中小银行信息系统开发生命周期安全保障框架
中图分类号:TP311.52
信息化的发展改变了我们的生活方式,同时也被广泛应用在各个行业之中。在金融领域中,信息化是推动了银行业务发展的重要手段,基本上所有的银行都纷纷建立起自己的信息系统来进行经营和管理。但在建立的过程中,也会存在着一定的问题,如何根据自身经营状况,建立起中小银行信息系统开发生命周期安全保障框架,是每一个金融业者值得研究的问题。
1 中小银行信息系统中存在的安全隐患
1.1 信息安全管理设计的内容缺乏完整性。中小银行相比较于大型银行来说各个环节上都比较落后,综合实力较弱造成了在信息技术的应用方面也存在着一定的滞后性。信息安全的管理对于银行经营来说至关重要,它能有效规避风险,有利于银行的管理[1]。但在中小银行的经营中,信息安全系统的建立不够完善,在管理方面也存在着一定的不足。同时,中小型银行的职员对于信息安全的重要性没有形成一个具体的意识,认识也较为浅薄,这也造成了与大型银行之间的差距越来越大。
1.2 没有对外包管理突然足够的重视,无法有效预防各种安全风险。外包的开发管理是指信息系统地管理完全地包给开发商去做,它可以使信息系统开发的专业化水平大大提高,还可以节约成本上的投入。根据目前的情况来看,中小银行在建立信息系统时,大多数都采用了和软件开发商合作的方式,除了建立之外,还把重要的业务系统等关键工作也都交给了软件开发商来全权处理,这就造成了一些核心技术无法掌握在自己手中。除此之外,在外包管理的过程中,还有一些制度不够完善,这也给外包管理的难度大大增强。
1.3 预警监测系统存在的主要问题。中小银行由于其规模小、对管理的管注不大,在经营得管理中也没有建立一个完善的预警监测系统,硬件设施的条件也比较落后,大多数时间还是依靠了人力来进行监督,不能进行有效地风险预防,安全性也比较差。
2 安全开发生命周期的概述
2.1 安全开发生命周期的简介。安全开发生命周期,是指软件工程所提出的保障软件安全的核心技术,系统的安全起源于开发阶段。信息系统中的生命周期安全保障能够有效提升软件的质量,它能够将安全方面的漏洞在软件开发的过程中就予以解决,而不是传统的信息系统建立时那样把安全性工作置于软件开发之后,真正做到让安全成为软件的开发过程中不可或缺的一部分,从而大大降低了安全隐患[2]。
安全开发的生命周期框架建立,实际操作中就是要在软件的开发过程中每个环节都执行着安全上的控制,把设计、编程、文档当面的安全风险降到最低。
2.2 信息系统的安全评估框架。在整个中小银行的信息系统开发生命周期中,建立起信息系统的安全框架显得十分重要,它能够从技术、管理、工程、人员方面来确保信息的完整性和可用性,以此来降低银行整个系统地安全风险,确保信息系统可以处于安全运行的状态当中。生命周期安全保障框架分为五个部分,分别是规划组织、开发采购、实施交付、运行维护和废弃。这五个部分从技术和人员的环节上保障着我国中小银行的信息安全。
3 中小银行信息系统开发生命周期安全保障框架的设计
中小银行如果想真正地实现信息系统的安全运行,就要在最短的时间设计出生命周期安全框架,它在设计中主要分成五个阶段:需求阶段、设计阶段、编码阶段、测试评估阶段以及上线运行阶段。这五个阶段成功设计可以使生命周期安全框架成为现实,进而保障了银行系统的安全。
3.1 安全需求分析。安全需求分析,就是通过分析银行的整个安全信息系统,最终探讨出一个最终目标。在分析这个目标的过程中,要充分考虑到软件开发流程的安全性、成本和评估项目的代价,形成出一个开发方案。在安全需求分析中,要注意到安全需求的分析和安全需求方案的制定。详细的流程图如下图所示:
图1
3.2 信息系统安全设计。信息系统的安全设计,要在安全需求分析之后,所完成的想法到现实的转变。信息系统的安全设计要根据风险而考虑到成本、安全性和用户体验等多个方面,考虑之后来设计出一个安全体系的大体框架。
3.2.1 详细风险评估。这个步骤要根据安全需求分析进一步细化,来详细地进行风险评估,它工作的主要内容包含了:总结安全目标、整理威胁列表、判断威胁的可能性、制定整改的措施。这些工作内容需要设计人员、信息系统地审计人员以及银行的安全主管部门共同来完成。
3.2.2 确定安全控制措施。上一步精确详细地完成了风险评估,这一步就需要充分考虑成本和风险,确定最佳的安全控制措施。在实际的操作中,设计人员要从成本、安全性、用户的体验几方面进行对比,来确定最终的措施。
3.3 信息系统的编码阶段。整个安全系统生命周期中,最重要的阶段就是编写软件的代码它直接影响到后面的系统测试。在代码的编写中,要注意以下几点:使用最新版的编码工具;使用源代码分析工具,提高代码的审计工作。做好这些工作,能使编码工作的效率更高。
3.4 信息系统的安全测试。信息系统的安全测试是检验软件的性能,也是软件质量的保证。(1)软件代码静态测试。软件代码的静态测试是指将整个软件的安全规则、开发规范融入到检查的列表中进行相关的匹配,从源头上就规避安全风险的发生;(2)系统渗透测试。系统的渗透测试是指软件工程师模拟黑客所使用的攻击手段来对系统的安全性进行测试,从而发现系统中存在的脆弱环节。这样的方式能够让软件的开发人员直接明了地检验到软件系统中所面临的问题,并能加以改正;(3)系统性能测试。系统的性能测试的成败直接影响到这个软件系统能否应用到银行的运营工作中,通过检验软件的执行效率、资源占用、系统稳定性等环节来测试出软件的性能。
3.5 系统上线与运行。当软件系统检测合格后就要面临着上线与运行,也就是将这个应用系统实施到真正的生产环节中去,来对中小银行的安全信息系统进行全面的安全评估,保护信息系统中的各项数据安全。
4 结束语
每一个行业在运营过程中都会面临着很多风险,对于银行来说,面临的风险可能会更多,如何在运营中来规避这些风险,保护着数据信息的安全,是每一个金融从业者深思的问题。信息系统开发生命周期安全保障框架的建立,能够有效控制风险,并会随着实践的过程而不断完善。
