交易无处不在,拿什么来守护支付安全?

如今,大到国际巨头的资金往来,小到日常每一笔网上银行交易,金融IT的触角已经延伸到各个角落。我们在日常生活中频繁使用着网络支付、电子银行、移动支付等金融工具,相应的交易模式也在不断变化中。永远在线的交易,自然也促使银行业对软件质量的关注提升到了新高度。

作为一家品牌综合影响力不断扩大的地方银行,天津银行自成立以来,一直注重为用户提供专业、安全、可靠的金融服务和产品。近年来,他们更是通过部署HPE Fortify产品,进一步完善了系统安全测试流程,大幅提升了测试团队查找软件安全漏洞的效率,降低系统在实际运行中可能存在的巨大风险,从而真正为最终用户提供安全周到的金融产品。

人工方式代码审核费时、费力,时常漏检

天津银行在不断创新金融产品和服务方式的同时,持续强化信息科技安全建设,他们采取多种安全措施确保软件系统安全,如在办公、生产、测试等不同区域设置防火墙、加密机制保证网络层的安全,在新产品上线或系统升级时进行功能、业务压力测试,通过质量管理工具降低风险防止代码被改动,等等。

验收测试是天津银行对应用系统最主要的质量控制环节,而从安全角度对每款新软件进行全面的风险分析,并提出有针对性的整改方案也已经成为产品稳定上线前必不可少的一步,这项工作需要测试人员通过代码审核来完成。

代码审核是从安全角度对源代码进行分析,其关注点是有可能对软件产生威胁的安全漏洞或架构上的设计缺陷,而这些通常也是黑客攻击利用的漏洞。天津银行以前一直采用人工方式来进行代码安全检测,但这种方式会占用大量的时间和人力,并且审核的效率也不高,同时,也不能将所有的系统进行深入的检测。另外,由于天津银行外包商提供的产品,在标准、语言、操作系统版本等方面也各有差异,更加大了测试的任务量和复杂度漏检、错检的问题常有发生,这对于人员精简的天津银行软件测试部门来讲无疑是雪上加霜。

竞争的激烈导致银行业在快速推出新业务的同时,除了要保持高效的服务能力之外,更要确保客户交易安全。这种业务的快速变化迫使支撑它运行的IT系统也要更敏捷。IT必须敏捷,但业务系统却越做越复杂、越来越多,而银行又要在有限的人员投入下保证质量、防范风险,挑战和压力越来越大。快速的去交付一个软件服务,纯手工人工非自动化的方式已然不能适应业务的快速变化,所以天津银行亟需要采用专业的自动化测试工具,通过一组全面规则、测试机制在软件开发、测试过程中发现和管理软件的安全隐患,进而提升审核效率。

对于安全测试工具的选择,天津银行负责软件开发的许平副总经理认为非常有必要,她表示:“以前通过人工方式进行代码审核,虽然也能达到银监会审计要求的标准,但其实心里没有底,没有统一标准、源代码扫描不规范、细小错误能不能发现等问题都是现实存在的,软件即使审计通过上线了,但在实际运行过程中风险依然非常大。”许平希望能够采用成熟的代码检测工具来进一步完善系统测试流程,消除代码潜在的风险,提高代码的质量、可读性和可维护性,保护银行的应用。

HPE Fortify,实现源代码安全检测

在选择安全测试工具时,天津银行直接将目标选定为HPE Fortify产品。因为全世界最大的10大银行中的9家都选择了HPE Fortify。HPE Fortify在业界拥有很好的用户口碑,国内许多金融企业也广为应用这款产品进行软件安全测试。HPE Fortify是一个静态的软件源代码安全测试工具,拥有最全面的安全代码规则包,支持市场上最流行、最多样化的编程语言,安全漏洞检查也最为彻底。成熟领先的产品、丰富的实施经验、专业的服务团队让天津银行锁定HPE。

