1.3 國(guó)內(nèi)外開(kāi)發(fā)安全的現(xiàn)狀

當(dāng)前銀行業(yè)信息系統(tǒng)的安全狀況，特別是銀行系統(tǒng)的互聯(lián)網(wǎng)化，對(duì)信息安全提出更高要求，但信息系統(tǒng)安全保障是一個(gè)龐大和復(fù)雜的課題，開(kāi)發(fā)安全性的實(shí)現(xiàn)與落地并不容易，國(guó)內(nèi)外均投入大量的人力物力進(jìn)行開(kāi)發(fā)安全的研究與實(shí)踐。

目前，國(guó)內(nèi)外開(kāi)發(fā)安全的研究既有理論研究，又有通過(guò)企業(yè)的實(shí)踐進(jìn)行分析總結(jié)的成功實(shí)踐，以下將選擇部分信息進(jìn)行介紹。

1.3.1 國(guó)外開(kāi)發(fā)安全

國(guó)外開(kāi)發(fā)安全發(fā)展較早，美國(guó)是其中發(fā)展較好的國(guó)家。

在理論和規(guī)范方面，美國(guó)的國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）推出的SP800系列文檔，包含開(kāi)發(fā)安全管理的標(biāo)準(zhǔn)，包括初始階段、獲取/開(kāi)發(fā)階段、執(zhí)行階段、操作/維護(hù)階段和部署階段。每一階段都包括一組最簡(jiǎn)化的安全步驟，以指導(dǎo)在開(kāi)發(fā)過(guò)程中實(shí)現(xiàn)安全與系統(tǒng)融合。

此外，國(guó)外的大型企業(yè)已經(jīng)進(jìn)行了很多的開(kāi)發(fā)安全實(shí)踐，總結(jié)出相應(yīng)的開(kāi)發(fā)安全管理理念：

（1）微軟SDL。SDL的全稱是Security Development Lifecycle，即安全開(kāi)發(fā)生命周期。它是由微軟最早提出的，在軟件工程中實(shí)施，是幫助解決軟件安全問(wèn)題的辦法。SDL是一個(gè)安全保證的過(guò)程，起始點(diǎn)是軟件開(kāi)發(fā)，它在開(kāi)發(fā)的所有階段都引入了安全和個(gè)人隱私保護(hù)的原則，包括開(kāi)發(fā)威脅模型、使用靜態(tài)分析工具以及代碼審核和安全測(cè)試。自2004年起，SDL一直都是微軟在全公司實(shí)施的強(qiáng)制性策略。

SDL中的方法，試圖從安全漏洞產(chǎn)生的根源上解決問(wèn)題，通過(guò)對(duì)軟件工程的控制，保證產(chǎn)品的安全性。SDL主要由以下7部分組成：

●安全培訓(xùn)（training）：推廣安全編程意識(shí)。

●需求分析（requirements）：尋找安全嵌入的最優(yōu)方式。

●系統(tǒng)設(shè)計(jì)（design）：威脅建模設(shè)計(jì)。

●實(shí)現(xiàn)（implementation）：安全開(kāi)發(fā)。

●驗(yàn)證（verification）：黑/白盒測(cè)試。

●發(fā)布（release）：最后檢查確認(rèn)。

●響應(yīng)（response）：應(yīng)急響應(yīng)，漏洞跟蹤解決。

通過(guò)上面的環(huán)節(jié)，微軟SDL是將設(shè)計(jì)、代碼和文檔等與安全相關(guān)的漏洞減到最少，在軟件開(kāi)發(fā)的生命周期中盡可能早地發(fā)現(xiàn)解決相關(guān)漏洞建立的流程框架。

（2）CSDL。這是思科定義的安全開(kāi)發(fā)生命周期，思科希望通過(guò)實(shí)施CSDL來(lái)檢測(cè)、修復(fù)設(shè)計(jì)和編碼缺陷，降低、防止設(shè)計(jì)和編碼缺陷帶來(lái)的危害。CSDL使用多層防御方法。首先，通過(guò)基礎(chǔ)需求和威脅建模評(píng)審，將產(chǎn)品安全納入整體設(shè)計(jì)和設(shè)計(jì)評(píng)審流程。其次，執(zhí)行嚴(yán)格軟件開(kāi)發(fā)設(shè)計(jì)流程來(lái)檢測(cè)、修復(fù)和防止軟件缺陷。最后，利用滲透測(cè)試來(lái)驗(yàn)證前面兩層的防御，發(fā)現(xiàn)和修復(fù)缺陷。

（3）BSI模型。BSI模型是Gray McGraw提出的安全開(kāi)發(fā)模型，BSI是Building Security IN的縮寫(xiě)，強(qiáng)調(diào)應(yīng)該使用工程化的方法來(lái)實(shí)施軟件安全，即在整個(gè)軟件開(kāi)發(fā)生命周期中都要確保將安全作為軟件的一個(gè)有機(jī)組成部分。該模型的三根支柱是風(fēng)險(xiǎn)管理、軟件安全的接觸點(diǎn)和安全知識(shí)。風(fēng)險(xiǎn)管理貫穿整個(gè)生命周期，用來(lái)追蹤和減輕風(fēng)險(xiǎn)；接觸點(diǎn)，即進(jìn)行安全開(kāi)發(fā)的最佳實(shí)踐；安全知識(shí)，即收集、組織和傳播對(duì)安全教育和接觸點(diǎn)實(shí)施極為重要的知識(shí)，知識(shí)類型包括原則（principle）、方針（guideline）、規(guī)則（rule）、弱點(diǎn)（vulnerability）、攻擊程序（exploit）、攻擊模式（attack pattern）和歷史風(fēng)險(xiǎn)（historical）。

