金融信创系统安全评估方案实践

摘要：以证券行业典型信创核心业务系统为评估对象，以识别信创与非信创系统信息安全评估的典型差异和针对性解决方案并逐步形成典型行业性业务场景的评估方法和工具能力为目标，参考《信息安全技术 信息安全风险评估方法》(GB/T 20984—2022)标准展开工作。通过深入分析信创架构，结合信创系统架构特性和安全特性，开展安全漏洞扫描、渗透测试、代码和组件工具测试、架构评估、配置评估、基线建立和偏差识别等一系列安全评估工作。最终在证券行业信创系统信息安全评估工作领域率先迈出了探索性的一步。

关键字：信创系统、安全评估、金融

概述：信创系统通过对非信创系统进行底层兼容、安全性优化和功能改进来实现自主可控。信创是“老朋友，新面孔”，信创系统的安全评估需要回归CIA。结合信创的架构和特点，关注信创CIA特性，识别信创资产，发现安全风险。2022年，申万宏源证券有限公司牵头发起信创业务系统安全评估课题研究和研讨，绿盟科技深度参与其中。双方凭借多年来在信创领域的技术积淀与创新能力，深入分析信创架构，结合信创系统架构特性和安全特性，开展安全漏洞扫描、渗透测试、代码和组件工具测试、架构评估、配置评估、基线建立和偏差识别等一系列安全评估工作。重点评估了信创系统中开源组件的使用引入的供应链安全风险，识别信创系统的脆弱性问题，共同探讨了加固思路。在双方的紧密配合和共创下，成功试点了信创系统安全评估方案。

1.方案背景  

信创是国家解决“卡脖子”问题、实现科技自立自强、提升系统自主可控能力的必然选择。随着我国信创产业的发展，金融信创正在快速成为重塑金融安全竞争力、推动金融智能化转型的重要抓手。“十四五”规划明确提出，要加快建设数字经济、数字社会，以数字化驱动生产方式、生活方式和治理方式变革，并强调要加强关键数字技术创新应用，加快推动数字产业化、产业数字化转型。

申万宏源证券有限公司（以下简称“申万宏源”）是由新中国第一家股份制证券公司——申银万国证券股份有限公司与国内资本市场第一家上市证券公司——宏源证券股份有限公司，于2015年1月16日合并组建而成。

为推动信创产业发展，建立安全信创产业的投产，为合理确保OTC场外产品销售系统安全、有效地运行，防范信创系统特定的信创安全风险，申万宏源证券有限公司委托北京神州绿盟科技信息安全科技股份有限公司（以下简称“绿盟科技”）于2022年12月开展信创系统安全评估。

2.评估方案实践过程  

2.1概述  

此次安全评估方案实践的范围为：OTC柜台交易系统以及涉及支持OTC柜台交易系统的操作系统、数据库、中间件。整个方案实践过程如下：

2.2评估实施流程图  

         

信创系统安全评估流程

2.3前期准备阶段  

本阶段的主要任务是：

1)落实服务所需的人员、设备、资料等资源；

2)与被评估方进行沟通并落实具体的项目实施计划；

3)对安全评估实施进行宣讲；

4)确认评估范围，对评估信创系统架构和特点进行分析；

5)对服务实施人员进行培训，以确保其了解其工作职责和任务；

6)召开服务启动会。

任务	描述	主要输出
确定服务范围	建立范围和边界	安全评估服务范围及业务调研表
资源准备	准备人员、设备及所需的文件资料	《服务人员名单》
制定服务实施计划	制定并落实项目实施计划	OTC系统安全评估实施计划
安全培训	安全评估实施宣讲培训	被评估方和实施人员获悉本项目的基础知识

         

2.4安全评估阶段  

信息系统调研  

目标

了解评估对象的软硬件组成，准确客观的把握业务系统的体系特征。

范围

针对评估范围内的系统进行总体了解；针对每个信息系统的体系特征描述；了解每个业务信息系统的运维情况。

工作程序

1)向具体信创信息系统运维、管理人员（应该属于配合人员之列）发放《信创业务系统环境调查表》进行资产调研和信息收集；

2)根据《信息系统业务调研表》，对系统所使用的操作系统、数据库、中间件、应用程序等情况进行核查、确认；

3)与信息系统的管理维护人员进行沟通、了解，针对前期调研结果进行查漏补缺、修正完善、沟通确认。

输出

l《信息系统业务调研表》

漏洞扫描  

目标

    安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描，从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。

范围

针对评估范围内的系统进行扫描，《信息系统业务调研表》内主机层IP地址以及应用层URL。

工作程序

1)将扫描工具接入到网络环境中；

2)分配一个IP并配置好相关参数（IP地址、默认网关等）以后使目标主机可达，新建扫描任务并设置扫描参数（策略调整、扫描并发参数、扫描启动时间、Sock延时参数等）之后进行扫描。

输出

l《主机扫描报告》

l《web扫描报告》

基线核查  

目标

安全配置检查是对评估范围内安全漏洞扫描工具不能有效发现的方面（网络设备的安全策略弱点和部分主机的安全配置错误等）进行辅助评估的一种有效手段。安全策略弱点和配置上的缺陷都会被攻击者利用，因此有必要对评估范围内的系统和设备进行配置检查。

