【IT168 评论】9月23日消息，今日，由360主办的首届中国互联网安全大会在国家会议中心举行。在下午召开的企业安全论坛上，众多业界专家、企业代表、第三方分析机构等嘉宾参与并发表了演讲。来自太平洋保险集团首席信息安全管理专家张军做了《企业应用开发安全实践》演讲。

▲太平洋保险集团首席信息安全管理专家张军

　　张军从应用安全所面临的内忧外患；业界实践、给出思路；完善管理、加强服务三个方面和大家分享了他今天的主题。

　　张军谈到，众所周知我们现在是一个移动的世界，互相连的时代，分享的时代，大量信息和服务在互联网上分享，但是很遗憾，现在也是一个信息很不安全的时代。今天大家都介绍了很多关于信息安全方面的实例，我也收集了一些。安全事件在全世界都是非常多的，包括火焰病毒在中东的大面积传播，包括短信诈骗，因为一个病毒感染了成千上千万的安卓用户。

　　同时大家也知道，这些事件都是由于漏洞被利用造成的。从2012年统计报告来看，造成安全事件的应用漏洞占了总体漏洞的88.7%。全球平均下来，有150天以上首先频繁的漏洞影响企业占55%。其中教育、通讯、金融和保险等行业影响比较大。因此，信息安全形式是非常严峻的，总结下来，一方面是新技术的引入，造成我们新的漏洞，新的风险的不断的出现。而且攻击的手段和方法越来越简单、方便。现在的黑客都是有目的而来的，是利益驱动的。这种情况下社会上也非常关注我们的信息安全，央视等经常会报道一些关于个人隐私安全泄露的报道，两会代表也不断的推进信息安全的立法。当然我们的监管单位也提出了非常多的要求，从07年国家颁布的信息安全等级保护，很多企业都在做。

　　2010年五部委发布的企业内控应用指引，2013年全国人大关于加强网络信息保护的决定等等。每年国家和各部委都会出台相应信息安全的指引这都迫使我们做好信息安全，尤其是应用安全的工作。

　　如何保证应用安全性?业界已经有了很多实践。从一份国外IT决策分析调研访谈结果来看，30%决策者选择了渗透测试，29%决策者选择应用安全测试和扫描，只有12%和16%的客户分别选择了代码级分析工具和软件架构安全。

　　当然大家知道，应用部署以后，它的漏洞修复成本是非常高的，开发阶段甚至于需求和架构的阶段着手对漏洞的管理、管控会成倍的降低收费成本。同时收费手段上也会有更大的灵活性。

　　我们从业界各厂商提供的解决方案来看，主要是通过定位与修复，防护和延缓以及代码安全三种方式应对应用安全。定位与修复采用的是最简单的方法普遍的方式是应用的自动扫描和深度测试。防护和延缓主要采用防火墙技术。代码安全是通过软件开发安全的生命周期各阶段活动实现。其中安全的团队一般只是在测试和运维阶段进行相应的安全性的验证和漏洞管理以及WAP平台的部署和维护等工作。因此目前有很多用户已经开始利用或者改进现在企业的一些应用开发的流程。

　　实施应用安全关键点：

　　一、尽早介入安全，并将安全融入到应用开发生命周期的每一个阶段。

　　二、实施完善设计并进行有效的编程安全验证。

　　三、安全团队要更加主动参与到应用开发的各个节的活动当中。

　　回顾一下太平洋保险在应用安全方面工作的情况：

　　我们在此前很早就制订了应用安全方面的标准和规范。也是在很早开始进行系统上线的黑客的扫描，也部署了WAP系统进行主动的防护。但是我们仍然面临着一些问题，包括应用安全规范和标准开发人员反应缺乏可操作性。开发编码任允也缺乏开发过程中安全的意识和开发方面的经验。应用验证只做到了一些漏洞扫描及但是很多问题是找不到的。而安全的缺陷修复成本很高，往往上线前进行验证，因此很多系统来不及，短期内只能带病上线。

