4-魏亚东-金融行业安全管控及实践

核心观点与关键数据

Log4j2漏洞事件

• 2021年Log4j2漏洞引发全球性安全危机，72小时内遭受超过84万次攻击，Apache官方在20天内发布5个版本进行修复，但RC1和RC2版本仍存在漏洞绕过问题。
• 黑灰产利用该漏洞增加挖矿勒索模块，造成严重经济损失和系统瘫痪。

网络威胁与数据安全危害

• 网络威胁日益严重：2017年WannaCry勒索病毒席卷全球，2022年NPM恶意包攻击和俄最大银行DDoS攻击等事件凸显威胁升级。
• 数据安全事件危害加剧：2019年拼多多优惠券Bug损失200亿，2022年哥斯达黎加财政部数据泄露损失至少2亿美元；2020年全球数据泄露达360亿条，85%涉及人为因素。
• 法律法规趋严：GDPR对亚马逊和抖音国际版处以巨额罚款，中国《网络安全法》《数据安全法》等法规强化监管。

金融行业安全管控核心诉求

• 提升人员安全意识：避免钓鱼、社会工程学等人为泄露。
• 最小权限管控：文档加密+水印，实现安全左移。
• DevOps流水线嵌入安全工具：自动化管控安全出口质量。
• 快速漏洞修补：强化运行时动态入侵检测。
• 快速响应：舆情聚焦与自动分发处置。

DevOps与DevSecOps模式转变

• 瀑布模式依赖专家，忽略安全意识培训；DevOps将安全内嵌，实现高度自动化。
• DevSecOps以应用安全为核心，控制开发、交付、运营全过程风险，强调全员负责、安全左移、全流程内建。

工行DevSecOps能力建设

• 2016年开启DevOps，2017年引入DevSecOps，2020年构建黄金流水线。
• 目标：提升应用安全水平，降低合规风险和漏洞数。
• 路径：构建安全流水线，实现安全左移和过程管理，将安全能力原生化、技术化、服务化、过程化。

DevSecOps能力体系

• 层级架构：管理要求、平台支持、知识库、工具整合。
• 流程覆盖：需求分析至运营环节的闭环管控。
• 安全工具链：SAST、SCA、DAST、IAST、容器扫描、敏感信息检测等。
• 知识库：安全需求、设计、开发、测试、运维等规范沉淀。

未来展望

• 分布式架构、分布式身份、ZTNA等技术推动安全网格化。
• 大数据分析技术挖掘程序潜在缺陷。
• 隐私增强计算在保护数据隐私的同时实现多方协作。
• 技术变革将驱动软件安全革命，新技术优先者将获得安全对抗优势。