rational appscan 应用安全测试管理平台介绍.pdf

IBM Rational AppScan 应用安全测试管理平台 ©IBM Corporation 2009. All Rights Reserved. IBM is a registered trademark of International Business Machines Corporation in the United States, other countries, or both. IBM Rational AppScan 应用软件安全测试管理平台介绍 目 录 第 1 章 应用安全保护客不容缓 1 1.1 企业应用的安全隐患 1 1.2 IBM RATIONAL APPSCAN 应用安全方案简述 2 1.3 IBM RATIONAL APPSCAN 为您带来的收益 4 第 2 章 IBM RATIONAL APPSCAN 解决方案5 2.1 IBM RATIONAL APPSCAN 应用安全方案详解 5 2.2 IBM RATIONAL APPSCAN 独特优势和价值 16 第 3 章 为什么选择 IBM RATIONAL20 第 4 章 IBM 中国公司简介 21 目录 IBM Rational AppScan Web 应用安全方案建议书 第1章 应用安全保护客不容缓 1.1 企业应用的安全隐患 当今世界，由于应用互联性，可扩展性，复杂性的发展，在给用户带来越来越强大和便捷的功能 之后，软件安全的问题也越来越严重。 以较为典型的以Internet/Intranet为基础的Web应用为例，由于Internet/Intranet已经成 为一个非常重要的基础平台，很多企业应用都架设在该平台上，为终端用户提供更为方便、快捷的服 务体验。这些Web应用在功能和性能上，都在不断的完善和提高，然而在非常重要的安全性上，也没有 得到足够的重视。 据统计，75% 的攻击发生在应用安全层面，而企业三分之二的各类应用，包括但不限于基于Web 的应用，都是脆弱的。由于存在安全漏洞，使企业很容易受到病毒与黑客的攻击。所以企业在 应用的 各个层面，使用不同的技术来确保安全性： 为保护客户端机器的安全，用户会安装防病毒软件； 为保证用户数据传输到企业 Web 服务器的传输安全，通信层通常会使用 SSL（安全套接层） 技术加密数据； 使用防火墙和 IDS（入侵诊断系统）/ IPS（入侵防御系统）来保证特权访问，而不必要暴露 的端口和非法的访问，在这里都会被阻止；另外，即使有防火墙，企业依然会使用身份认证机 制授权用户访问 应用。 1 IBM Rational AppScan Web 应用安全方案建议书 但即使拥有以上层层防御，也无法真正保证企业应用的安全性，因为： 网络漏洞性扫描工具，由于它仅仅用来分析网络层面的漏洞，不了解应用本身，所以不能彻底 提高 应用安全性； 防火墙可以阻止对重要端口的访问，但是 80 和 443 端口始终要开放，因此我们无法判断这 两个端口中通讯数据是善意的访问还是恶意的攻击； SSL 可以加密数据，但是它仅仅保护了在传输过程中数据的安全性，并没有保护 应用本身的 安全性； 即便每个季度都会进行渗透测试，但却无法满足处于不断变更之中的应用。 因此，仅仅依靠外部安全措施是无法真正保证应用安全性，只有加强应用自身的安全，才是真正 的应用安全解决之道。 1.2 IBM Rational AppScan 应用安全方案简述