5月29日-6月1日，全国信息安全标准化技术委员会2023年第一次“标准周”活动在云南昆明举办，旨在促进标准各相关方加强网络安全技术与标准化交流研讨，推进网络安全国家标准项目研究和制修订工作，提升标准研制质量。

默安科技携手国泰君安证券股份有限公司（以下简称国泰君安）亮相“网络安全国家标准优秀实践案例展览”；在网络安全标准应用实施经验交流会上，默安科技解决方案架构师孟瑾带来以“网络安全国家标准在证券应用开发安全过程中的实践应用”为主题的经验分享。

图 默安科技代表（左）和国泰君安代表（右）

图 默安科技副总裁沈锡镛（右）现场讲解

实践背景及标准应用情况

随着金融供给侧结构性改革和数字化转型的深入推进，互联网应用高速迭代，为系统安全和个人信息保护带来了巨大的挑战，应用开发左移安全越来越受到重视。与此同时，国家网络安全相关法规、国家网络安全等级保护标准、个人信息保护安全标准、证券行业应用安全标准也相继更新出台，为促成证券企业数字化转型下的应用内生安全防线基本成型提供了标准化依据。

作为大型头部证券公司，国泰君安证券的主营业务和投资业务均有大量高敏感个人信息保护的需求，开展全面的开发安全体系建设将是应对软件供应链攻击的有力之举。基于此，默安科技在协助国泰君安建设开发安全流程和体系的过程中，遵循GB/T 35273-2020《信息安全技术 个人信息安全规范》和GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》两项国家安全标准并实施标准应用。

标准实施情况

在开发安全流程建设过程中，默安科技协助国泰君安主要从以下四个方面实现等级保护和个人信息安全两项标准的落地实施。

建立标准实施保障机制

国泰君安的标准实施保障机制包括以下七个方面：

●组织机构：依托金融行业风险防范的“三道防线”建立组织架构。

●管理制度：建设和完善管理制度，涉及开发环境访问控制、系统验收、开发配置管理、开发项目管理、技术架构评审和选型、安全编程、系统权限管理、开发人员安全管理等标准条款领域。

●人员培训：借助IT部门和法律合规部两道风险防范防线，面向全公司开展等级保护和个人信息保护相关的法律和标准强制培训工作。

●流程卡点：针对标准中对应用开发的管理要求，依托集团OA系统，全面实现安全需求分析、安全架构评估、安全测试和上线安全测评各环节的流程审批系统化，支撑标准中管理要求的落地。

●技术卡点：针对标准中对应用开发的技术要求，如开发需求阶段的安全风险评估、架构评估阶段的第三方组件准入、编码阶段的代码安全检测、测试阶段的应用安全测试，由默安科技构建相关的技术平台予以实现。

●外部测评：针对所有自行开发的应用，均由IT部门下属IT合规风控团队组织外部第三方测评机构实施相关测评。

●企标提炼：依据GB/T 35273-2020《信息安全技术 个人信息安全规范》要求，由IT部门移动应用研发团队发起，经IT部门、法律合规部批准，形成适用于全公司的企业标准Q/021GTJA20210125-2021《证券APP个人信息保护技术标准》，便于国家标准在国泰君安推广应用。

面向全公司开展标准解读和宣贯工作

法律合规部建立和维护法规制度库，面向全集团员工开放查询，通过人工和工具等多种手段，对标准动态密切监控，第一时间将标准入库，方便企业内部学习和使用。国家网络安全新标准发布后，法律合规部迅速组织解读，形成新标准落实提示，开展现场培训，帮助集团领导、业务部门、技术部门了解法规要点，讨论如何实施，并通过e-learning面向集团员工进行强制培训，提升集团内部整体的标准意识，助力标准推行。

落地适应行业监管和组织特点的开发安全流程

国泰君安建立开发安全管理制度，制定了需求评审、架构评审、上线评审、变更审批等标准闭环流程，确保对开发过程的安全管控。软件需求评审流程中，IT合规风控团队介入进行合规评估审批，默安科技协助构建威胁建模平台，进行自动化威胁分析，提升安全需求分析能力；架构评审流程中，由IT技术评审委员会对架构设计方案进行评审；上线评审流程中，安全团队和IT合规风控团队对上线前的安全测试与漏洞修复情况进行审批；变更审批流程中，依托平台工具建立风险评估模型，根据变更要素进行自动化变更风险评估，根据风险等级确定变更方案、回退方案和审批流程。

建设全链路的开发安全技术支撑体系

默安科技为国泰君安提供了一套完整的“产品+服务+平台”的DevSecOps全流程解决方案，构建由威胁建模、软件成分分析、白盒/灰盒/黑盒安全测试五大开发安全引擎组成的应用开发安全工具链；建立自动化安全管控流程，在代码提交、部署上线、容器镜像入库和部署等环节设置质量门禁，在代码流入下一个环节前进行质量检测，支撑开发安全流程高效运营；建设漏洞管理平台，实现漏洞发现、代码追溯、漏洞研判、漏洞修复、漏洞校验的漏洞管理全生命周期闭环管理，全面提升国泰君安在安全需求分析、安全架构评估、安全编码、安全测试和上线安全测评各阶段的安全能力。

图 全链路开发安全技术支撑体系

标准应用效果及经验分享

从应用效果来看，国泰君安核心系统安全运行率连续多年保持99.99%。通过国标、行标与企业实践的深度融合，国泰君安制定了《证券APP个人信息保护技术》的企业标准，并参与2021年金融行业企业标准“领跑者”计划，发挥了行业标准引领作用；在历年个人信息保护检查中“0违规通报”，同时获得了上海市网信办颁发的2021年度上海市网络安全工作先进单位称号，为证券行业的数字化转型提供了安全最佳实践和示范标准。

在本次标准落地实践中，默安科技也对相关经验作了总结：一是明确标准适用范围和对象，做实合规差距分析；二是加强组织领导，全力推动标准化工作的进行；三是借力办公门户，推动项目合规走向流程必然；四是依托产业实践，逐步打造开发安全工具链。

总体上，经过各项标准的应用，国泰君安已经形成了“风险前置、管控内生、能力汇聚”的应用开发安全体系建设理念，通过实践落地，建立了适应行业监管与企业特性的开发安全管控流程和技术平台。作为全国金融标准化技术委员会和证券分技术委员会成员单位，未来默安科技将积极配合国家软件供应链安全和开发安全相关国标试点工作，推进证券行业相关标准的立项、编制，促进行业示范、交流与推广，为证券行业落实网络安全国家标准、促进行业网络安全生态发展作出新的贡献。