2020BCS-北京网络安全大会：金融机构开源软件安全治理思考与实践.pdf

《2020BCS-北京网络安全大会：金融机构开源软件安全治理思考与实践.pdf》由会员分享，可在线阅读，更多相关《2020BCS-北京网络安全大会：金融机构开源软件安全治理思考与实践.pdf（19页珍藏版）》请在三个皮匠报告上搜索。

1、2020北京网络安全大会内生安全从安全框架开始ENDOGENOUS SECURITYSTARTING FROM A CYBERSECURITY FRAMEWORKF00010901010010#page#金融机构开源软件安全治理思考与实践#page#梁鹏清华大学电子工程学硕士中国农业银行研发中心信息安全与风险管理部副处长长期从事金融消过小#page#背景与挑战思考与体会治理策略与实践#page#page#数量众多成本较高开源软件种类和数量规模巨大大量应用系统升级改造挑战存在安全漏洞众多大量的回归测试关系复杂情况多变广泛的直接引用版本不断升级漏洞不断发现错综复杂的间接引用#page#背景与挑战思

2、考与体会治理策略与实践#page#策略层兼顾安全与发展增量控制存量治理持续改进总体思路制度层建立开源软件管理的制度依据安全使用严格安全退出流程层准入持续监测流程仓库配置工具层漏洞扫描工具漏洞处置平台平台平台管理#page#制定标准摸清家底西治理策略外防输入内防扩散持续监测存量治理度量与评价#page#摸清家底不知道有哪些？不知道谁在用？不知道安全吗？搭建自动化的漏洞排查工具QO构建引用关系自动化分析能力搭建统一管理的开源软件仓库#page#制定标准接受什么？拒绝什么？关注什么？lo风险偏好2o差异化管理#page#外防输入不知道从哪里来？不知道能不能用？功能测评合法来源互联网80APP安全使用

3、安全测外使用协议审查引入环节严格把关构建环节阻断风险#page#内防扩散安全的组件新发现了漏洞怎么办？建立漏洞组件的灰名单新发现例外引存量的漏洞的建立应用系统的白名单入的组不安全新组件件组件及时更新灰名单白名单限制使用白名单漏洞组件#page#持续监测昨天安全今天还安全吗？漏洞信息从哪里来？定期全面漏洞检测CNNVD口对接多个漏洞库商业库NVD多环节持续检测，及时更新白名单CNVD漏扫工具构建检测准入检测#page#存量处置不知道从哪里入手？修复方案谁牵头？不知道代价有多大？口明确处置支持方口试点开路自主治理即时处置专项治理口分批推进重点突破整体压降落实要求口稳步实施#page#度量与评价治理任务完成了吗？治理成效怎么样？结果性指标作为漏洞治理有效性的指标，评估体系及处置方案的合理过程性指标性，如治理期漏洞减少比例、治理期漏洞减少比例、风险为漏洞治理方案符合性处置方式占比等。的指标，评估工作完成度，如任务完成率。#page#背景与挑战思考与体会治理策略与实践#page#没有银弹管理例外8元善工具打持久战#page#6感谢聆听！#page#