（4）OWASP的CLASP模型。CLASP為comprehensive lightweight application security process的首字母縮寫(xiě)，即綜合輕量應(yīng)用安全過(guò)程，提供一個(gè)經(jīng)驗(yàn)型的架構(gòu)，以實(shí)現(xiàn)對(duì)開(kāi)發(fā)安全的支持。CLASP實(shí)際上是一組過(guò)程的片段，可以集成到任何軟件開(kāi)發(fā)過(guò)程中。CLASP采用說(shuō)明性的手段，建議組織采取相關(guān)的活動(dòng)，并且提供一個(gè)安全資源，介紹工具用以實(shí)現(xiàn)自動(dòng)過(guò)程。

（5）SSE-CMM模型。SSE-CMM（Systems Security Engineering，Capability Maturity Model）是一個(gè)過(guò)程參考模型。它關(guān)注的是信息技術(shù)安全（ITS）領(lǐng)域內(nèi)某個(gè)系統(tǒng)或者若干相關(guān)系統(tǒng)實(shí)現(xiàn)安全的要求。在ITS領(lǐng)域內(nèi)，SSE-CMM關(guān)注的是用來(lái)實(shí)現(xiàn)ITS的過(guò)程，尤其是這些過(guò)程的成熟度。SSE-CMM不規(guī)定組織使用的具體過(guò)程以及具體的方法，而是利用其現(xiàn)有的過(guò)程實(shí)現(xiàn)信息技術(shù)安全。它主要涵蓋以下內(nèi)容：

●SSE-CMM強(qiáng)調(diào)的是分布于整個(gè)安全工程生命周期中各個(gè)環(huán)節(jié)的安全工程活動(dòng)，包括概念定義、需求分析、設(shè)計(jì)、開(kāi)發(fā)、集成、安裝、運(yùn)行、維護(hù)及更新。

●SSE-CMM應(yīng)用于安全產(chǎn)品開(kāi)發(fā)者、安全系統(tǒng)開(kāi)發(fā)者及集成者，還包括提供安全服務(wù)與安全工程的組織。

●SSE-CMM適用于各種類型、規(guī)模的安全工程組織。

以上開(kāi)發(fā)安全模型的特點(diǎn)如表1-1所示。

總體來(lái)說(shuō)，國(guó)外的安全開(kāi)發(fā)理論比較發(fā)達(dá)，實(shí)際應(yīng)用比較廣泛，值得有志于學(xué)習(xí)與實(shí)踐開(kāi)發(fā)安全的讀者們借鑒和學(xué)習(xí)。

1.3.2 國(guó)內(nèi)開(kāi)發(fā)安全

國(guó)內(nèi)對(duì)開(kāi)發(fā)安全工作非常重視，開(kāi)展時(shí)間并不比國(guó)外晚多少，但在理論研究深度和實(shí)踐強(qiáng)度上，對(duì)比發(fā)達(dá)國(guó)家還是有一定距離。

在理論和規(guī)范方面，中國(guó)信息安全測(cè)評(píng)中心推出國(guó)家標(biāo)準(zhǔn)GB/T 18336—2015《信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則》，綜合考慮產(chǎn)品的預(yù)期應(yīng)用環(huán)境，通過(guò)對(duì)信息安全產(chǎn)品的整個(gè)生命周期，包括技術(shù)、開(kāi)發(fā)、管理、交付等部分進(jìn)行全面的要求和對(duì)應(yīng)的安全性評(píng)估與測(cè)試，驗(yàn)證產(chǎn)品的保密性、完整性和可用性程度，確定產(chǎn)品對(duì)其預(yù)期應(yīng)用而言是否足夠安全，以及在使用中隱含的安全風(fēng)險(xiǎn)是否可以容忍，產(chǎn)品是否滿足相應(yīng)評(píng)估保證級(jí)的要求。這是國(guó)內(nèi)比較系統(tǒng)地對(duì)開(kāi)發(fā)安全提出明確要求的標(biāo)準(zhǔn)。

國(guó)內(nèi)大量的企業(yè)都在開(kāi)展開(kāi)發(fā)安全活動(dòng)，但對(duì)開(kāi)發(fā)安全工作進(jìn)行系統(tǒng)性總結(jié)的不多。搜狐公司總結(jié)的Sohu SDL是其中一個(gè)比較公開(kāi)的例子。本節(jié)先對(duì)Sohu SDL做一個(gè)簡(jiǎn)單介紹，從中可以看出國(guó)內(nèi)SDL的發(fā)展水平，后續(xù)2.5.4.1節(jié)和2.5.4.2節(jié)還會(huì)從多角度詳細(xì)介紹Sohu SDL流程。

搜狐公司Sohu SDL期望解決其信息安全面臨的，諸如項(xiàng)目開(kāi)發(fā)周期短、迭代頻繁、缺乏安全設(shè)計(jì)、缺乏安全編程意識(shí)、老舊代碼難以維護(hù)、業(yè)務(wù)線代碼風(fēng)格多變等問(wèn)題。