中小銀行信息系統開發(fā)生命周期安全保障框架

摘 要：隨著國家經濟的發(fā)展，金融行業(yè)也在這樣的背景下蓬勃發(fā)展，根據我國的實情來看，除了大型銀行之外，還有許多中小銀行也在按照自己的方式經營著。但由于中小銀行具有規(guī)模小、實力弱、對管理的投入力度不大等劣勢，使得這些中小銀行的信息系統開發(fā)相比于大型銀行相對落后。但現在是個信息化的時代，中小銀行也在根據自身的實際情況，建立起信息系統開發(fā)生命周期安全保障的框架。

關鍵詞：中小銀行；信息系統開發(fā)；生命周期安全保障

中圖分類號：TP311.52

信息化的發(fā)展改變了我們的生活方式，同時也被廣泛應用在各個行業(yè)之中。在金融領域中，信息化是推動了銀行業(yè)務發(fā)展的重要手段，基本上所有的銀行都紛紛建立起自己的信息系統來進行經營和管理。但在建立的過程中，也會存在著一定的問題，如何根據自身經營狀況，建立起中小銀行信息系統開發(fā)生命周期安全保障框架，是每一個金融業(yè)者值得研究的問題。

1 中小銀行信息系統中存在的安全隱患

1.1 信息安全管理設計的內容缺乏完整性。中小銀行相比較于大型銀行來說各個環(huán)節(jié)上都比較落后，綜合實力較弱造成了在信息技術的應用方面也存在著一定的滯后性。信息安全的管理對于銀行經營來說至關重要，它能有效規(guī)避風險，有利于銀行的管理[1]。但在中小銀行的經營中，信息安全系統的建立不夠完善，在管理方面也存在著一定的不足。同時，中小型銀行的職員對于信息安全的重要性沒有形成一個具體的意識，認識也較為淺薄，這也造成了與大型銀行之間的差距越來越大。

1.2 沒有對外包管理突然足夠的重視，無法有效預防各種安全風險。外包的開發(fā)管理是指信息系統地管理完全地包給開發(fā)商去做，它可以使信息系統開發(fā)的專業(yè)化水平大大提高，還可以節(jié)約成本上的投入。根據目前的情況來看，中小銀行在建立信息系統時，大多數都采用了和軟件開發(fā)商合作的方式，除了建立之外，還把重要的業(yè)務系統等關鍵工作也都交給了軟件開發(fā)商來全權處理，這就造成了一些核心技術無法掌握在自己手中。除此之外，在外包管理的過程中，還有一些制度不夠完善，這也給外包管理的難度大大增強。

1.3 預警監(jiān)測系統存在的主要問題。中小銀行由于其規(guī)模小、對管理的管注不大，在經營得管理中也沒有建立一個完善的預警監(jiān)測系統，硬件設施的條件也比較落后，大多數時間還是依靠了人力來進行監(jiān)督，不能進行有效地風險預防，安全性也比較差。

2 安全開發(fā)生命周期的概述

2.1 安全開發(fā)生命周期的簡介。安全開發(fā)生命周期，是指軟件工程所提出的保障軟件安全的核心技術，系統的安全起源于開發(fā)階段。信息系統中的生命周期安全保障能夠有效提升軟件的質量，它能夠將安全方面的漏洞在軟件開發(fā)的過程中就予以解決，而不是傳統的信息系統建立時那樣把安全性工作置于軟件開發(fā)之后，真正做到讓安全成為軟件的開發(fā)過程中不可或缺的一部分，從而大大降低了安全隱患[2]。

安全開發(fā)的生命周期框架建立，實際操作中就是要在軟件的開發(fā)過程中每個環(huán)節(jié)都執(zhí)行著安全上的控制，把設計、編程、文檔當面的安全風險降到最低。

2.2 信息系統的安全評估框架。在整個中小銀行的信息系統開發(fā)生命周期中，建立起信息系統的安全框架顯得十分重要，它能夠從技術、管理、工程、人員方面來確保信息的完整性和可用性，以此來降低銀行整個系統地安全風險，確保信息系統可以處于安全運行的狀態(tài)當中。生命周期安全保障框架分為五個部分，分別是規(guī)劃組織、開發(fā)采購、實施交付、運行維護和廢棄。這五個部分從技術和人員的環(huán)節(jié)上保障著我國中小銀行的信息安全。

