安全测数试.docxVIP

安全性测试安全性测试重大网络安全事故（一）· 美电脑黑客侵入美军方电脑系统可控制导弹发射– 2005年11月美国黑客安契塔以恶意软体植入成千上万的电脑系统中，让它们变成电脑僵尸病毒，然后使用这些病毒对电脑伺服器发动毁灭性攻击，或发送大量垃圾电子邮件。他成功的进入了美国海军航空中心的电脑系统，通过对这些电脑的监控，可以控制军用导弹的发射。3重大网络安全事故（二）· 信用卡信息失窃– 昵称Maxim的黑客侵入CDU购物网站并窃取了30万份信用卡资料。他叫嚣道：快给爷准备10万美金，要不然我搞个“信用卡大礼包”的网站把这30万份信息全都发出去。4重大网络安全事故（三）·“黑客”攻破QQ网站– 2006年鄢某利用腾讯的系统漏洞，取得公司域密码及其他重要资料，进而取得多台服务器及PC机的控制权限，以及OA管理系统、客服系统、虚拟币卡管理系统、游戏后台管理系统等多个系统数据库的超级用户权限，在13台服务器中植入木马程序，并利用所获得的数据库管理权限，先后修改多个用户号码的密码及密码保护资料，窃取了价值较大的网络虚拟财产。5重大网络安全事故（四）·手机中国视频中心遭恶意攻击– 2008年11月28日晚22点至23点，手机中国视频中心遭到不法分子的攻击，先后将魅族M8视频评测、诺基亚、索尼爱立信、多普达等视频试用将近7000段的视频内容全部被恶意修改为一段内容低俗的艳情电视剧预告片，在网友中造成了极其恶劣的影响。6应用安全的脆弱性安全是关系到每个人的事情Figure 1. Security 101· Network layerNetwork75 percentof hacks·········ID theftPhysicalAdministrativePatchesInfrastructureDenial-of-service attacksHacksWorms and virusesTerrorism (cyber or physicalApplicationDatabase serverWeb serverApplicationserverOperatingoccur at theapplicationlevelsystemSource: Gartner (November 2005)7Web应用的漏洞不断增加8Growth of web applicationvulnerabilitiesSources: Computer EmergencyResponse Team Coordination Center(CERT/CC), National VulnerabilityDatabase, Open-Source VulnerabilityDatabase and the SymantecVulnerability Database.· Web是最容易的攻入点– 网络有安全控制– 黑客瞄准了Web应用，因为往往缺少控制· 企业面临着巨大的压力– 越来越多的Web应用– 越来越多的法规遵从需求– 越来越多的客户和合作伙伴的需求– 越来越多来自于投资方的压力8企业如何采取应对措施· 领先的企业对整个生命周期进行安全控制– 92% 的安全缺陷存在于应用中– 通过在上线之前修复安全缺陷来节省成本15X100X1X6.5XDesignDevelopmentTestingDeployment99Application Security Center生命周期企业级应用安全保证计划需求设计构建测试上线源代码验证DevInspectQA集成测试QAInspect上线系统评估WebInspect企业级安全保证和报告评估管理平台1010安全辅助工具HP应用安全中心仪表盘评测管理平台策略以及准从集中管理脆弱性以及风险评估告警和报告分布式扫描MicrosoftVisualStudioDevInspectEclipseIBMRADQAInspectHP Quality HP FunctionalCenter TestingWebInspect基础智能引擎混合分析报告安全基础智能升级安全工具开放 APIs11安全测试解决方案为开发者，质量保证人员（QA），运维人员提供全面的应用安全生命周期解决方案通过识别和弥补Web应用和Web Service安全漏洞和缺陷，减低风险提供应用整个生命周期内的持续发展的安全操作和安全审计的能力12HP DevInspect发现，修复和保护：加速更好的安全应用开发· 在开发阶段发现缺陷– 源代码分析+黑盒测试=Hybrid Analysis· 使用HP SecureObjects代码库进行修复· 和领先的IDE集成– Microsoft Visual Studio, OBM Rational Applicat