查看原文
其他

燃!国信证券通过 DevOps 标准安全及风险管理评估,相关项目能力达到先进水平!

高效运维 2023-01-27
从各大企业的实践来看,标准化和工具赋能是科技公司成功的关键所在。标准本身是最佳实践的集合,有了标准,每一步都离目标更近(而不是偏离),将标准固化在工具里,DevOps 重点关注人员、流程和产品,并已经在企业和交付环节持续取得成功,获得良性反馈和循环。从安全角度来看,DevOps 有助于创建“一种协作文化,通过减少生产环境的变化来降低风险”。

12 月 24 日,由中国信息通信研究院主办的“2021 GOLF+ IT新治理领导力论坛”隆重开幕,论坛围绕 “治效兼顾,构筑科技治理新生态” 和 “XOPS创新,领航运维发展新脉络” 两大主题展开,旨在 “新治理融惠创新,数字化行稳致远” 。会上产学研各界嘉宾进行了精彩的主题演讲和经验分享,促进了企业间的学习交流和各行业数字化治理持续健康发展。  

大会隆重发布了 DevOps 能力成熟度安全及风险管理首批正式评估结果。国信证券股份有限公司(以下简称”国信证券“)本次参评项目为金太阳资讯平台,该项目顺利通过由中国信息通信研究院(以下简称“信通院”)开展的《研发运营一体化(DevOps)能力成熟度》安全及风险管理(DevSecOps标准)安全运营模块2级评估,代表着国信证券在该业务系统的安全运营能力达到国内先进水平!
评估单位:中国信息通信研究院
中国信息通信研究院云计算与大数据研究所副所长栗蔚女士公布评估结果:

▲DevOps评估结果公布现场

此次,我们采访了国信证券系统运行部总经理杨阳先生,分享国信证券的 DevSecOps 实践经验。

-Q&A-

国信证券信息技术总部系统运行部总经理杨阳先生及团队

Q:您好,请您介绍一下您和您的企业,以及此次参评的项目?

杨阳:国信证券创立于改革开放前沿的深圳,经过 20 多年的发展,国信证券已成长为全国性大型综合类证券公司,近年来公司总资产、净资产、净资本、营业收入、净利润等核心指标排名行业前列。

公司一直秉承“技术引领业务,以客户为导向”的价值观,大力发展金融科技,打造信息技术核心竞争力,综合应用人工智能、大数据、云计算等新兴技术,将自主掌控与创新作为公司IT文化和 DNA,持续优化信息系统建设,提升业务时效,为客户提供优质服务,助力业务快速发展。
金太阳是国信证券自主研发的一站式金融投资理财软件,作为证券业首个自主研发的手机证券应用,为广大个人投资者提供实时证券行情、财经资讯、开户业务办理、证券交易、理财等功能。目前金太阳注册用户数超过 1600 万,证券客户数超过 700 万,委托交易占比超过 50%,已成为公司重要交易渠道,打造智能化渠道产品,帮助客户控制投资风险、提升投资能力,利用数据支撑精准化运营,为营销人员提供 CRM(客户关系管理)任务,形成技术和业务的无缝衔接,将客户端和线下团队衔接起来,持续成为让营销人员产生依赖的拓展和服务客户的工具,形成了产品、数据、服务的闭环。


Q:恭喜您通过 DevOps 标准评估,此次贵公司项目通过的是安全及风险管理(DevSecOps)标准中安全运营2级,表明达到了国内先进水平,可以分享您的感受吗?
杨阳:很高兴国信证券顺利通过 DevOps 安全及风险管理的二级评估。近年来,随着攻防态势的不断变化,以及公司敏捷交付能力的提升,对信息安全工作提出来更高的要求。近几年来,国信证券建设了开发安全平台和智能安全运营体系,优化流程,提升人员协同能力,全面开展安全工具链建设工作,建立完整的安全监控响应体系,逐步朝着风险管理的自动化、流程化、工具化、标准化迈进。
此次评估充分肯定我们近几年来的安全实践工作,表明我们采取的安全运营能力提升举措和风险闭环管理方式,卓有成效的管控研发运营过程中的各类安全风险。


Q:贵公司是如何决定参与 DevSecOps 标准评估工作中的?