3 中小銀行信息系統開發(fā)生命周期安全保障框架的設計

中小銀行如果想真正地實現信息系統的安全運行，就要在最短的時間設計出生命周期安全框架，它在設計中主要分成五個階段：需求階段、設計階段、編碼階段、測試評估階段以及上線運行階段。這五個階段成功設計可以使生命周期安全框架成為現實，進而保障了銀行系統的安全。

3.1 安全需求分析。安全需求分析，就是通過分析銀行的整個安全信息系統，最終探討出一個最終目標。在分析這個目標的過程中，要充分考慮到軟件開發(fā)流程的安全性、成本和評估項目的代價，形成出一個開發(fā)方案。在安全需求分析中，要注意到安全需求的分析和安全需求方案的制定。詳細的流程圖如下圖所示：

圖1

3.2 信息系統安全設計。信息系統的安全設計，要在安全需求分析之后，所完成的想法到現實的轉變。信息系統的安全設計要根據風險而考慮到成本、安全性和用戶體驗等多個方面，考慮之后來設計出一個安全體系的大體框架。

3.2.1 詳細風險評估。這個步驟要根據安全需求分析進一步細化，來詳細地進行風險評估，它工作的主要內容包含了：總結安全目標、整理威脅列表、判斷威脅的可能性、制定整改的措施。這些工作內容需要設計人員、信息系統地審計人員以及銀行的安全主管部門共同來完成。

3.2.2 確定安全控制措施。上一步精確詳細地完成了風險評估，這一步就需要充分考慮成本和風險，確定最佳的安全控制措施。在實際的操作中，設計人員要從成本、安全性、用戶的體驗幾方面進行對比，來確定最終的措施。

3.3 信息系統的編碼階段。整個安全系統生命周期中，最重要的階段就是編寫軟件的代碼它直接影響到后面的系統測試。在代碼的編寫中，要注意以下幾點：使用最新版的編碼工具；使用源代碼分析工具，提高代碼的審計工作。做好這些工作，能使編碼工作的效率更高。

3.4 信息系統的安全測試。信息系統的安全測試是檢驗軟件的性能，也是軟件質量的保證。（1）軟件代碼靜態(tài)測試。軟件代碼的靜態(tài)測試是指將整個軟件的安全規(guī)則、開發(fā)規(guī)范融入到檢查的列表中進行相關的匹配，從源頭上就規(guī)避安全風險的發(fā)生；（2）系統滲透測試。系統的滲透測試是指軟件工程師模擬黑客所使用的攻擊手段來對系統的安全性進行測試，從而發(fā)現系統中存在的脆弱環(huán)節(jié)。這樣的方式能夠讓軟件的開發(fā)人員直接明了地檢驗到軟件系統中所面臨的問題，并能加以改正；（3）系統性能測試。系統的性能測試的成敗直接影響到這個軟件系統能否應用到銀行的運營工作中，通過檢驗軟件的執(zhí)行效率、資源占用、系統穩(wěn)定性等環(huán)節(jié)來測試出軟件的性能。

3.5 系統上線與運行。當軟件系統檢測合格后就要面臨著上線與運行，也就是將這個應用系統實施到真正的生產環(huán)節(jié)中去，來對中小銀行的安全信息系統進行全面的安全評估，保護信息系統中的各項數據安全。

4 結束語

每一個行業(yè)在運營過程中都會面臨著很多風險，對于銀行來說，面臨的風險可能會更多，如何在運營中來規(guī)避這些風險，保護著數據信息的安全，是每一個金融從業(yè)者深思的問題。信息系統開發(fā)生命周期安全保障框架的建立，能夠有效控制風險，并會隨著實踐的過程而不斷完善。

參考文獻：

[1]陸向陽，蔣樹立，孫亮.中小銀行信息系統開發(fā)生命周期安全保障框架[J].計算機應用與軟件，2013（11）：142-144.

[2]董黎明.基于生命周期法的信息系統開發(fā)過程內部控制研究[J].商業(yè)會計，2012（02）：14-16.

作者簡介：徐旭（1983-），男，四川鄰水人，助教，本科，工學學士，研究方向：Web服務、網上信息系統。

作者單位：四川文理學院 計算機科學學院，四川達州 435006