保险企业SDL安全平台建设

信息技术与安全Information Technology And Security电子技术与软件工程Electronic Technology & Software Engineering保险企业SDL安全平台建设万强(中国太平洋保险（集团）股份有限公司上海市200124 )摘要：本文通过阐述保险企业SDL安全平台的建设和组成，系统介绍了企业应用开发安全所面临的痛点和挑战，从应用开发安全技

术管理制度和流程、安全工具和知识库、应用安全平台建设、人员安全技术能力提升等方面进行系统阐述，聚焦保险行北应用开发安全控

制要点和未来工作重点，进而阐明保险企业的应用开发安全平台建设思路，关键词：安全开发生命周期；自营网络平台；互联网保险业务安全开发生命周期（SDL)即

Security

eDvelopment

Lifecycle，安全工具对开发过程覆盖是微软提出的从安全角度指导软件开发过程的管理模式。在传统软

件开发生命周期的各个阶段增加了一些必要的安全活动，软件开发

的不同阶段所执行的安全活动也不同，每个活动就算单独执行也都

能对软件安全起到…定作用。SDL白金代码扫描工具第三方SDK扫描工具白金代禺扫描工具流程的核心理念就是将安全考虑

APP妇描工貝黑金应用扫描工具三方SDK扫描工具容器镜像扫描工具集成在软件开发的需求分析、设计、编码、测试和维护等各阶段。

从需求、设计到发布产品的每一个阶段都增加相应的安全活动，以

减少软件中漏洞的数量并将安全缺陷降低到最小程度。伴随着移动互联和线上网销销售模式的成功应用，保险企业的

线下柜面营销固定传统产品的销售模式由于手机、平板电脑等移动

设备介入，而实现了 “网上”向客户移动销售线上模式的转变，其

他诸如投保、给付、变更、理赔等保险业务也通过自营网络平台载

体，开展互联网保险业务。此外，各类企业内部E端移动应用的广

泛开发使用，也最大限度的利用了移动智能终端普及、5G业务快

速推广的先决条件。如何最大程度降低上述应用在开发自研过程中

的安全漏洞，是必须面对和解决的问题。1保险企业应用安全现状及挑战1.1保险企业应用安全漏洞的主要源自开发企业安全漏洞以应用程序漏洞为主，企业自主开发或委托第H

1■APP加因工具配S蠤线检查工具蠤抽设施扫描工具[图1:安全工具对开发过程覆盖情况««安全薹si

常见Sfl朦9

業贝*?1利用方开发的应用程序，相对通用版商业软件，更易产生安全漏洞，更

难发现和修复；应用漏洞主要是由应用开发人员引入，开发过程由

于缺乏安全设计，容易产生编码漏洞，如采用了第三方组件且未经

安全评估，也容易带入安全漏洞，以上都是应用安全漏洞的主要来

源。1.2保险企业应用开发安全符合监管和业务要求保险公司根据监管要求，通常己设立信息安全管理组织，但在

应用安全开发方面，需要充分考虑和做到个人信息保护，同时，明

确各方在安全开发生命周期的职责，设立管控角色和检查点，保证

开发人员在满足业务需求时，全面有效的执行安全要求；此外，应

用安全技术能力需在企业形成沉淀和传承，形成属于企业本身的应

用开发安全能力；敏捷幵发和DevOps模式的广泛采用，极大提升

了应用的迭代和交付速度，因此，安全需求分析和设计、安全测试

如何能够尽可能在合适的节点介入，且不明显影响交付速度是面临

的巨大挑战。1.3保险企业应用开发安全面临的技术挑战应用开发安全技术要求是否明确，应用幵发安全具有很强的专

业性，安全技术要求首先要清晰明确可落地，如对于短信验证码的

位数要求、发送频率要求、服务端校验要求、复用要求等应有具体

的量化要求，便于安全人员检查验收：安全需求分析和设计靠个人图3:白盒测试工具在CI/CD平台的流程经验，如对于涉及个人敏感信息业务需要:次认证的安全要求，需

求人员在设计时能否正确识别功能页面是关键；安全编码和开发靠

个人能力，如对于“通过系统界面提交的己知的有害输入进行过滤”

的安全要求，开发人员需要完整实现易引发SQL注入、XSS跨站

的字符过滤；安全测试水平亟待提高，企业虽然采购部署了应用黑

盒扫描工具，或者代码白盒扫描等自动化工具，但来形成统一的漏

洞检测标准、漏洞修复要求、策略优化机制，造成自动化测试的过254

电子技术与软件工程Electronic Technology & Software Engineering信息技术与安全Information Technology And Security程中的误报过多，修复不及时，无法最大限度发挥和利用自动化工

