6月16日,信也科技(NYSE:FINV)自主研發(fā)的“泰坦安全平臺(tái)”成功上線。該平臺(tái)運(yùn)用DevSecOps體系,在微服務(wù)和敏捷開(kāi)發(fā)架構(gòu)下降低應(yīng)用系統(tǒng)的信息安全風(fēng)險(xiǎn),保障應(yīng)用系統(tǒng)及數(shù)據(jù)的安全性、保障站點(diǎn)系統(tǒng)及數(shù)字資產(chǎn)安全,建立更精準(zhǔn)、更高效的安全生態(tài)體系。現(xiàn)已完成了全線應(yīng)用站點(diǎn)對(duì)泰坦安全平臺(tái)的接入使用。
泰坦安全平臺(tái)是信也信息安全的核心支柱,它為數(shù)千應(yīng)用站點(diǎn)提供實(shí)時(shí)的自動(dòng)安全檢測(cè)及漏洞管理服務(wù)。投入試運(yùn)行后,信也的站點(diǎn)整體安全漏洞修復(fù)率提升至80%,高危及時(shí)修復(fù)率穩(wěn)定保持在100%。同時(shí),整體修復(fù)效率較2020年提升至5倍以上,外部漏洞發(fā)現(xiàn)數(shù)降低60%,目前各項(xiàng)指標(biāo)效果仍在持續(xù)提升中。
隨著大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等技術(shù)的發(fā)展,數(shù)字經(jīng)濟(jì)已經(jīng)成為我國(guó)經(jīng)濟(jì)增長(zhǎng)的新引擎,信息安全的重要性日益凸顯。信也科技在信息的安全性以及風(fēng)險(xiǎn)的可控性等方面得到了多方的認(rèn)可,2020年獲國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心頒發(fā)的APP安全證書(shū)和APP信息安全證書(shū),在安全及隱私兩項(xiàng)檢測(cè)中均獲得“三級(jí)品”認(rèn)證(最高等級(jí))。同年通過(guò)工信部信通院App后臺(tái)大數(shù)據(jù)集群信息安全測(cè)試。2021年,信也的聯(lián)邦學(xué)習(xí)平臺(tái)通過(guò)中國(guó)信通院“可信隱私計(jì)算評(píng)測(cè)”,該評(píng)測(cè)是目前國(guó)內(nèi)隱私計(jì)算領(lǐng)域最早、最全、廣受行業(yè)認(rèn)可的評(píng)測(cè)體系。2021年,憑借數(shù)據(jù)安全的優(yōu)勢(shì),信也科技榮膺零壹財(cái)經(jīng)所頒發(fā)的數(shù)據(jù)安全與治理標(biāo)桿企業(yè)TOP10獎(jiǎng)項(xiàng)。
01全面、高效、完善,推動(dòng)安全修復(fù)良性循環(huán)
據(jù)了解,信也泰坦安全平臺(tái)具備以下四大核心功能:
信也泰坦安全平臺(tái)主要功能列表
1. 全面的安全檢測(cè):
信也泰坦安全平臺(tái)對(duì)主流安全檢測(cè)、掃描類型具備全面的支持與覆蓋,在應(yīng)用站點(diǎn)研發(fā)運(yùn)維全生命周期中的各個(gè)節(jié)點(diǎn),可實(shí)現(xiàn)自動(dòng)化識(shí)別并進(jìn)行各類型的安全檢測(cè)任務(wù),精準(zhǔn)快速地定位站點(diǎn)中存在的安全漏洞風(fēng)險(xiǎn)。
信也泰坦安全平臺(tái)檢測(cè)能力
2. 高效的漏洞管理:
信也泰坦安全平臺(tái)具備自主掃描漏洞的打標(biāo)機(jī)制、消息觸達(dá)與完善的處理流程,同時(shí)支持接入外部漏洞平臺(tái),協(xié)助信安人員及研發(fā)人員對(duì)海量應(yīng)用站點(diǎn)在研發(fā)運(yùn)維流程中產(chǎn)生的高危安全漏洞進(jìn)行跟蹤管理。
3. 完善的修復(fù)機(jī)制:
信也泰坦安全平臺(tái)支持在原有標(biāo)準(zhǔn)漏洞描述及修復(fù)建議基礎(chǔ)上擴(kuò)展錄入更貼近研發(fā)實(shí)際情況的修復(fù)指南,并向研發(fā)負(fù)責(zé)人進(jìn)行實(shí)時(shí)推送。此外,根據(jù)漏洞的風(fēng)險(xiǎn)等級(jí),在CI/CD流程中可配置攔截卡點(diǎn),阻止站點(diǎn)攜帶高危漏洞上線,督促研發(fā)進(jìn)行修復(fù)工作。
