1、金融服务业软件安全状况独立调查Ponemon Institute LLC开展的调查目录关于本报告.1概述.2调查结果详述.4 金融服务公司的软件安全态势.4 金融软件和应用程序的风险.8 金融服务技术设计与开发的安全实践.12结论和建议.18 风险和风险控制策略.18 利用托管服务来补充内部资源.19方法.20附录：具体调研结果.23关于 Ponemon Institute.36 1关于本报告新思科技网络安全研究中心(CyRC)最近委托数据安全中心 Ponemon Institute 对金融服务行业(FSI)当前的软件安全实践进行独立调查，以了解该行业的软件安全态势及其解决安全相关问题的能力。

2、这份名为金融服务业软件安全状况(SS-FSI)的报告就是本次调研的结果。为助力新思科技实现确保软件安全和高质量运行的目标，CyRC 会定期发布调研报告来支持强有力的网络安全实践。这些出版物包括深入洞悉开源代码在商业软件中的安全性、合规性和代码质量风险的年度报告开源安全与风险分析(OSSRA)，以及 Synopsys 与 SAE International 为解决基于软件的联网车辆中固有软件安全风险而联合发布的报告保护现代车辆的安全。为了撰写这份 SS-FSI 报告，Ponemon 的研究人员调查了来自金融服务行业各个领域的 400 多名 IT 安全从业人员，包括银行、保险、抵押贷款/处理和经纪

3、领域。调研参与者来自各行各业的工作岗位，如安装和实施金融应用、开发金融应用以及为金融服务业提供服务等。有关本次调研方法和参与者的完整信息，请参见“方法”和“附录”部分。2金融服务业软件安全现状简介当前，大量新兴技术正涌向金融服务行业，其中最引人注目的是提高金融服务行业内部流程的自动化水平以提升效率和利润率，以及开发新的软件以便用户能在传统银行、网上银行和手机银行领域实现完整无缝的客户体验。金融技术已深深地嵌入到每一项 FSI 业务中，如果没有它，任何银行或保险公司都将无法运营。但是，正如这份报告所显示的，大多数 FSI 机构都难以保护其现有技术。在参与本次调研的 FSI 机构中，超过一半 FS

4、I 都曾经历因网络攻击而导致客户数据被盗、系统故障与宕机等安全问题。显然，FSI 现有的网络安全体系和技术已经跟不上金融服务业技术快速发展的步伐，如果不立即采取积极有效的措施，这个问题只会进一步恶化。对 FSI 而言，网络安全是一个非常现实的问题我们的报告显示，FSI 机构需要更多地关注网络安全、安全编码培训、用于发现源代码缺陷和安全漏洞的自动化工具、以及用于识别由内部开发团队和外部软件供应商引入的开源组件的分析工具（SCA）。虽然 FSI 机构仍在持续构建所需的软件安全技能和资源，大多数机构都为软件开发人员提供了一定形式的安全开发培训，但是只有一小部分开发人员真正需要（或被强制参加）这种培训

5、。此外，对于评估安全研发的效果，FSI 机构更多地依赖于内部评估，而不是使用 BSIMM（软件安全构建成熟度模型）或 SAMM（软件保障成熟度模型）等外部评估工具。造成软件漏洞的最常见原因是开展漏洞测试在整个软件研发过程中为时过晚。我们发现，多数 FSI 机构往往在产品发布后才进行漏洞评估，可能出于诸多原因例如缺乏应用程序安全专业知识、担心成本问题、以及担心在软件开发生命周期(SDLC)过早地引入安全流程和安全活动会阻碍开发工作导致对市场的响应迟缓等等。不到一半的受访者表示，安全评估发生在软件设计、开发和测试期间，只有 25%的受访者表示，他们的机构能够在软件发布之前检测出金融软件和系统中的安

6、全漏洞。FSI 软件供应链是主要风险所在地虽然大多数的 FSI 机构仍在自行研发软件和系统，但许多机构已经开始依赖第三方独立提供商来交付最新技术。尽管在本次调研中，近四分之三的受访者表示十分担心第三方软件供应商会带来安全漏洞，但只有不到一半的机构要求第三方软件供应商遵循特定的网络安全要求或验证其安全实践。3在参与调研的 FSI 机构中，几乎没有任何机构建立了相应的流程来录入和管理内部开发团队或由第三方软件供应商引入的开源代码。开源组件缺乏管理，应用程序中的开源组件存在漏洞，从而将 FSI 机构暴露在这些额外的安全风险之中。保护 FSI 软件和系统没有统一的方法可循没有任何一种方法、工具或服务能