国内外大型企业实践表明,标准化和工具赋能是企业成功蓄银行通过 DevSecO的关键所在。DevOps 标准及基于标准的 DevOps 持续交付流水线平台和项目实践,可以较大幅度地提质增效,提高企业市场竞争力,同时实现更高的安全性和敏捷性!“以评促建,以评促改”,以评估为抓手,让 DevOps 标准更快更好落地,助力企业数字化转型。
2023年4月7日,由高效运维社区(GreatOPS)和开放运维联盟(OOPSA)联合主办的第 20 届 GOPS 全球运维大会在深圳正式召开。GOPS 全球运维大会是国内第一个也是最大的运维行业大会,也是备受瞩目的千人峰会。大会主要面向互联网及金融、通信等传统行业广大运维、开发等技术人员,旨在传播先进技术思想和理念,分享业内最佳实践。
在本次会议上,中国信息通信研究院隆重公布了 DevOps 能力成熟度最新批次评估结果。
中国邮政储蓄银行股份有限公司(以下简称“中国邮政储蓄银行”)参与评估的项目为“操作风险管理系统”项目,该项目顺利通过由中国信息通信研究院开展的《研发运营一体化(DevOps)能力成熟度模型》安全及风险管理(DevSecOps 标准)安全开发模块2级评估,代表着中国邮政储蓄银行在 DevSecOps 领域能力达到国内先进水平。
在本批次DevOps系列标准评估结果中,中国邮政储蓄银行也同时通过了两项DevOps 系统和工具标准评估。
目前,中国邮政储蓄银行共通过 9 项中国信通院 DevOps 标准评估。通过 DevOps 持续交付标准评估 3 项,通过 DevOps 系统和工具标准评估 5 项,通过 DevSecOps 标准评估 1 项。
评估单位:中国信息通信研究院
2023年4月7日在“2023 GOPS 全球运维大会·深圳站”主会场上,由中国信息通信研究院云计算与大数据研究所副总工程师王蕴韬先生为企业授牌:
此次,我们采访了中国邮政储蓄银行软件研发中心总经理胡军锋先生和软件研发中心高级信息技术专家潘华先生,一同深聊团队在项目参与评估时的细节和故事,分享中国邮政储蓄银行 DevSecOps 实践的经验。
中国邮政储蓄银行软件研发中心总经理 胡军锋
Q:您好,请您介绍一下您和您的企业,以及此次参评的项目?
A:胡军锋:大家好,我是中国邮政储蓄银行软件研发中心总经理胡军锋,首先感谢信通院的采访邀请,很高兴能有机会给大家介绍邮储银行和我行在 DevSecOps 上的优秀实践经验。
邮储银行作为一家年轻的国有大型商业银行,自成立以来,坚守服务“三农”、城乡居民和中小企业的定位,不断深化改革、转型创新,目前已发展成为拥有近4万个营业网点,服务个人客户超6.5亿户,资产总额达14万亿元的大型零售银行。2022年,在英国《银行家》杂志“全球银行1000强”排名中,邮储银行一级资本位列第13位,市场地位和影响力日益彰显。中国邮政储蓄银行总行软件研发中心(Software R&D Center)作为总行直属研发机构,是邮储银行信息化建设的主力军,主要负责总行信息化工程建设、开发平台建设、开发测试环境建设与应用管理、系统测试与验收测试支持等工作,曾荣获“中央和国家机关五一劳动奖状”等荣誉称号。
本次参评项目为操作风险管理系统,是支持全行操作风险有效管理的工作平台、管理平台和信息分析平台。为落实推进监管机构发布的《商业银行资本管理办法》、《操作风险最低资本要求》,践行邮储银行“十四五”IT规划蓝图,操作风险管理系统,接管我行原合规管理系统相关功能,接入集团代理机构使用权,构建全行操作风险管理架构,持续优化关键风险指标、损失数据收集、风险和控制自我评估的三大管理工具,通过流程管理、资本计量、考核评价、外包风险、报告报表、压力测试、风险数据库等多种操作风险管理方法与技术,监测报告全行操作风险情况,实现全行操作风险识别、评估、控制、缓释、监测及报告的全流程管理,为监管资本计量提供支持,确保资本计量高级法落地。
Q:恭喜您通过 DevOps 标准评估,此次贵公司项目通过的是安全及风险管理(DevSecOps 标准)2 级评估,表明达到了国内先进水平,请说一下您此时的感受。
A:非常荣幸邮储银行操作风险管理系统顺利通过 DevOps 安全及风险管理标准(DevSecOps标准)。DevSecOps 标准对 DevOps 全过程中开发、交付、运营等过程的安全风险控制进行了规范要求,包含了业界领先的实践,对于如何落地 DevSecOps 有着明确的方向和很好的实践指导。
在这里,首先要感谢信通院对我行安全研发运营评测工作的大力支持,感谢各位评估专家全程细致的测评,对我行后续安全能力优化方向和建设思路给出了周到切实的建议。
通过此次评估,邮储银行在系统研发安全管理方面取得阶段性成果,丰富了我们在应用安全方面的实践经验。后续,我们将持续沉淀最佳实践成果,拓展 DevSecOps 应用范围,持续优化 DevSecOps 管理流程,以安全研发运营一体化能力建设,提升软件全生命周期的安全管控水平,提高全员的安全防范意识和应对能力,为邮储银行数字化转型保驾护航。
Q:贵公司是如何决定参与 DevSecOps 标准评估工作中的?
