头部证券公司安全体系搭建实战讲解—开源网安S-SDLC平台助力金融科技安全发展

数字化时代背景下，新兴技术广泛应用导致软件安全隐患不断扩大。而金融行业由于项目周期长、业务规模大、应用数量多、合规监管严、内外合作多等特性，进一步加重了安全风险。

与此同时，《等保2.0》、《网络安全法》等国家政策的发布，自上而下推动信息安全发展，对金融机构的安全防护提出更高的要求。证券期货行业信息安全保障协调小组、中国证监会信息中心等机构，都对证券行业提出了网络信息安全的要求并出台有关办法，要求落实安全事故处理、监管与主体责任。

在此背景下，各金融机构积极响应政策要求，开始搭建全方位的软件安全体系，某头部证券公司率先实施S-SDLC解决方案。该证券公司总部位于深圳，在全国各地设立了50多家分公司，为全牌照综合类券商，多项业务排名进入全国前列。该证券公司通过引入开源网安威胁建模模型+安全基线库+安全合规库+安全场景库+开源网安S-SDLC平台，使安全能力在整个业务生命周期中实现更为彻底的左移。

在项目立项初期，针对客户的具体业务需求，开源网安S-SDLC平台生成相应的安全架构任务、安全研发任务、安全测试任务，并提供具体的代码示例、测试用例等，且在需求、研发、测试阶段设置相应的安全卡点，实现整个开发过程的安全活动全流程监管，提高项目的威胁发现能力和安全风险治理能力，提升系统的整体健壮性。

项目难点及问题 

开源网安S-SDLC平台，对于该公司整体的安全中台及安全治理体系的建设，是基础，更是底座。主要帮助客户解决如下难点及问题：

01

架构及设计阶段的安全风险难以把控

传统安全防护，往往是上线前的人工渗透测试，或者上线后的安全运营工作，无法应对架构阶段及设计阶段的安全风险及问题。通过S-SDLC平台的威胁建模，在业务需求创建之初，就生成相应的安全架构任务、安全设计任务、安全研发任务、安全测试任务等，实现真正的安全左移。

02

安全问题难以追踪溯源

安全检测工具的加入，往往带来流程和人员管理的难题。例如，由安全人员发起的安全需求，往往被研发视为非业务需求，难以受到真正重视。安全任务是否实现，安全漏洞是否得到修复，对于这些问题的追踪，极大影响团队效率。

03

集团内部缺乏安全知识库

丰富的安全知识库，是企业重要的数字资产，也是实现全流程安全活动管控的基础。缺乏安全知识库，无法基于威胁建模，自动生成安全任务。

实践与落地

开源网安深入了解该证券公司的业务需求与现状，为客户提供了一套S-SDLC平台。通过合规库、场景库、威胁库、行业库，帮助客户快速实现了安全知识库的可视化管理。该平台通过情景式问卷、设置安全基线、安全卡点等关键活动，实现了开发过程全流程安全活动管控，提高了安全团队对安全需求、安全任务的追踪、验证和统一管理，提高了团队的工作效率，降低后期修复的成本，保障系统整体健壮性。

成果与价值

01

将安全融入研发管理体系

S-SDLC平台，将安全需求、安全编码任务、安全测试任务，自动推送至客户内部的研发管理平台，实现了在不改变现有研发流程的情况下，将安全引入现有流程与平台中，并且完成全流程安全活动的集中管控。

02

统一的线上安全评审和安全追踪

平台提供了可视化的安全评审，在需求、开发、测试阶段，可以设置特定的安全基线和安全控制门，当编码和测试不满足基线要求时，不允许上线发布，以此保障应用上线前安全、可靠。

03

满足证券行业政策法规监管要求

通过SDL全体系的建设，实现了持续合规和安全的应对能力，符合相关监管文件的趋势和要求。

近年来，金融科技在证券行业发挥着越来越重要的作用，运用信息科技赋能业务发展，已成为行业共识。开源网安通过S-SDLC平台的安全左移，助力客户提升持续性安全合规的能力，将政策要求与业务落地相结合，推动金融信息安全对抗高级威胁，在供应链安全风险治理中，积极构建纵深安全防护体系。

开源网安SDLC平台，是基于微软经典的SDL模式完全自研的、集工具+服务+平台于一体的应用安全解决方案。通过威胁建模、安全检测、安全基线卡点，实现从立项、设计、编码、测试、上线阶段的全流程安全管控。用户只需要进行轻量级的情景问卷，自动生成安全设计任务、安全研发任务、安全测试任务，并提供安全代码示例、安全测试用例等，规范安全管理过程，提升团队整体安全能力。

在不同阶段，开源网安SDLC平台提供资产发现、IAST、SAST等能力。平台包含：开发过程安全活动全流程管控、漏洞统一闭环管理、工具管理与编排、知识库管理等功能。根据漏洞分布情况，确定研发人员的知识盲区与短板，提供针对性的安全培训。以流程、工具、培训助力企业提升安全治理能力。