安全测试与渗透测试.PPT

南京 翰海源 南京 翰海源 南京 翰海源 云计算的安全测试 南京翰海源信息技术有限公司 南京翰海源 什么是安全测试 南京 翰海源 提升代码自身安全性 在测试环节控制代码安全质量 改进安全开发过程 安全测试关注 南京 翰海源 安全测试与渗透测试 南京 翰海源 南京 翰海源 安全测试覆盖要素 安全包括了三个层次 安全功能（特性） 安全策略（部署，配置 ，全局设计准则） 安全实现 安全测试是对以上几个层次的验证和度量 外部防护系统是一种补充保护 翰海源安全测试方法 南京 翰海源 视角 自身安全性差的系统单纯依赖外部防护难以解决安全问题 提高自身安全性解决安全问题的性价比最高 越复杂的系统越需要改进自身安全性 南京 翰海源 SaaS云计算模式 用户之间的安全边界靠云计算来保证 复杂的应用软件增加了应用软件的复杂性 个人-〉软件 个人-软件-SaaS 南京 翰海源 PaaS云计算模式 开发的业务平台接口API增加了云计算提供商的风险 个人-〉业务平台 个人-〉业务平台-〉PAPI-〉PaaS 南京 翰海源 IaaS云计算模式 南京 翰海源 聚合大量物理主机 通过虚拟化细分资源 云操作系统实施复杂的调度并提供资源给不同的服务 服务-〉物理主机资源 服务-〉虚拟主机-〉云OS-〉物理主机资源 云计算复杂性 内部复杂度 层次更复杂 攻击界面增多 数据与业务计算高度集中 客户高度分散 安全功能？ 安全策略？ 安全设计？ 安全实现？ 南京 翰海源 云计算攻击界面:SAAS 南京 翰海源 云计算攻击界面:PAAS 南京 翰海源 云计算攻击界面:IAAS 南京 翰海源 云计算安全测试 定义云计算安全风险与云计算安全度量标准 实施云计算威胁建模 云计算安全功能测试 云计算安全策略测试 云计算安全设计测试 云计算安全实现测试 南京 翰海源 云计算威胁建模 云计算复杂的数据流程 分层体系与数据流 对象客体与权限 云计算新增的安全风险与威胁 新威胁类型和可能的方式 新威胁映射到数据流 应对新威胁的安全功能与安全策略 南京 翰海源 云计算安全功能测试 云计算需要的安全功能 鉴别 加密 隔离 重用保密 隐私保护 数据存储与保护 …… 云计算的安全功能测试 南京 翰海源 云计算安全策略测试 云计算需要的安全策略 配置 部署 …… 云计算的安全策略测试 南京 翰海源 云计算安全设计测试 云计算需要的安全设计 体系 防护机制 …… 云计算的安全设计测试 南京 翰海源 云计算代码安全实现测试 云计算需要的代码安全实现测试 攻击界面 数据污染传递与渗透传递 威胁类型 …… 云计算的代码安全实现测试 南京 翰海源 关于翰海源 首家专注于安全测试的厂商 专业的安全测试产品与技术 安全测试过程与方法 起航：黑盒FUZZ安全测试 追踪：二进制动态数据流安全测试 问天：全局数据结构安全测试 南京 翰海源 * * 南京 翰海源 南京 翰海源 南京 翰海源 * *