A:在党的二十大报告中提出,要以新安全格局保障新发展格局,建设国家安全体系。2021年软件研发中心安全团队通过同业调研,对标同业最佳优秀实践。制定软件研发中心应用安全风险三年能力提升计划,并参与制定总行“十四五”网络安全规划。以软件内生安全为目标,从业技融合、组织建设、体系融合、流程优化、工具赋能等多维度进行研究和实践,持续优化软件全生命周期的安全管理能力。2022年软件研发中心在安全组织建设方面成立研发安全处,设置了专业的安全团队,负责总行系统开发全流程安全管控工作,包括安全需求、安全设计、安全编码、安全测试和投产上线前安全评估工作。
2021年,我行邮储经营、营运中心、操作风险管理系统项目开展了 DevOps 持续交付标准评估,通过与标准对标,识别差距进行持续优化改进,有效提升了我行软件交付效率与质量,顺利通过了 DevOps 持续交付评估,促进了 DevOps 能力水平的快速提升。目前我行在软件研发过程安全管理、DevOps 工具方面也有一些沉淀,从制度体系层面,通过制定《中国邮政储蓄银行网络安全管理办法》、《中国邮政储蓄银行应用系统开发安全管理实施细则》,以及配套的安全需求、安全设计、安全编码和安全测评管理规范等企业标准,完善了开发安全管理制度体系,优化了系统研发全流程安全管控策略,明确了安全质量门限。在安全工具链建设方面,自研安全需求管理工具,对安全需求基线库和安全测试用例库进行线上化管理。在自主设计研发的 DevOps 流水线工具上,通过 API 接口和安全工具 IDE 插件的形式集成了自动化的安全测试工具,将安全测试前移至编码阶段,对研发全流程安全管控活动进行度量。以上措施奠定了软件研发中心开展 DevSecOps 的制度和技术基础。通过同业调研,了解金融行业 DevSecOps 最佳实践,借鉴同业的实践经验提升自身的研发安全管控效能,经中心领导层的商讨,决定参与 DevSecOps 标准评估试点工作。
Q:通过安全及风险管理标准(DevSecOps 标准)的评估给您的企业带来了什么收获?
A:本次实践对标信通院《研发运营一体化能力成熟度模型 第6部分:安全及风险管理》框架标准,通过本次 DevSecOps 实践,完成将安全内建于操作风险管理系统的开发、交付过程,并通过标准对标和持续改进,从需求源头控制安全合规风险,跟进不同的项目类型采取不同的安全管控策略,在项目建设过程中有效降低了安全风险,满足了数字化转型背景下,保证我行敏捷项目快速交付的安全质量。同时本次实践从组织建设与人员管理、安全工具链、安全基线、数据管理、安全度量、安全需求、安全设计和安全开发等方面提供了适用于我行重点项目建设的最佳实践,对我行提升项目研发精细化安全管理水平、促进软件快速安全交付,以及持续评估优化研发安全管理流程均奠定了基础。
中国邮政储蓄银行软件研发中心高级信息技术专家潘华
Q:此次参评的项目有哪些特色?在日常安全风险的管理方面,面临哪些安全挑战?
A:潘华:大家好,我是中国邮政储蓄银行软件研发中心高级信息技术专家潘华,首先非常感谢信通院及评审专家对邮储银行 DevSecOps 能力的肯定。
操作风险管理系统作为全行风险管理的工作平台,包括关键流程管理、三大工具(风险与控制自我评估、关键风险指标、损失数据收集)、行动改进方案、资本计量、考核评价、外包风险管理和报告报表管理等功能。该系统采用项目式敏捷开发模式,涵盖14个迭代周期,涉及9个业务模块,对安全开发管控的精细化、自动化提出了更高要求。
Q:DevSecOps 核心理念为安全是整个 IT 团队(包括开发、运维及安全团队)每个人的责任,是否可以详细的给我们介绍下,贵司是如何从文化、流程及技术三方面落地 DevSecOps 的?
