6月16日,信也科技(NYSE:FINV)自主研发的“泰坦安全平台”成功上线。该平台运用DevSecOps体系,在微服务和敏捷开发架构下降低应用系统的信息安全风险,保障应用系统及数据的安全性、保障站点系统及数字资产安全,建立更精准、更高效的安全生态体系。现已完成了全线应用站点对泰坦安全平台的接入使用。
泰坦安全平台是信也信息安全的核心支柱,它为数千应用站点提供实时的自动安全检测及漏洞管理服务。投入试运行后,信也的站点整体安全漏洞修复率提升至80%,高危及时修复率稳定保持在100%。同时,整体修复效率较2020年提升至5倍以上,外部漏洞发现数降低60%,目前各项指标效果仍在持续提升中。
随着大数据、物联网、人工智能等技术的发展,数字经济已经成为我国经济增长的新引擎,信息安全的重要性日益凸显。信也科技在信息的安全性以及风险的可控性等方面得到了多方的认可,2020年获国家计算机病毒应急处理中心颁发的APP安全证书和APP信息安全证书,在安全及隐私两项检测中均获得“三级品”认证(最高等级)。同年通过工信部信通院App后台大数据集群信息安全测试。2021年,信也的联邦学习平台通过中国信通院“可信隐私计算评测”,该评测是目前国内隐私计算领域最早、最全、广受行业认可的评测体系。2021年,凭借数据安全的优势,信也科技荣膺零壹财经所颁发的数据安全与治理标杆企业TOP10奖项。
01全面、高效、完善,推动安全修复良性循环
据了解,信也泰坦安全平台具备以下四大核心功能:
信也泰坦安全平台主要功能列表
1. 全面的安全检测:
信也泰坦安全平台对主流安全检测、扫描类型具备全面的支持与覆盖,在应用站点研发运维全生命周期中的各个节点,可实现自动化识别并进行各类型的安全检测任务,精准快速地定位站点中存在的安全漏洞风险。
信也泰坦安全平台检测能力
2. 高效的漏洞管理:
信也泰坦安全平台具备自主扫描漏洞的打标机制、消息触达与完善的处理流程,同时支持接入外部漏洞平台,协助信安人员及研发人员对海量应用站点在研发运维流程中产生的高危安全漏洞进行跟踪管理。
3. 完善的修复机制:
信也泰坦安全平台支持在原有标准漏洞描述及修复建议基础上扩展录入更贴近研发实际情况的修复指南,并向研发负责人进行实时推送。此外,根据漏洞的风险等级,在CI/CD流程中可配置拦截卡点,阻止站点携带高危漏洞上线,督促研发进行修复工作。
4. 统计报表及安全指标:
通过实时数据统计,掌握当前全线站点的安全风险等级、修复状态。针对团队、站点、漏洞等多维度的风险及修复情况统计,设定各团队的安全量化指标,有效推动安全修复良性循环。
02 形成全生命周期的安全保障体系
除上述核心功能外,凭借信也泰坦安全平台的三大特性,已形成全生命周期的安全保障体系:
信也泰坦安全平台架构图
1. 大幅缩减安全人力成本:
作为DevSecOps体系理念的落地实践平台,信也泰坦最优先解决的是在微服务和敏捷开发架构下进行安全保障的人力成本问题。据介绍,更多的站点、更频繁的发版,对传统安全团队来说已捉襟见肘,人力将大量耗费在站点的版本跟进、沟通会议、修复跟踪等繁琐流程上,信也泰坦安全平台目前支持数以千计站点的日常迭代发版,通过对CI/CD的高度集成和自动流程,可以大幅缩减安全人力成本。
2. 全生命周期支持、安全左移:
无论是传统的SDL体系还是DevSecOps,均强调了应用站点需要在不同阶段得到安全保障,前置降低安全风险。泰坦在站点的生命周期中提供了完整的安全支持,从需求阶段的威胁建模到研发流程的各类扫描检测、线上的各类风险监控、相关负责人的触达交互,使各个环节都能参与到安全中来,形成安全保障的链路与循环。
3. 有效推动修复为前提的运营机制:
相较于业界的各类漏洞发现系统,信也泰坦安全平台的优势在于解决漏洞发现后的修复推动问题。对于大多数互联网行业、或金融行业的企业来说,应用系统的漏洞修复推动更依赖于监管硬性要求、高层重视和考核机制。对于此类顶层要求,需要有系统级、数据级的支持以确保更高效的落地。信也泰坦安全平台可精准地将每一次漏洞发现与系统发版、团队、负责人进行自动关联,周期性地进行分析统计,以量化指标、排名的形式对修复率、修复效率等多维度数据进行展示,有效推动安全漏洞的修复工作,助力集团建立更完善的安全保障体系。
自创立之初,信也科技始终将科技创新能力作为立身之本,并积极夯实数字技术能力。在信息服务领域,信也科技以“快、准、稳、好”为目标,守正创新,向阳而生,为信息安全的稳健发展注入力量。