在防护方面，业界主要采用以下方式：

• 抢夺他国“治外法权”

   

• “长臂管辖”扩大跨境数据执法权

   

• “内松外紧”主导数据战略

• 主管部门各司其职形成监管新模式。

   

• 数据安全和网络安全防护谋求统一。

   

• 多法并轨、多标准并行，对于行业的话，一个落地执行，会是一个很难的选择。

个人而言，金融行业安全管控的核心诉求及策略可以分为四个方面。

1）提升人员安全意识，避免被钓鱼、社会工程学等因素无意识地泄露一些关键数据。

2）做好最小权限管控，可以通过文档加密或通过隐写术加水印，一方面可以避免人员有意识地泄露数据，另一方面可以事后精准定位和追责。

2）快速完成漏洞修补工作，降低安全漏洞。

2）持续风险评估能力，快速识别行为偏离。以前我带的团队试点过邬院士的拟态防御，通过部署多个动态异构体去提前发现安全风险并进行防御。

1）舆情影响范围快速聚焦。

2）自动实现舆情分发和跟踪处置，提升应急响应时效，以便最小化损失。

1）瀑布模式

2004年微软提出SDL理念，在当时具有划时代的意义，对华为和富国银行等众多企业起到积极作用。随着DevOps的兴起，它存在以下两大问题：

2）DevOps

近几年DevOps在国内处于持续上升和成熟期，在17年时Gartner提出了DevSecOps的全流程工具链，如上图所示，针对DevOps的每个阶段，均给出相关安全工具链（后面会具体展开，此处暂且不表），从而安全管控策略应符合以下两个原则：

中国信通院并未对DevOps做出明确定义，但在《研发运营一体化（DevOps）能力成熟度模型第6部分：安全及风险管理》提出了以下4种全新安全理念与实践模式。

其原则与DevSecOps理念相似，强调安全是每个人的责任，指将安全内嵌到应用的全生命周期，在安全风险可控的前提下，帮助企业提升IT效能，更好地实现研发运营一体化，做到全流程地安全内建，形成安全闭环。

工行开发中心分列于7地，现有8000多名研发人员，维护400多个应用，需要满足不断变化和日益增长的市场需求，如果完全实施SDL，人员投入成本和产出会严重失衡。

我行开发中心的安全管控探索包含两个阶段，第一个阶段是2018年9月前，主要由业务研发中心安全实验室负责安全验收，类似于SDL的安全测试阶段。因为测试阶段临近上线投产，发现问题后完成漏洞修复成本极高，可能存在安全设计层面的调整，存在影响业务上线的风险。于是在2019年9月后，开发中心开始提前安排安全管控和测试，并构筑安全攻击链，效果很明显，降低了约90%的安全测试问题，有效减少了问题成本。

回顾当时的历程，2016年Gartner发布报告《DevSecOps》 对模型及配套方案进行分析，2017年RSAC首次引入DevSecOps，这一概念开始流行起来。2018年，工行开启DevOps建设，在稳定成熟以后，2019年工行开始进行安全工具链建设与安全团队测试，与此同时，业界轻量级安全工具链日益丰富，与DevOps持续成熟相得益彰。

基于业界最新理念，我们制定了与业界同轨，形成DevSecOps能力建设的目标，即实现一个提升，两个降低。

1）提升应用安全开发技术水平及人员能力

2）降低应用风险漏洞数

3）降低应用监管合规风险

我们想要通过以上三个目标构建开发运营一体化的安全管理及技术体系。

我们的建设路径实际上包含三个方面。

1）安全能力原生化

2）安全能力技术化与服务化

3）安全管理过程化、可视化

我们能力体系分为4个建设目标，并依托目标形成层级和相关体系。

1）顶层架构

2）平台支持

平台支持，即要求平台化技术规范的策略化可以做到全流程的覆盖，为此，我们搭建了一个安全管理及技术平台，实际上涵盖了研发的所有环节，简单来说就是要求：

3）安全知识库

我们需要把一些东西进行沉淀，因为专家的能力始终是专家自身的一部分，而我们要做到人人都要为安全负责，一方面我们可以学习专家的相关经验进行成长，也就是传承；另一方面我们要对团队安全意识进行提升，为此我们尝试逐步完善相关知识库：

4）工具及DevOps整合

1）研发过程安全

从需求、设计、开发、测试、发布到运营，我们每一环节都会有一个安全门禁或DOD进行控制处理，以保证每一阶段安全质量目标的达成，最终保证出口安全质量。

2）运维安全事件响应及溯源

当发现运维安全事件后，我们要对运维安全事件积极响应以及事后溯源，以便实现自治体系的持续演进和提升。如果出现安全需求缺失，则要在需求环节进一步强化，比如通过威胁建模的方式提升需求安全性；如果设计环节有问题，发现安全设计缺陷，则应强化安全设计闭环，或通过其他的一些手段进行强化处理；如果开发阶段存在安全组件漏洞或代码缺陷，比如开发人员故意构筑代码缺陷，以便于其离职后的违规操作，则进一步强化开发环节的代码复核能力；如果是测试环节，则需要进一步优化完善测试用例缺失和测试工具漏报等问题。如果发布环节发现发布标准存在缺陷，则在后续的发布过程中进行改进。