如今的黑客攻击主要利用软件本身的安全漏洞,这些漏洞是由不良的软件架构和不安全的代码产生的,而防御方案则非常明确——就是构建安全的代码。保证代码安全没有捷径可走,必须在每一个开发周期巩固软件安全性。开发人员可利用HPE Fortify进行强有力的源代码分析;安全测试人员借助HPE Fortify使测试变得可量化,更易修复漏洞;评审人员能够通过HPE Fortify从整个代码中找出安全问题,定下主次顺序,然后解决问题。

HPE Fortify完全自动化的测试流程、多维度分析源代码安全问题、精确定位漏洞产生的全路径,以及1分钟约1万行的扫描速度,让天津银行开发测试人员不仅在对源代码进行安全漏洞扫描时省时省力,还能获知详细的漏洞信息及相应的修复建议,能够在第一时间与应用开发外包团队沟通Bug所在,及时修正漏洞。

HPE Fortify通过内置的五大主要分析引擎:数据流、语义、结构、控制流和配置流对应用软件的源代码进行静态的分析,在分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来。HPE Fortify安全代码规则多达50000多条,规则内容涉及ASP.NET,C/C++,C#,Java,XML,VB.NET等多种语言,并且能够跨层、跨语言地分析代码的漏洞的产生,而上述这些也恰恰是天津银行目前系统架构所采用的多种语言环境,而HPE Fortify与世界同步的业界最权威的安全规则库,则确保了天津银行能够防范最新型的安全漏洞,在软件形成产品成本前将软件安全风险降到最低。

整合业务及服务,提升园区招商吸引力

谈到方案实施的好处,许平认为:代码审核更规范、更精确,原来人工方式无法监控到内存泄露问题,更不能定位到底是哪行代码出现内存泄露,黑客有可能会利用漏洞来影响应用或大幅度降低应用的性能,而现在,这一问题得到解决,有效降低新产品上线失败的风险,加速了对高质量应用的部署。而且通过减少漏洞被利用的频率,还有助于减少灾难恢复的成本。具体来讲还包括:

  • 提升代码审核效率;
  • 代码审核范围涉及全部应用;
  • 安全检测标准化、制度化;
  • 测试结果更规范、更全面;

同时,许平还希望搭建起一个测试团队高效协同平台,以促进银行测试团队和项目开发人员间全产品生命周期内的协作,并且能够与银行测试人员同步漏洞检测,消除测试版本部署的随意性以及环境冲突的不可预见性,减少沟通时间,推动开发质量的提高,加速新产品上线。

为了防范风险,天津银行还研究制定了信息科技风险管理制度体系,完成了信息科技系统“两地三中心”的灾备体系建设,这一系列举措将使天津银行的信息科技支撑能力进一步增强。

“部署HPE Fortify方案后,天津银行对内网、外网中所有新上线应用全部进行源代码安全测试,极大提升了软件性能,能够满足监管要求,保护系统不会受到恶意代码攻击,大幅降低企业风险”,许平最后总结道。

本文作者:HPE大数据

来源:51CTO

时间: 2024-10-04 00:45:28

交易无处不在,拿什么来守护支付安全?的相关文章

让交易无处不在,小交易APP多客户端发布显神威

随着网络的兴起,http://www.aliyun.com/zixun/aggregation/39531.html">网上交易成为一大热潮,如何以低成本将交易信息推广扩散,成为不少卖家的难题.小交易APP的出现解决了这一难题,软件可以通过微博.QQ.通讯录等多个社交平台发布待售物品信息,对于物品的推广交易极为方便. 小交易主打好友.邻里之间的交易,不要认为这个圈子很小,由于软件整合了多种社交分享机制,既可以直接分享到自己的社交网络,使商品信息可以沿着你的一度人脉.二度人脉逐级扩散开去,流

资金通过拍拍交易转账退款资金如何找回支付密码?

  若您账户资金是拍拍交易发生退款后,卖家通过即时转账退款给您,我们可以协助您通过验证账户资金的方式找回支付密码.请您联系我们提供以下资料: 1.支付这笔拍拍交易的银行卡图片(将实物卡拍照); 2.银行卡开卡人身份证图片(二代身份证需提供正反面); 3.网上银行支付这笔拍拍交易的银行订单记录截图(有订单号.支付金额.支付时间,查询方法可参考,或直接咨询银行客服).