具能力。2保险企业应用安全开发体系建设实践保险企业应用安全开发体系建设的目的是为加强应用系统自身

安全，提高应用系统生命周期安全性，将安全左移，减少安全漏洞

及安全缺陷，降低漏洞修复成本。保险企业应用开发体系建设的思

路，通过四个方面达成。从建立管理制度和流程规范体系入手，提

供多样化、自动化检测工具，建设S(1)

(2)

技术能力；(3)

要求固化为开发基线、检测策略，实现安全管理平台化。在企业

DevOpsDL_______加固__________安气APP] H加固后APY備 Appeal研发CICDAPP、平台-加固否复漏洞•畢，I 10SAPP----------{HIM —是否满足

安全要求^trApp^l加固管理平台作为技术支撑，

图4:

APP加固工具在CI/CD平台的流程将应用安全能力融合到DevOps体系。安全体系，指导平台建设及策略制定；安全测试用例的集合，提升开发、测试人员人软件安全开发和测试

安全平台：应用安全管理通过平台固化为流程，安全

在安全流程体系方面，首先，为保证应用开发安全管理制度中

各阶段明确定义了应用安全闭环管理流程，各阶段包括以下安全活

(1)

(2)

启动阶段：安全团队审核安全需求调研情况，对应用系

计划阶段：安全团队审核需求团队提交的项目计划实现

安全管理制度和流程规范体系：从管理上定义企业应用

在应用系统生命周期按照组织架构职责分工有效落实，在项目管理

安全工具和知识库：各类安全基线、编码规范、安全组件、

动：统进行初步的等保定级。根据调研情况，提出总体安全要求；的具体安全需求，检查是否有遗漏。审核项目组提交的安全概要设

计；(3) 开发/测试阶段：安全团队检查是否完成安全漏洞测试、

体系的各阶段融入安全平台及安全工具，使安全无缝介入

持续集成和持续交付流程；(4)

知识库的建立和使用，辅以安全培训，实际提升开发测试人员的安

全交付和检测能力。2.1安全管理制度规范和流程体系在安全管理制度方面，首先，制订适用于全公司的应用幵发安

全管理办法，从应用系统类型，如Web人员技术能力：通过制度流程体系的建立，安全平台、工具、

安全功能测试，通过访谈等方式检查其他无法通过实际测试验证的

安全需求/要求；(4) 结项阶段：安全团队通过定期回顾项目是否有安全事件

发生、监管漏洞通报等作为安全部分的项目后评估。其次，建立成品软件、第三方软件引入的安全审核流程。检查

内容包括不限于是否具有允许在国内销售的销售许可证，是否具有

国家权威检测机构出具的检测报告。对于信息安全类成品软件，还

需要检查是否具有公安部销售许可证。此外，对于具有W移动APPeb类、微信类、移动APP类等；

从应用用户群，面向客户类（C端）、面向合作伙伴（B端）、面

向内部员工（E端）三类；从不同应用功能领域，提出明确具体的

应用安全需求/要求；从安全要求实现的必要性，如强制要求是指

必须实现的安全要求，增强要求是指可以根据应用场景、应用部署、

涉及的信息敏感程度、采用的技术等选择实现的安全要求。从不同

维度，提出具体的应用幵发安全要求。其次，定义和明确了企业各

团队在软件开发生命周期各阶段的职责分工、关键活动、工作要求、

交付物等。在制度分类方面，至少应包含以下子类或文件：(1)

应用、

客户端的成品软件，开展安全测试，无高中危漏洞（或

完成修复）后方可允许引入。最后，建立并实施漏洞闭环量化考核机制，通过漏洞收集、评

估、修复、复测跟踪，持续改进形成闭环管理。考核方面对内部人

员、外部合作商同时进行考核，漏洞考核指标包括资产备案情况、

监管通报情况、漏洞产生数量、漏洞超期情况、重复漏洞情况等。

考核情况与开发人员绩效、外包商付款及准入挂钩。应用安全需求调研表：作为开发项目立项时，通过明确

应用系统所面向用户、系统架构、个人信息收集存储情况、等保定

2. 2安全工具和知识库建设级等作为输入，确定所适用的应用安全需求/要求；(2)

控要求，控制领域应至少包括标识与认证、授权与访问控制、会话

管理、数据安全、软件容错和异常管理、日志管理、移动A(3)

