金融科技应用安全风险监测实践分享（17页）.pdf

1、金融科技应用安全风险监测实践分享姓名姓名钱伟峰钱伟峰（照片部分由主办方添加）个人介绍钱伟峰安言咨询副总经理，10年以上IT风险管理咨询经验，3年以上IT审计经验。为包括一汽集团、吉利汽车、海尔集团、上汽大众、农业银行、建设银行、交通银行、光大银行、华夏银行、广发银行在内的众多企业提供咨询与IT审计服务。CISA、CISP、PMP、ISMS审核员、ITSMS审核员、ITSS项目经理工信部IT审计师授权培训讲师（信息系统运行与服务审计、信息安全审计章节授课人、信息安全审计章节培训教材编写者）l 由定性向定量转变好坏亡羊补牢未雨绸缪l 由事后向事前转变l 由孤立向联系转变风险监测指标的特点风险监测指

2、标的优势及时性前瞻性宏观性提供数字化的安全监测指标应用安全风险监测完善安全工作的闭环机制应用安全风险识别风险识别的可参考维度 开发全生命周期 系统缺陷类型 基础环境信息 背景数据 缺陷库数据应用安全风险监测指标分类-成 因控 制影 响安全缺陷成因指标控制指标结果指标按因果维度分类：l 系统安全定级不准确l 设计缺陷未及时评审l 选用非标准版本基础软件l l 代码审计覆盖率l 缺陷整改完成率l 缺陷重复出现率l l 通过安全测试的平均轮次l 等保测评发现安全缺陷占比l 因缺陷引发的生产事件占比l 应用安全风险监测指标分类-按时间维度分类：时间风险事件发生事前指标事后指标事中指标l 新技术风险评估

3、占比l 安全构件选用占比l 新增开发构件占比l l 代码复读发现的安全缺陷占比l UAT测试安全缺陷漏出率l l 上线安全评估发现缺陷占比l Top10问题数量占比l 准备阶段实现阶段验证阶段改进阶段 现状调研 风险识别 风险分析 风险建模 监测架构设计 监测指标设计 指标算法设计 展示工具设计 度量规范编写 试点方案设计 数据采集 指标评价 试点报告编制 试点经验总结 指标完善 评价工具完善 项目验收结项全面覆盖：指标应当全面地覆盖信息系统需求、设计、编码、测试等领域数据可得：指标应当与潜在风险高度相关并可测，选取的指标应能持续地获得完整的数据支持指标可控：选取的指标应当可以通过可选的管控措

4、施进行有效的控制选取原则选取对象关键风险领域识别指标设计分析工作流程和内部信息，识别潜在风险。识别风险高的领域或子领域。关注风险变动明显的领域或子领域。分析关键风险领域与子领域，明确风险点。确定对应的风险指标，建立风险指标库。完善风险指标信息。指标评估和筛选剔除数据可得性较差的指标剔除难以被有效控制的指标整理具备良好数据可得性、可控性的指标，建立风险指标清单。设定阈值和定义监测方式综合分析每项指标性质，设定指标阈值。制定指标的监测方式，包括频率等。建立风险监测体系。风险监测指标设计依据合规要求网络安全等级保护基本要求最佳实践ISO 27001、CMMI、SDLC指标设计考虑因素关键风险领域识别

5、指标设计指标评估和筛选设定阈值和监测方式指标优化与改进上线发布测试验证开发编码系统设计需求分析持续运行新技术运用风险系统安全定级安全需求选用安全需求评审需求缺陷整改非标软件件风险新增构件风险安全构件使用代码复读代码审计工具工具扫描高级别缺陷统计ST测试漏出率工具扫描情况人工发现情况UAT测试漏出率问题数量分布上线安全检测安全抽查发现问题数量分布等保测评发现缺陷引发事件数国家机关发现渗透测试发现COBITISO 27001CMMI等级保护要求企业内部开发规范风险监测指标指标库头脑风暴德尔菲方法代码检查工具使用率安全缺陷漏出率安全需求覆盖率平均修复时间明确性可衡量性可达到的现实性及时性数据采集难度

6、历史数据数据可靠性预警值关联性频率参考SMART原则指标筛选规则高中低应用安全风险监测指标设计依据和原则 按照5W1H方法，对应用安全领域的关注点进行分析要素要素说明度量维度度量信息When何时发现发现阶段技术方案评审、ST测试、UAT测试、模拟测试、上线后Why为何发生问题类型系统漏洞、访问控制、XSS、注入、What是何级别问题级别高、中、低Who如何发现发现方式人工、工具Where何处发现项目分布A项目群、B项目群、How如何控制控制措施问题修复情况、安全测试通过轮次全生命周期的应用安全度量模型控制措施应用安