书签 分享 收藏 举报 版权申诉 / 19

类型2020BCS-北京网络安全大会:金融机构开源软件安全治理思考与实践.pdf

  • 上传人:li
  • 文档编号:29402
  • 上传时间:2020-12-01
  • 格式:PDF
  • 页数:19
  • 大小:956.12KB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    2020北京网络安全大会 北京网络安全大会 BCS2020 金融机构开源软件安全治理思考与实践 BCS北京网络安全大会
    资源描述:

    1、金融机构开源软件安全治理思考与实践 梁鹏 清华大学电子工程学硕士 中国农业银行研发中心信息安全与风险管理部副处长 长期从事金融领域应用系统研发和应用安全管理工作 背景与挑战 治理策略与实践 思考与体会 云计算 监管要求 安全问题不容小觑 国家信息安全形势 内部管理要求 开源软件快速发展 AI 移动互联网 背 景 大数据 开源软件种类和数量规模巨大 存在安全漏洞众多 数量众多 广泛的直接引用 错综复杂的间接引用 关系复杂 大量应用系统升级改造 大量的回归测试 成本较高 版本不断升级 漏洞不断发现 情况多变 挑 战 背景与挑战 治理策略与实践 思考与体会 总 体 思 路 严格 准入 安全使用 安全

    2、退出 建立开源软件管理的制度依据 增量控制 持续改进 持续监测 存量治理 漏洞扫描工具 流程 平台 配置 平台 漏洞处置平台 仓库 管理 策略层 制度层 工具层 流程层 兼 顾 安 全 与 发 展 兼 顾 安 全 与 发 展 外防输入 存量治理 制定标准 内防扩散 持续监测 度量与评价 摸清家底 治 理 策 略 摸清家底 搭建统一管理的开源软件仓库 构建引用关系自动化分析能力 搭建自动化的漏洞排查工具 不 知 道 有 哪 些 ? 不 知 道 谁 在 用 ? 不 知 道 安 全 吗 ? 制定标准 接 受 什 么 ? 拒 绝 什 么 ? 关 注 什 么 ? 风险偏好 差异化管理 外防输入 互联网

    3、功能测评 安全测评 协议审查 1 3 安全使用 合法来源 例外使用 构建环节阻断风险 引入环节严格把关 2 不 知 道 从 哪 里 来 ? 不 知 道 能 不 能 用 ? 内防扩散 存量的 不安全 组件 新发现 漏洞的 组件 例外引 入的组 件 限制使用白名单 漏洞组件 不 安 全 组 件 的 使 用 范 围 扩 大 了 吗? 安 全 的 组 件 新 发 现 了 漏 洞 怎 么 办 ? 建立漏洞组件的灰名单 建立应用系统的白名单 及时更新灰名单白名单 NVD CNNVD CNVD 商业库 漏扫工具 持续监测 对接多个漏洞库 多环节持续检测,及时 更新白名单 定期全面漏洞检测 白名单 构建检测 准入检测 昨 天 安 全 今 天 还 安 全 吗 ? 漏 洞 信 息 从 哪 里 来 ? 存量处置 丏项治理 重点突破 自主治理 整体压降 即时处置 落实要求 明确处置支持方 试点开路 分批推进 稳步

    展开阅读全文
    提示  三个皮匠报告文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:2020BCS-北京网络安全大会:金融机构开源软件安全治理思考与实践.pdf
    链接地址:https://www.sgpjbg.com/baogao/29402.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 联系我们 - 行业研究网

    copyright@ 2008-2013        长沙景略智创信息技术有限公司版权所有
    公安局案号:湘公网安备 43010402001071号 | 工信部备案号:湘ICP备17000430号-2 | ICP经营许可证:湘B2-20190120 | 出版物经营许可证:新出发岳文字第43010420211号