　　应用开发过程中也缺乏全面的技术支持。这种情况下我们反复反思，形成了最新的安全管理主动服务的应用安全管理思路。全程管理就是完善符合太保应用安全管理的机制和策略。坚决从立项和需求阶段就开始介入安全。在需求阶段提出安全需求，在开发前进行安全的设计，加强上线前和线上的一些安全的评估。使得我们整个的安全状况有一个清晰的了解。同时我们也在管理制度为指南和工具，提高应用安全落地的可操作性。通过持续的安全培训，提供系统的开发人员、测试人员对应用安全的漏洞的敏感性。在技术上提高相关的应用安全漏洞的发现和防范水平。在管理上使得大家能够掌握应用安全管理的一些规定，管理的实施方法和重要的要求。从而整体上提高我们对应用产品、应用软件的安全性。

　　最后我们也是转变了观念。换位思考。安全环境从原来的安全评审者角度，转变为安全实施者。主动在开发安全机制各个阶段提供支持服务。我们希望逐步的提升应用安全的的安全性。

　　太保建立了变阶段点控制为全过程管理。包括管理活动、管理职责、管理工具。我们明确各个应用系统生命周期各阶段相关各团队的工作职责，最后是完善各阶段的工具、文档解决方案。我们把安全活动纳入到项目管理，上线和运维等流程进行交付控制。我们的安全可行性分析纳入了项目的立项报告中。将安全需求库安全需求成果，以及应用安全架构及方案分别纳入项目计划阶段，需求说明书，以及架构设计当中。上线发布阶段我们有相应的安全期限检查，检查结果作为上线的条件之一。

　　在运维阶段，我们对电商的应用进行定期检查，发现问题也纳入了公司漏洞管理和缺陷管理进行分析和跟踪。在治理方面，太保已经形成了较为完善的IT治理架构。2012年成立了集团IT中心下设五个功能领域，分工非常明确。

　　应用安全方面，信息安全我们负责对应用系统安全的需求分析、架构设计、安全的解决方案以及安全漏洞、检查分析工作。而规划、需求项目管理部与我们安全部一起完成意向报告中的安全可行性分析。这时候只负责安全的需求和架构设计，进行安全的功能设计测试工作。

　　开发部门在项目开发阶段实现安全的需求和架构，负责完成安全的编码。同时安全团队也积极转变观念，主动的提供服务。定位转变后的安全团队将在立项阶段开始作为项目组成员参与项目的实施，负责项目立项的报告可行性分析，需求架构阶段的安全分析代码阶段负责编码培训，完善相应的安全解决方案。应用测试阶段负责对测试部门测试人员进行培训。上线运行阶段负责定期巡检、发现漏洞，并且协调漏洞的响应。在需求阶段，安全团队基于威胁分析结果形成了应用安全需求调研表，结合硬件和业务系统应用情况，分析明确应用系统所能涉及的安全领域和风控点。

　　加强安全验证方面，主要由安全部和测试部共同实施，采用自动和人工两种方法去做，一是对漏洞进行扫描，发现漏洞和跨站等问题。

　　二是安全利用手工验证方式进行功能验证，发现一些异常处理权限控制、文件管理和汇报管理等，与一些不符合设计要求的地方。应用上线以后运行阶段，我们也同时从两个方面进行安全漏洞和缺陷的检查。

　　第一是每个月定期对外网应用进行漏洞扫描。二是主动检查。我们不断的完善有关安全的操作指南和模块化的工具。在需求阶段，我们将安全的技术标准规范进行解读，形成了应用安全代言表，根据不同应用面临的风险，将安全需求进行分类，制订了应用安全分级标准。逐步将需求进行规范化、通用化，以及便于团队沟通协同工作。同时，我们也在积累和完善标准化的安全架构设计和解决方案。为编码人员制订了安全的编码指导手册，不断的积累、完善模块化开发工具、组件等等。为测试人员编制标准的测试样例、完善标准的测试方法。在加强培训指导方面，我们安全的意识培训在前期主要培训对象是项目经理，项目主管，以及项目需求人员。通过提升这些人员的安全意识，可以在项目的日常管理工作和需求提出的时候就能想到安全。对代码规范培训是让开发人员了解安全编码相关的要求。在安全的测试培训中，我们对安全验证人员培训他们如何利用工具发现有关漏洞，如何有效分析自动化的工具发现问题。从而提高安全测试的覆盖面，以及测试的深度。

　　以上是我们在应用安全管理方面的心得和体会。虽然我们已经初步建立了全程管理应用安全机制和策略，并在可操作性安全主动性方面进行改进，但是并不表示我们做的非常完善非常好。实际上我们在这方面还有很多内容需要持续不断的改进，这样才能逐步接近应用安全的最终目标。我的分享到此，谢谢大家!