ibm rational appscan enterprise edition 护驾企业 web 应用安全,企业级 web 应用安全解决方案介绍及其特.doc

ibm rational appscan enterprise edition 护驾企业 web 应用安全,企业级 web 应用安全解决方案介绍及其特.doc

  1. 1、本文档共18页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
ibm rational appscan enterprise edition 护驾企业 web 应用安全,企业级 web 应用安全解决方案介绍及其特

IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,企业级 Web 应用安全解决方案介绍及其特点 前言 近年来,随着 Web 应用的普及,企业都争先恐后的提供 Web 平台,或者作为信息发布的门户,用以扩大企业的知名度;或者将部分甚至全部业务放到互联网上,吸引更多的客户,增加企业的收益。有了对外的窗口,在吸引广大用户的同时,企业 Web 应用也受到黑客们的频频光顾。从 2006 年至今,许多著名网站被黑客攻击的消息屡见报端,从发布信息的政府网站、到各类运营商网站,甚至是在线交易的银行网站,都难于幸免。虽然大部分黑客只是为了显示其成就感,在网站上留下“到此一游”的痕迹,但是对于将重要数据放在 Web 应用上的企业来说,他们的系统安全、产品质量乃至企业的资质都受到了严重的质疑。 值得庆幸的是,目前大部分企业都已经意识到了 Web 应用安全的重要性,他们在探索、寻求能够协助企业构筑安全应用的解决方案,而且,他们中的一部分,也对应用安全进行了更为深入的思考,如何在软件开发的整个生命周期中保证其 Web 应用的安全? Web 应用安全解决方案的演进 我们对任何事物的了解,都是一个从无意识到有意识、从有意识到深刻认识的过程,应用安全也不例外。图 1 很好的说明了 Web 应用安全解决方案的演进。 1、在早期,开发的应用(包括 Web 应用),人们普遍看重其功能、性能、可访问性等方面,而且当时由于黑客数量少、网络未广泛普及、上网条件限制等因素,应用的安全性也确实没有显示出其危害性。因此,在相当长的一段时间内,安全性都没有被纳入系统质量评估的范畴。在这里,我们称之为“无意识”时期。 图 1 Web 应用安全解决方案演进 2、平静的网络世界被日益猖獗的黑客打破,一些网站受到了侵犯,在损失钱财的同时,企业的资质也经受着严重的考验。但此时,企业中并没有专门的安全审计部门,没有人为系统的安全负责。因此,一些咨询公司抓住契机,将业界从事于安全研究的人员招至旗下,开始向具有 Web 应用的企业提供安全诊断服务。这种咨询通常按照次数来收费,定期或不定期的扫描企业 Web 应用。在这里,我们称之为“外包解决”时期。将安全审核外包,对于企业中没有安全专家、无法内部审核的状况而言,在一定程度上解决了企业的问题。但这种方案也存在着弊端,比如:系统安全完全依赖于外部,没有自主权;定期诊断的周期之间,系统仍然存在被黑客攻击的风险;企业安全漏洞数据掌握在他人手中等等。 “外包解决”方案,由于其方便快捷,至今仍然拥有众多客户,和后面的“战术方法”将会存在相当长的并行期。 3、由于“外包解决”方案存在的弊端,一部分企业开始注重培养内部的人才,组建系统安全小组,或者在质量管理(QA)部门中添置相关人员担任此项工作。安全小组通常使用人工检测和桌面工具相结合的方法,在系统上线前进行安全诊断,是企业中系统安全的“把关者”和“救火队员”。这一时期,我们称之为“战术方法”阶段。目前国内大部分有应用安全意识的企业,都逐渐从“外包解决”时期向“战术方法”过渡。笔者在另一篇文章中,详细探讨了使用桌面工具的“战术方法”,请参见“使用 Rational AppScan 保证 Web 应用的安全性”一文。 4、成立安全小组,有专人为应用安全负责,相比之前已经有相当大的进步。然而,整个企业的应用安全,将仅仅依赖于某个小组,甚至是二、三个人。这对于一些拥有多个 Web 应用、对应用安全又非常看重的大型企业来说,无法在整个企业内部、在整个软件开发周期中,让负责项目的每一个成员都参与到应用安全的保证中来。这就是我们即将要提到的“战略方法”。该阶段强调在企业内建立完整的应用安全机制,从系统开发、系统构建、测试、到上线前后,都可以建立应用安全的保证措施;对系统安全的诊断,不同部门、不同角色、甚至不同地域的分支机构,都可以在统一的平台上进行协作;同时,对于安全数据这样敏感的信息,又可以在企业内部,按照权限、按照组织,方便的控制或流转。 随着应用安全解决方案的发展,让企业中的每个人都拥有应用安全意识、在系统开发的每个阶段都能保证安全,将成为应用安全发展的必然之路。 “战略方法”-企业级解决方案介绍 企业级应用安全平台应具备的能力 工欲善其事,必先利其器。要想建立企业级的 Web 应用安全解决方案,除了需要一套严格的流程和制度之外,功能完备、先进的平台也同样不可或缺。一个在企业内行之有效的平台应该具备如下特征: 统一管理、多用户访问的能力 具备统一入口的平台,可以作为企业安全应用的接入中心,方便每个人员访问,包括跨地域工作的组织和部门;多用户访问,可以最大化的利用该平台,让所有人员都可以方便的参与到应用安全的建设中来。 全面的应用安全覆盖能力 能将企业中

文档评论(0)

yigang0925 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档