A:开发安全文化建设方面,组建专业的安全团队,要求安全团队人员具备安全相关资质证书,提升安全人员专业化水平。采用线上、线下培训相结合等多种形式构成完善安全培训体系,对全员开展安全意识、开发测试环境安全、供应链安全等的培训和宣贯,对安全相关的技术人员开展安全开发、安全编码、安全攻防、数据安全等专业培训。设置外包人员安全准入条件,对外包人员和合作厂商开展安全意识、供应链安全专项培训,通过安全考试才能入场。开展常态化钓鱼邮件安全演练,提升全员安全意识。建立全行网络安全专家库,覆盖安全架构、安全开发、安全攻防、安全规划和前沿安全技术研究等领域,充分利用全行安全专家智库资源。组织开展全行级的安全攻防竞赛,设置安全达人奖,营造鼓励创新的文化氛围。
优化开发安全管理流程方面,软件研发中心在2020年通过ISO27001信息安全管理体系认证,建立了覆盖从项目立项到投产发布的系统开发全流程安全管控策略。在需求阶段进行安全评审,将安全管控工作前移至需求分析阶段,在需求源头控制安全合规风险,通过组织级项目管理协同平台,实现贯通安全需求、安全设计、安全编码、安全测试和安全评估各阶段的安全管理过程,实现应用系统内生安全。建立安全度量指标体系,对以上安全管控活动进行度量评估,根据评估结果持续优化安全管理工作。
安全工具链建设方面,通过安全威胁建模工具进行项目安全威胁建模,使用工具进行安全需求基线库和安全测试用例库管理,实现安全需求和安全测试闭环管理。部署自动化的安全代码审计工具和开源软件安全扫描工具,通过 API 接口和 IDE 安全插件的方式集成到 DevOps 流水线,实现自动采集分析安全开发活动数据。根据纵深防御策略部署 WAF、IPS、网络流量安全分析等安全防护设备,通过安全态势感知系统将报警信息进行智能化关联分析,提高安全事件分析研判效率,保障系统安全稳定运行。
Q:请问贵司此次评估过程中遇到了哪些困难?如何解决的?
A:很高兴操作风险管理系统能够顺利通过安全及风险管理(DevSecOps)标准中安全开发二级能力评估。我行是国有大型商业银行,此次项目评估覆盖领域涉及我行科技条线多个部门和处室,牵头部门只有其与他部门通力合作,才能完成重点问题整改,通过评估。在各级领导、各条线相关人员、项目组人员的大力支持下,我行组建了一个跨部门、跨地域的工作组,共同推进问题整改,及时反馈整改过程中遇到的困难。问题整改关键期正处于新冠疫情爆发时期,大部分人都在居家办公,大家克服了由于新冠病毒传染引起的身体不适,坚持做好自身本职工作,通过不断的培训学习、线上交流沟通、改进优化问题、搜集整理材料,按时保质完成问题整改,齐心协力使得 DevSecOps 实践顺利在本项目中落地,保证项目顺利通过评估,达到国内先进水平。
最后,感谢大家在本次评估过程中付出的努力,感谢信通院各位专家在评估过程中的指导与帮助。
Q:安全及风险管理标准对于企业安全风险管控能力提升提供了有效的指引,请问贵司对于 DevSecOps 落地实践的下一步计划是什么?
A:通过本次 DevSecOps 贯标实践,我们在研发安全管理体系融合、DevOps 组织文化建设、自动化安全工具链建设、落实数据安全保护要求、红蓝对抗演练、总结安全开发能力成熟度模型等方面都有所进步。下一步,我们将持续推进 DevSecOps 在我行的应用推广,在为总行重点项目应用推广的基础上,为分行、子公司提供安全支持赋能。完善研发安全度量指标体系,评估改进安全精细化管理水平,进一步提升研发安全管控效能,实现安全赋能质效双增。
中国邮政储蓄银行标准评估现场图:
中国邮政储蓄银行 DevOps 参评项目部分系统展示:
国有银行参评详情
国有银行参与 DevOps 能力成熟度模型评估的企业如下:
* 统计截止日期至:2023年04月07日,数据来自于DevOps评估官方网站,并依据评估总数排序,数量相同则依据评估批次先后排序。
数字为对应企业通过 DevOps 持续交付标准 3 级、技术运营标准 2 级/2+级、安全及风险管理2级、系统和工具评估的项目/模块数量。上述统计数据已包含企业及子公司参评情况。
研发运营一体化(DevOps)能力成熟度模型介绍:
《研发运营一体化(DevOps)能力成熟度模型》系列标准是由中国信息通信研究院牵头,云计算开源产业联盟、高效运维社区、BATJ等顶级互联网公司以及各大金融、通信企业共同制定的国内外首个 DevOps 系列标准,是最完整、最权威、最具行业指导性的研发运营一体化(DevOps)能力标准之一。由中国信息通信研究院主导的 DevOps 标准已由工信部发布并被众多金融、通信和互联网等行业名企纷纷采用并通过评估。
与此同时,DevOps 标准已于2020年7月在联合国直属标准化组织 ITU-T 正式结项,成为全球首个 DevOps 国际标准。研发运营一体化(DevOps)总体架构可划分过程(敏捷开发管理、持续交付、技术运营)、应用设计、安全及风险管理、系统和工具、业务价值管理、合作开发运维、持续测试等。
热门跟贴