4. 統(tǒng)計(jì)報(bào)表及安全指標(biāo):
通過(guò)實(shí)時(shí)數(shù)據(jù)統(tǒng)計(jì),掌握當(dāng)前全線站點(diǎn)的安全風(fēng)險(xiǎn)等級(jí)、修復(fù)狀態(tài)。針對(duì)團(tuán)隊(duì)、站點(diǎn)、漏洞等多維度的風(fēng)險(xiǎn)及修復(fù)情況統(tǒng)計(jì),設(shè)定各團(tuán)隊(duì)的安全量化指標(biāo),有效推動(dòng)安全修復(fù)良性循環(huán)。
02 形成全生命周期的安全保障體系
除上述核心功能外,憑借信也泰坦安全平臺(tái)的三大特性,已形成全生命周期的安全保障體系:
信也泰坦安全平臺(tái)架構(gòu)圖
1. 大幅縮減安全人力成本:
作為DevSecOps體系理念的落地實(shí)踐平臺(tái),信也泰坦最優(yōu)先解決的是在微服務(wù)和敏捷開(kāi)發(fā)架構(gòu)下進(jìn)行安全保障的人力成本問(wèn)題。據(jù)介紹,更多的站點(diǎn)、更頻繁的發(fā)版,對(duì)傳統(tǒng)安全團(tuán)隊(duì)來(lái)說(shuō)已捉襟見(jiàn)肘,人力將大量耗費(fèi)在站點(diǎn)的版本跟進(jìn)、溝通會(huì)議、修復(fù)跟蹤等繁瑣流程上,信也泰坦安全平臺(tái)目前支持?jǐn)?shù)以千計(jì)站點(diǎn)的日常迭代發(fā)版,通過(guò)對(duì)CI/CD的高度集成和自動(dòng)流程,可以大幅縮減安全人力成本。
2. 全生命周期支持、安全左移:
無(wú)論是傳統(tǒng)的SDL體系還是DevSecOps,均強(qiáng)調(diào)了應(yīng)用站點(diǎn)需要在不同階段得到安全保障,前置降低安全風(fēng)險(xiǎn)。泰坦在站點(diǎn)的生命周期中提供了完整的安全支持,從需求階段的威脅建模到研發(fā)流程的各類掃描檢測(cè)、線上的各類風(fēng)險(xiǎn)監(jiān)控、相關(guān)負(fù)責(zé)人的觸達(dá)交互,使各個(gè)環(huán)節(jié)都能參與到安全中來(lái),形成安全保障的鏈路與循環(huán)。
3. 有效推動(dòng)修復(fù)為前提的運(yùn)營(yíng)機(jī)制:
相較于業(yè)界的各類漏洞發(fā)現(xiàn)系統(tǒng),信也泰坦安全平臺(tái)的優(yōu)勢(shì)在于解決漏洞發(fā)現(xiàn)后的修復(fù)推動(dòng)問(wèn)題。對(duì)于大多數(shù)互聯(lián)網(wǎng)行業(yè)、或金融行業(yè)的企業(yè)來(lái)說(shuō),應(yīng)用系統(tǒng)的漏洞修復(fù)推動(dòng)更依賴于監(jiān)管硬性要求、高層重視和考核機(jī)制。對(duì)于此類頂層要求,需要有系統(tǒng)級(jí)、數(shù)據(jù)級(jí)的支持以確保更高效的落地。信也泰坦安全平臺(tái)可精準(zhǔn)地將每一次漏洞發(fā)現(xiàn)與系統(tǒng)發(fā)版、團(tuán)隊(duì)、負(fù)責(zé)人進(jìn)行自動(dòng)關(guān)聯(lián),周期性地進(jìn)行分析統(tǒng)計(jì),以量化指標(biāo)、排名的形式對(duì)修復(fù)率、修復(fù)效率等多維度數(shù)據(jù)進(jìn)行展示,有效推動(dòng)安全漏洞的修復(fù)工作,助力集團(tuán)建立更完善的安全保障體系。
自創(chuàng)立之初,信也科技始終將科技創(chuàng)新能力作為立身之本,并積極夯實(shí)數(shù)字技術(shù)能力。在信息服務(wù)領(lǐng)域,信也科技以“快、準(zhǔn)、穩(wěn)、好”為目標(biāo),守正創(chuàng)新,向陽(yáng)而生,為信息安全的穩(wěn)健發(fā)展注入力量。
