wǎng)絡(luò)安全法》、《國家網(wǎng)絡(luò)安全等級保護(hù)制度》等要求，加強(qiáng)安全管理和技術(shù)防護(hù)；第二要加強(qiáng)內(nèi)外網(wǎng)的數(shù)據(jù)流量實(shí)時(shí)監(jiān)控，通過管理和技術(shù)手段進(jìn)行防范攻擊；第三對于數(shù)據(jù)庫和應(yīng)用軟件使用，加強(qiáng)管理，尤其是重要軟件要積極開展第三方安全檢測，提升運(yùn)維安全水平。企業(yè)信息安全建設(shè)的根本愿景，是保障企業(yè)的業(yè)務(wù)的安全可持續(xù)性發(fā)展，保證企業(yè)利益相關(guān)者生命、財(cái)產(chǎn)安全的延續(xù)，實(shí)現(xiàn)這一愿景是包括企業(yè)、用戶和安全廠商在內(nèi)的共同的目標(biāo)！