范围

针对评估范围内的系统进行基线核查，《信息系统业务调研表》内涉及的操作系统、数据库、中间件和服务器。

安全配置检查的内容主要包括：

u安全系统是否配置最优，实现其最优功能和性能，保证网络系统的正常运行；

u安全系统自身的保护机制是否实现；

u安全系统的管理机制是否安全；

u安全系统为网络提供的保护措施，且这些措施是否正常和正确；

u安全系统是否定期升级或更新；

u安全系统是否存在漏洞或后门。

工作程序

1)本次系统配置检查采用对测试对象进行抽样并通过手工与检查工具相结合的方式进行。

2)人工工作完成的内容主要包括登录信息收集、配置安全分析和形成检查报告。其中配置安全分析是比较重要的环节，分析结果直接影响报告的真实性和准确性。

3)自动化工作是借助安全配置核查工具或专门开发的检查脚本来自动化完成部分工作。自动化工具主要自动化完成目标设备登录、设备配置检查和配置信息记录工作，此部分工作借助自动化工具是为了消除手工误操作造成的危害，提高检查效率，提高检查精度和颗粒度。

输出

l《配置核查报告》

渗透测试  

目标

渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效的发现最严重的安全漏洞，尤其是与全面的代码审计相比，其使用的时间更短，也更有效率。在测试过程中，用户可以选择渗透测试的强度，例如不允许测试人员对某些服务器或者应用进行测试或影响其正常运行。通过对某些重点服务器进行准确、全面的测试，可以发现系统最脆弱的环节，以便对危害性严重的漏洞及时修补，以免后患。

范围

针对评估范围内的《信息系统业务调研表》资产开展渗透测试，渗透测试内容主要包括了操作系统、数据库、应用服务的已知漏洞、不安全配置、Web应用程序的常见漏洞以及信创环境已知漏洞。

工作程序

1)技术人员进行渗透测试都是在指定的系统环境下进行。

2)项目组采用的测试工具和攻击手段都在可控范围内，并同时准备充分完善的系统恢复方案。

3)试针对网站应用，深度检查网站中存在的漏洞，并对漏洞的整改给出相应建议。

输出

l《渗透测试报告》

代码审计

目标

代码审计是一种以发现程序错误，安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析，旨在发现错误，安全漏洞或违反编程约定。它是防御性编程范例的一个组成部分，它试图在软件发布之前减少错误。

范围

针对评估范围内的《信息系统业务调研表》的应用系统和开源组件。

工作程序

1)在对系统进行源代码安全审计活动前，会审阅系统相关文档，对技术架构的安全性进行审计和评估，并且熟悉系统实现的业务流程，评估其可能存在的安全风险。

2)在审计活动起始阶段，使用源代码安全审计工具进行全面的审计，发现其存在的不安全编码并进行人工分析和确认。

3)自动化审计完成后，审计实施人员对重要业务场景进行深入分析。不论是客户端代码还是服务端代码，除常规的安全漏洞如SQL注入、XSS、CSRF等漏洞外，还会参照相关行业标准及规范，对其合规性进行审计。

输出

l《OTC-静态安全分析报告》

l《宝蓝德中间件-静态安全分析报告》

2.5验收汇报阶段  

成果交付

目标

提交项目成果文件。

范围

项目经理汇总各阶段可交付文档、并进行检查、修正、交付。

工作程序

1)   实施人员按照要求对评估报告文件进行整理，并进行格式统一、内容修正后，提交给项目经理；

2)   项目经理对提交的报告文件进行统一的检查、确认：

a)   所有发现的安全问题都给出了相应的安全建议；

b)   所有文档内容是一致的，不存在重大出入之处；

c)   文档编写规范，格式一致，没有明显的错别字；

d)   内容阐述正确，没有重大错误；

e)   文档内容条例清晰、结构严谨、事实清楚、论述到位、用词准确。

3)   项目经理对发现的各种问题，提出相应的建议，发给相应人员进行修正和改进；

4)   项目经理将审核通过后的文件，发给被评估方项目负责人，让其先进行检查、确认；

5)   项目经理针对被评估方项目负责人提出的意见，发给相应人员进行修正和改进；

6)   将被评估方项目负责人认可的最终文档，以及文档资料清单发给被评估方项目负责人。

输出

l申万宏源场外柜台交易系统评估结果移交

验收汇报

目标

进行项目整体汇报、验收、签署验收报告。

范围

召集项目验收汇报会，对项目进行汇报宣讲。

工作程序

1)   项目经理编写评估验收汇报PPT文件；

2)   项目经理发起项目验收会，并由被评估方项目负责人进行会议召集，并确定会议时间；

3)   项目经理根据被评估方参与验收会议的人员（主要是领导），分析其关注点、共鸣点，对验收汇报PPT文件进行修正；

4)   项目经理及项目组重要成员参加项目验收会，项目经理根据汇报安排的时间，进行入网安全评估/检查过程宣讲。

         

输出

l项目验收汇报PPT

l《信创信息系统安全评估项目-验收报告》

3.总结  

信创是“老朋友，新面孔”，通过对非信创系统进行底层兼容、安全性优化和功能改进来实现自主可控。识别信创环境和架构是信创系统安全评估的首要环节，围绕信创系统与非信创系统的特点，信创系统的安全评估需要回归CIA。结合信创的架构和特点，关注信创CIA特性，识别信创资产，发现安全风险。

本评估方案针对证券典型业务系统进行试点验证，未来将进一步扩大评估方法的参与范围，邀请更多的单位参与试点和研讨，形成符合行业特色的评估方法和工具能力集并积极推广。

 

信创前沿 2023-05-08 00:38 发表于北京