杭州公共服务平台软件安全测试功能正式上线.docVIP

安恒信息助力杭州公共服务平台 软件安全测试功能正式上线 来源：安恒信息 日期：2012-11 随着近年来算机技的普及和广泛用，算机件行的展日新月异，深入到社会群众的工作和生活中。然而，信息技我便利的同， 不法分子刻刻找着机会以不正当的手段牟取利益。据不完全，全国子商平台，网上行和互网网站及各件被黑客攻所造成的失每年高达数 百。 杭州高新技新公共服平台本地近千余家企事位提供“件开境”、“形像渲染”、“件性能与高性能并行 算”、“件技”等一系列技服内容的同，合当前件日益峻的信息安全形，合用安全行厂商杭州安恒信息技有限公 司，建起一个开放、共享的平台，同集安全开、安全、上安全及7×24小安全于一体的WEB用件研平台。平台在提供件开 、等服的基上，增加代安全、QA自化安全、上安全及7×24小安全等服。一方面，通服与网上服相 合，提升企研和新能力，降低其生成本，推浙江省件健康展。另一方面，保障企件开、和上安全，提升企安全研能力，降低安 全，促WEB应用件的安全、和展以及省内WEB用系的安全运。 平台主要包含以下几方面功能： 一、源代 在目前的用程序开框架下，直接致日常使用和运行程序中的漏洞数量呈几何数增。伴随着一，不可避免地要面人越来越 成熟、技越来越先、手法越来越高超的黑客攻一事，黑客将攻注意力不断集中到用程序，不致了数百的失，同也造成了企事无形的、以挽回的名誉与社会形象失。 用程序可能存在的安全患，方法主要是通漏洞描和渗透来。但漏洞描工具太依于自身漏洞的全面性， 且常用漏洞描工具的描果往往只能定位某一个面，不能准确地定位代；而渗透果的准确性和全面性往往依于渗透工程的和技能。 同，以上两种解决方案所来的修复加固成本偏高。 本平台采用目前先的源代系，企开人提供尽的代脆弱性分析、薄弱点生源追踪以及如何定位薄弱的建，以帮 助件开人更好地理解用程序安全性要求。通源代功能可有效改善件开人自身写代的“不良”，从而开出更高量的、更安全的 代及用件。 二、QA安全 QA安全是在件品生命周期中不可缺失的，特是品开基本完成到布段，品行以品是否符合安 全需求定和品量准的程。目的在于尽量在件布或上前找到安全患并予以修，以提升件品的安全量，降低后期成本。 本平台从整个件开生命周期出，把用件的安全性考，集成在件开的每一个段：需求分析，，，，和 ，从件段即采取有效的安全控制措施来保障件安全。灵活描和特定的WEB程序面，自面存在的安全漏洞。 平台全面支持OWASPTOP10，无需高安全背景，通操作，人提供自化的件脆弱性的分析、薄弱点 生源的追踪以及如何定位薄弱的建，可以帮助人充分了解用件可能存在的安全患（如：注入攻、跨站脚本、攻、信息泄漏、意、 表、冲区溢出等）。 三、上安全 上安全主要WEB应用件上后，行的安全服，以基于云算SaaS服基WEB站点提供安全 。通7×24小不断可WEB应用件安全患快速、安全告警、并助安全加固工作、加快安全整改度，从而使WEB用 件面的最主要安全得到合理的治理。 上安全包括以下内容： 1、漏洞描：采用自化漏洞描系，完成WEB应用件的安全漏洞深度并提供分析和解决建。的漏洞采用取式描，可以准确无地确漏洞的存在，并且保留相信息在后台数据中以供告警和表系使用。 2、可用性：系WEB应用件自行模，确定WEB用件是否接受正常求，是否正常内作出响，通响信息及响的分析，合判定网站是否正常运行，确定其可用性状况。 3、改：通改引擎WEB应用件生成特定的原始比信息，存入后台数据。引擎抓取各个面， 通系算，判定有信息与原始信息是否有差异，一旦确定生化，系将出改告警，并具体接地址的信息，存入后台分析数据。 4、木 自和WEB站点中木病毒的情况并提出告警和告。具体的木病毒和生位置(如藏于某JPG或者控件中)能准确定位并把信息存在后台数据中供告警和表系使用。