PP建立制度规范和流程体系的同时，需要同步开展应用安全工具

具对开发过程的覆盖重点在开发、测试、发布环（如图1所示）。(1) 开发环节：用于辅助开发人员在幵发过程中检测和发现

扫描工具侧重检测代码引用

应用安全需求模板：提出覆盖各功能领域的应用安全管

的部署和建设，在开发过程的各个环节提供安全技术赋能，安全工

安全等应用安全编码规范：提升应用系统安全编码能力，指导

潜在的代码层面安全问题，提升代码安全质量。白盒代码扫描工具

侧重源代码的安全扫描，第三方S各开发项目组引用。应用安全测试指南：对应各项成用安全需求/要求，含 (2) 测试坏节：尽可能提供丰富的安全漏洞测试环境，可极

大提高测试阶段的漏洞检出率。测试人员使用白盒代码扫描工具、

第•:方S作为WebDKDK幵发团队有效进行应用系统安全编码，控制领域至少应包括应用安

全编码规范包括身份认证、访问控制、输入输出验证、会话安全和

数据安全等；(4)

技术要求、测试评价方法、预期结果。控制领域应至少包括标识与

认证、授权与访问控制、会话管理、数据安全、软件容错和异常管

理、日志管理、移动A(5)

PP的各类二进制软件包的安全性；各类安全组件保存在制品库中，供

丨丨描工具进行：次检测验证；黑盒应用扫描工具通常

安全等；类应用手工安全测试时的自动化辅助工具；A

P

P扫描工

平台且采用容器化部署的保险企

D应用安全要求检查清单：对应各项应用安全需求/要求，

具用]〜发现移动应用是否存在二次打包、代码反编译等可通过加固

解决的安全问题：对于推行C1/CD根据职责分工，开发、测试、安全团队分别对各项安全需求/要求

幵展检杳，对于同一项安全要求，各团队根据实际情况，可同时开

展检查，所有检查项通过后方可上线发布。业来讲，通过采用容器安全方案，覆盖CI/C平台镜像的构建、分发、

运行各阶段，包括镜像安全（丨mages)，镜像仓库安全（registry)的安255

信息技术与安全Information Technology And Security电子技术与软件工程Electronic Technology & Software Engineering全性检测。(3)发布环节：应用系统上线或者发布前，投产节点配置经

过基线检查工具检查，确保符合上线规范；通过基础设施扫描，确

保操作系统、中间件、数据库无基础通用漏洞；移动A发布前，使用APPPP用户以任务确定平台调用工具，实现对定向安全问题的交叉验证能

力。(4)Dev0ps体系融合:在DevOps的开发、测试、交付等各阶段，均有安全工具无缝介入。以白盒扫描工具为例，开发团队完成开发后，通过C发起代码白盒扫描，如果存在漏洞开发团队必须修复，CICDICD应用在

加固工具完成安装包加固。平台

建立安全知识库，将各类安全基线配置、开发规范、安全测试

用例和测试方法纳入安全知识库（如图2所示）。另外，建立安全

培训知识库，提供安全基础知识、常见漏洞原理和利用方法等，供

平台自动检测漏洞修复情况，如未修复开发团队无法提

交后续流程（如图3所示）。各专业团队人员学习提高。2. 3应用安全平台建设建立安全测试管控平台，实现内外部安全测试、攻防演练的统

一接入，实现安全测试过程的集中管理，测试成果考核量化分析、

可视化展示、风险管控，提升安全测试管控水平；建立漏洞管理平

台，安全漏洞跟踪记录从线下转为线上闭环跟踪。将系统上线和发

布安全测试、互联网渗透等渠道发现的漏洞统一录入平台，实现漏

洞管理的漏洞收集、验证评估、漏洞修复、复测跟踪各项活动的线

上跟踪处置；建立SDL应用安全开发管理平台，打通研发过程各

节点安全活动，构建面向软件开发生命周期的闭环安全管理能力。

将底层各类安全工具能力进行整合、抽象化和编排，推广安全组件

化等技术手段，把安全要求、安全专家能力固化为安全资产，从根

本上提升开发团队的安全交付水平。(1) 安全测试管控平台：解决安全测试过程中面临的问题，即安全测试人员如何管控及行为是否合规、安全测试如何量化考核。在测试人员管控方面，使内、外部测试人员通过统一的VPN

