以云计算、大数据、移动互联、物联网为代表的新一代科技革命带动了金融创新的发展。与此同时,银行业应用的信息技术产品大多被国外厂商垄断。金融行业对安全性和稳定性的高标准、严要求,成为了阻碍很多国产信息化产品入场的“门槛”。在自从国家提出信息技术安全可控的战略之后,金融行业的软件国产化进程开始加速,一些高质量的国产软件产品开始与银行业展开深度合作。
开源网安与澳门华人银行股份有限公司(以下简称“澳门华人银行”)正是以此为契机达成合作的。开源网安使用灰盒测试产品(VulHunter)帮助澳门华人银行从源头降低软件安全风险,提供更便捷、更优质的本土化技术支持与服务。
01澳门华人银行:本地金融与跨境离岸金融齐飞
澳门华人银行股份有限公司作为澳门本地29家信用机构之一,已在澳门本地金融业扎根20载,几乎囊括了金融领域的所有业务。
对于未来发展蓝图,澳门华人银行以“实现本地金融业务与跨境离岸金融服务两翼齐飞”为导向,以本地金融业为基础,加快实现银行电子服务手段,进一步深耕本地企业存、贷业务合作模式,加强拓展个人业务手段,藉以开拓及巩固银行客户群,创造业务新亮点。
另一方面,在粤澳合作和CEPA框架下,华人银行将服务澳门本地的中小企业到内地投资,让内地特别是广东珠三角中小企业通过澳门平台“走出去”。它充当了“引进来,走出去”的桥梁,打造粤澳跨境中小电商结算平台。
02创新改革中的安全隐患
在金融行业改革创新发展加速阶段,澳门华人银行积极探索业务数字化发展的新模式,以及粤澳跨境金融合作的新模式。在这个转型升级的重要过程中,其基础应用的安全问题逐渐暴露,最突出的问题存在于原来使用的灰盒测试产品之中,不仅维护成本高,还有数据篡改的风险;其次是安全检测滞后,没有融入研发流程,随着业务量的激增,现有安全防御机制也急需提升。
在选择国产替代化产品过程中,澳门华人银行如履薄冰。它现在使用的是国外Gartner魔力象限某领导者IAST产品。要在不影响现有业务流程的前提下平稳替换成同等标准的国产软件,这对国内企业的技术实力与服务经验等综合能力要求甚高——而这也是其最终选择开源网安合作的重要原因。
03开源网安:软件安全产品国产化替代最佳实践
开源网安的灰盒测试产品(VulHunter)以其无缝集成、低成本、高并发等优势,实现了澳门华人银行安全测试产品的完美替代,保障了其数字化创新转型高质量安全发展。
1.将安全检测置入研发阶段,从源头降低安全风险。澳门华人银行的软件产品由外包团队进行研发,使用传统的渗透测试进行安全检测,安全漏洞漏报率高,很多隐藏在研发过程中的安全漏洞难以察觉。引入开源网安的灰盒测试产品(VulHunter)能够运行代码级安全检测机制,与开发过程融合,提供全面的漏洞修复信息,能够帮助研发人员快速修复漏洞,满足软件开发生命周期的安全检测需求,保障业务快速安全上线。
2.快速嵌入现有混合开发模式,保障业务平稳运行。澳门华人银行的研发采用瀑布式与DevOps混合并存开发模式,需要安全检测产品接入的同时不能影响现行业务应用正常运行。开源网安的灰盒测试产品(VulHunter)实现了本地化部署,快速嵌入到现有的混合开发模式中,强扩展性积极应对大量级项目安全检测,保障了各项业务顺利平稳运行。
3.强大技术支持保障,疑难问题第一时间解决。开源网安的灰盒测试产品(VulHunter)基于IAST技术自主研发,曾服务过中国工商银行、平安银行等重量级银行客户,拥有强大的技术实力与服务经验。在此次合作中,面对澳门华人银行在合作期间遇到的各种开发安全问题,开源网安都能及时有效地提供解决方案,沟通成本低、解决速度快,让安全检测更有效地融入到了澳门华人银行的研发过程中。