杨阳:国信证券作为国有大型证券公司,高度重视信息安全工作,近年来随着信息技术敏捷交付能力的提升,也在积极探索和实践 DevSecOps 的理念,为了进一步完善现有的安全风险管理体系,公司决定加入 DevOps 标准评估工作,评估现有安全风险管控能力,以权威、成熟的评估体系作为指导,学习先进企业的最佳实践,推动持续提升改进,实现安全支撑公司数字化转型的目标。


Q:贵公司之前已经通过其他标准,请问通过多个标准的原因是什么?
杨阳:国信证券的金太阳项目已陆续通过持续交付三级评估,技术运营二级评估。参与评估是为了更好的衡量我们的研发效能和交付运维能力,推动持续提升,实现信息系统服务高效、高质量输出,落实公司“数字化、智慧化、敏捷化和集团化”的 IT 战略规划。


Q:通过安全及风险管理标准(DevSecOps标准)的评估给您的企业带来了什么收获?
杨阳:此次参评项目,让我们对 DevSecOps 各个领域进行全方位梳理和整合,结合现有研发全流程进行了安全的体系化梳理和优化,打通安全与 DevOps 的衔接流程与工具链,提升了安全与开发、测试、运维一体化的程度,对安全内建进行统一建设与赋能。


Q:对于此次参评的项目哪些特色?在日常安全风险的管理方面,面临哪些安全挑战?
杨阳:金太阳APP用户体量大,业务场景丰富,迭代变更频次快,敏捷开发和持续发布成熟度高,对日常安全风险管理带来了三方面的挑战:
第一、金太阳APP用户体量大,涉及证券交易等重要金融业务场景,对应用的安全稳定运行要求高,必须持续开展并提升“实战化、体系化、常态化”的安全防控工作能力。
第二、金太阳业务场景丰富,引入安全风险渠道与种类较多,安全团队需要投入大量精力深入了解业务需求,才能完成贴合业务场景的安全需求设计和威胁建模,控制引入的风险;
第三、金太阳迭代变更频次快,应用风险态势长期处于动态变化过程中,对集成到Devops流程中的安全工具的检测全面性、速度、和精确性提出了较高要求,安全团队必须根据开发团队的诉求,在威胁情报驱动下,结合业务安全场景,持续优化检测规则,提供快速的安全决策能力。


Q:目前国内的 DevSecOps 落地仍然处于发展阶段,贵公司达到国内先进水平,请问贵司此次通过准备评估遇到哪些困难?如何解决的?

杨阳:国信证券的本次评估准备工作从今年八月正式启动,距离评审仅三个月,加上疫情反复导致的远程团队协作困难,评审材料准备和差距改进的时间紧、任务重。为了确保评估的顺利通过,对标领先企业进行后续持续改进,安全、开发和运维团队成立了评估项目组,抽调专人负责评估标准的差距分析,分解改进任务,明确优化目标,在开发、运维团队的紧密配合下,如期完成计划,最终顺利通过评估。


Q:安全与风险管理标准对于企业安全风险管控能力提升提供了有效的指引,请问贵司对于 DevSecOps 落地实践的下一步计划是什么?
杨阳:以二级标准为要求,推广 DevSecOps 实践经验,开展体系化建设和运营工作,覆盖现有的渠道类和管理类应用系统,并持续向三级及以上要求靠拢。

国信证券金太阳 APP 团队评估现场图:


证券行业参评详情

截止目前,证券行业参与 DevOps 能力成熟度模型的评估企业如下:

* 统计截止日期至:2021年12月24日,数据来自于DevOps评估官方网站,并依据评估总数排序,数量相同则依据评估批次先后排序:
https://www.kexinyun.org.cn

数字为对应企业通过 DevOps 持续交付标准 3 级、技术运营标准 2 级/2+级、安全及风险管理2级、系统和工具评估的项目/模块数量。


研发运营一体化(DevOps)能力成熟度模型介绍:

《研发运营一体化(DevOps)能力成熟度模型》系列标准是由中国信息通信研究院牵头,云计算开源产业联盟、高效运维社区、BATJ等顶级互联网公司以及各大金融、通信企业共同制定的国内外首个 DevOps 系列标准,是最完整、最权威、最具行业指导性的研发运营一体化(DevOps)能力标准之一。由中国信息通信研究院主导的 DevOps 标准已由工信部发布并被众多金融、通信和互联网等行业名企纷纷采用并通过评估。
与此同时,DevOps 标准已于2020年7月在联合国直属标准化组织 ITU-T 正式结项,成为全球首个 DevOps 国际标准。DevOps 标准评估体系主要包括敏捷开发管理、持续交付、技术运营、应用设计、安全及风险管理、系统和工具等部分。

DevOps 标准评估相关事宜,请联系:

中国信息通信研究院@刘凯铃

电话:156 5078 6171(同微信)
邮箱:liukailing@caict.ac.cn

中国信息通信研究院@尚梦宸

电话:132 6108 1232
邮箱:shangmengchen@caict.ac.cn

高效运维社区@东辉

电话:185 1511 5139(同微信)
邮箱:yangdonghui@greatops.net
本文转自中国信通院CAICT数字化治理公众号:

燃!国信证券通过 DevOps 标准安全及风险管理评估,相关项目能力达到先进水平!


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存