微信扫码零钱支付 微信中为什么查不到交易记录

问题描述 微信扫码零钱支付 微信中为什么查不到交易记录 做微信扫码支付开发 支付成功后 我用的零钱支付的 结果发现微信中没有交易记录?求解.. 解决方案 你打电话给微信客服问一问! 解决方案二: 你查查微信支付的API吧

微信支付开发交易通知实例_php实例

一.交易通知 用户在成功完成支付后,微信后台通知(POST)商户服务器(notify_url)支付结果.商户可以使用notify_url的通知结果进行个性化页面的展示. 对后台通知交互时,如果微信收到商户的应答不是success或超时,微信不为通知失败,微信会通过一定的策略(如30分钟共8次)定期重新发起通知,尽可能提高通知的成功率,但微信不保证通知最终能成功. 后台通知通过请求中的 notify_url 迚行,采用 POST 机制. 同时,在postData中还将包含xml数据. 二.交易结果

微信支付开发(4) 交易通知

由于微信支付接口更新,本文档已过期,请查看新版微信支付教程.地址 http://www.cnblogs.com/txw1958/category/624506.html   本文介绍如何使用JS API支付时如何获得交易通知.   一.交易通知 用户在成功完成支付后,微信后台通知(POST)商户服务器(notify_url)支付结果.商户可以使用notify_url的通知结果进行个性化页面的展示. 对后台通知交互时,如果微信收到商户的应答不是success或超时,微信不为通知失败,微信会通过一定

微信支付开发交易通知实例

一.交易通知 用户在成功完成支付后,微信后台通知(POST)商户服务器(notify_url)支付结果.商户可以使用notify_url的通知结果进行个性化页面的展示. 对后台通知交互时,如果微信收到商户的应答不是success或超时,微信不为通知失败,微信会通过一定的策略(如30分钟共8次)定期重新发起通知,尽可能提高通知的成功率,但微信不保证通知最终能成功. 后台通知通过请求中的 notify_url 迚行,采用 POST 机制. 同时,在postData中还将包含xml数据. 二.交易结果

O2O模式下的交易和支付

交易和购买环节,是O2O整个商业模式得以存在的一个非常核心的环节. 在这个环节中的一个本质问题,就是消费者如何在整个移动互联网体验链条中,完成交易和购买动作.这涉及到O2O平台需不需要用户去支付,这里的含义就是, O2O平台是定位在一个纯营销媒体平台还是一个交易平台.如果是一个纯媒体平台,那么也就意味着它只在信息流方面与用户进行交互,提供相应的信息,但并不介入到交易中去.如果是一个交易平台,就是要介入到交易中去,完成交易和购买动作. 媒体平台O2O 我们先考察作为纯媒体平台的O2O,即不介入交易

android银联支付,请求报文错误[8100008]

问题描述 android银联支付,请求报文错误[8100008] 之前搞得银联支付,并且试用了没有问题. 但今天再用就在跳转时弹出对话框,显示: 请求报文错误[8100008] 我没有动过这一块的代码. 请大神指导 解决方案 Android-银联支付android银联支付android银联支付 解决方案二: 问下银联是不是改什么东西了?或者确认一下这个代码的意思 解决方案三: iOS同样遇到这个问题,楼主解决了吗 解决方案四: 是你们服务端改东西了吧 流程图说明: (1)用户在客户端中点击购买商

物联网支付技术架构和发展趋势

一.前言 物联网一词最早源自美国微软公司创办人比尔盖兹 (Bill Gates) 在 1995 年所著的<未来之路>(The Road Ahead) 一书中,一段描述智能化居家生活的想象.由于当时信息技术发展未臻成熟,物联网并未引起世人太多关注.1998 年,美国麻省理工学院提出电子产品代码 (Electronic Product Code,EPC) 系统的"物联网"构想,1999 年该校 Auto-ID中心主任凯文·艾什顿 (Kevin Ashton,后来被称为"