3）安全能力沉淀

我们最后将安全能力沉淀，逐步建立一个持续演进的安全体系，这部分包括三方面：

① 问题修复跟踪

② 应用横行排查

③ 安全能力沉淀

基于上述理念，我们通过同步、异步相结合的模式，规划双链路检查模式，形成并提升DevSecOps能力。

1）构建并行于DevOps流程的可自由插拔装配的“黄金管道”安全流水线，将扫描准确高的轻量级安全扫描工具纳入CI/CD流水线，适应快速构建及交付要求，实现代码安全质量严控。

2）对于扫描效率不高的安全扫描工具，通过异步模式在全量流水线进行定期调度，开展例行扫描。如上图所示，CI流水线我们额外多了三个组件，一个是敏感信息检测，第二个是SAST扫描，第三个是SCA扫描。

在使用工具方面，进行敏感信息检测时，我们使用detect-secrets、 git-secrets等工具。对于SAST扫描，我们使用了三类工具，首先是Sonar（内置并持续增加诸多安全规则），我们可以看到像腾讯、阿里、华为等多家头部公司都在使用，同业中招行以及中行也在使用，然后我们使用了findsecbugs，除此之外，我们还采购了代码卫士等。

在SCA（软件成分分析）扫描方面，我们目前采购了开源卫士，之前我们用了两个工具，一个是license- maven-plugin ，sofa的良心组件，可以避免GPL许可证的使用。另一个是dependency check，它可以检查组件是否存在漏洞，方便我们进行提前修复。

我们可以看到，安全演进的速度在逐步加快，技术变革将驱动新一代软件安全革命。关键技术的演化，对于软件安全攻防双方来说，都是一个新的空白窗口期，谁能优先利用新技术，谁将在安全对抗中获得领先优势。

通过分布式架构方法，实现在分布式策略执行架构中实行集中策略编排和决策，用于实现可扩展、灵活和可靠的网络安全控制。个人认为网络安全网格是一个必然的趋势。

随着全球数据保护法规的成熟，各地区的CTO必然面临数据隐私，不同于常见的静态数据安全控制，隐私增强计算可在确保保密性或隐私的同时，保护正在使用的数据。数据价值其实在黑灰产中发挥了极致的作用，我们正处于大数据时代，通过隐私增强计算，既规避了数据隐私，又对我们建立千人前面的客户画像起到积极作用。落实反欺诈、评估个人数据转型等高度敏感数据的处理活动，一般可通过联邦学习，或通过同态加密的方式实现，在不侵犯数据隐私的情况下达成数据加工的目的。

决策智能可被视作用于挖洞的一种手段，业界看来利用大数据分析技术挖掘程序潜在缺陷在技术原理上已经被证明是可行的，也在领先机构的研发中取得了实际效果。但是，我们应清醒的看到新漏洞挖掘技术是一把双刃剑，在提升企业安全测试水平的同时，也可被攻击者利用优先发掘0-day，即达到攻防的博弈平衡很难。大家如果关注腾讯的玄武实验室或阿里云实验室的话，可以发现一个高级漏洞的奖励极其丰厚。

Q1：如何实现安全意识在开发人员中的软着陆？如何让用户感知到安全带来的实际收益？

A1：首先我们通过流水线做到安全门禁控制，开发人员通过门禁控制会意识到安全风险，明确解决方法。除此之外，安全库也会开发人员被迫提升安全意识。让开发人员主动提升安全意识是一个很难的过程。相对于安全，用户更在意业务价值，可以通过同业因为存在类似安全问题导致巨额罚款等可以量化的危害让用户或业务有感，比如谷歌被罚款5000万，万豪被罚款7000万等。

Q2：是否有对漏洞的数量进行过统计呢？

A2：因为时间原因，具体数据未做统计，但是可以利用NVD或CNNVD官网提供的漏洞分析功能或者通过下载相关数据进行进一步分析，从历史统计数据来看，可以看出漏洞数量在指数级上升，比如2017年的漏洞记录数超过了2016年全年漏洞记录数的2倍，数量十分巨大。

Q3：如何对软件产品以及系统的安全等级进行判定？是否有相关规范或模型？

A3：首先，国家发布了相关的网络安全等级保护条例，我们可以据此对系统安全进行评级。我觉得我应该是属于等保4级的水平，那就要拿等保4级会对相应的能力做出要求，这属于强制的原生要求。其次，可以通过安全漏洞的处理，结合DevSecOps的评估流程进行评估，使用工具进行全覆盖扫描也可以发现应用的安全防护水平；如果可以的话，进行同行业对比以及公司内部运营情况评估也可以反映出安全防护水平，但是在安全层面，大家实际上都会避而不谈，所以只要不被高中风险漏洞所影响，其他都可以不care。