通道接入，根据用户账号控制测试时间，达到测试人员接入的统一

管理。为降低测试过程中的意外风险，如发现高风险操作行为，还

可一键封禁阻断测试行为；在安全测试量化考核方面，首先对用户

接入平台后的测试流量进行记录、并解析HTTPS加密流量，通过

对存储的流量进行查看和检索，可溯源测试人员过程中的请求和响

应，量化考核整体测试，包括多少人参与了测试，测试持续时间，

测试目标统计，作为测试工作量和质量的量化评价依据。(2) 漏洞管理平台：解决漏洞管理任务和数据统计线下操作，漏洞跟踪人工统计错误多效率低的问题，实现高效率的漏洞线上闭

环管理。漏洞管理平台的闭环管理体现在以下场景：应用系统新上线检

测场景，新建应用在上线前需通过安全测试，直至漏洞全部修复后方可上线；应用系统发布检测场景，应用系统

版本发布前，需通过安全测试方可发布（特殊情况除外）；应用系

统例行全量检测场景，对于互联网应用定期开展完整的安全测试，

弥补之前发布测试可能存在的遗漏。在漏洞的跟踪处置上，均遵循

“漏洞发布、修复处置、复测、完成修复”的一系列闭环管理跟踪

流程，并按流程自动流转任务。在漏洞处置任务的分派上，由于与

公司的CIMS系统对接，做到了可以准确的将漏洞分配给对应的处

置人员。(3)

SDL应用安全开发管理平台：平台用户面向应用开发项

目组和开发测试人员、应用安全管理人员。应用开发安全平台以安

全基线为核心，每条安全基线包括安全需求、威胁描述、参考实现

方法、安全测试用例、安全组件等，形成了平台的知识库；对于底

层己搭建好的安全工具由平台统一编排调度，用户通过平台使用安

全工具；将安全工具能力进行抽象，对于不同厂商的安全工具能力

抽象统一，使用户无须频繁切换安全工具；安全工具能力整合后，256以APP加固和检测工具为例，开发团队完成移动应用开发后，

通过CI/CD平台进行打包并提测。在进行打包前，必须选择使用

APP加固工具，才能进行接下来的流程。完成加固后，由APP检

测工具及人工执行漏洞测试。如检测存在漏洞，需要修复漏洞并重

新完成整套流程；如检测不存在漏洞，可进入提测打包发布（如图

4所示）。2.4人员技术能力建设应用安全工具和平台的赋能，都是为了优化企业应用安全人员

结构，提升开发测试人员安全技能，最终达到提升应用安全交付质

量的目标。安全人才培养体系作为应用开发安全体系建设的一部分，

从人员安全培训、能力考核、能力管理三个方面实现能力提升。在人员安全编码培训方面，培训内容以SDL执行流程培训、

安全编码培训、安全工具使用培训为主，开发人员至少应掌握和具

备标识与认证、授权与访问控制、会话安全、数据安全、软件容错

和异常管理方面的安全编码技能；在能力考核方面，围绕培训内容

考试、岗位认证和等级评定开展；在培训支撑上，以安全知识库作

为能力支撑，以安全实训平台的靶场练习、安全认证和考试作为培

训支撑。在应用安全人才建设和团队建设方面，对规模相对大的保险公

司，应设立应用安全专业岗位，人员需具备安全需求设计、安全渗

透测试能力、甚至是代码审计能力；加强自主开发团队的应用安全

能力培养，同时辐射外包开发人员；建立持续性的安全培训机制。3

总结保险企业SDL安全体系及与之对应的安全平台，在需求分析，

设计，开发，测试及发布过程引入安全活动及安全工具，通过提升

提升应用开发安全技术水平、应用安全测试管控能力、人员安全能

力，达到应用漏洞提前规避及事先发现，最终降低应用安全漏洞数

量。通过把监管安全要求纳入应用系统开发需求，提升应用持续性

合规符合能力，降低合规风险。参考文献[1] 互联网保险业务监管办法（中国银保监会令〔 2020〕13号）.[2]

GB/T 35273-2020,信息安全技术个人信息安全规范[S].[3]

GBT22239-2019,信息安全技术信息系统安全等级保护基本要

求[S].[4]

JR/T 0092-2019,移动金融客户端应用软件安全管理规范[S].[5]

JR/T 0171-2020,个人金融信息保护技术规范[S].[6J0WASP

Mobile

TOP 10作者简介万强（ 1979-)，男，上海市人。大学本科学历，双学士学位，计

算机中级职称。研究方向为信息安全架构和解决方案。