安全挑战解决方案.PDFVIP

应用软件安全开发解决方案 安全挑战 随着信息技术的高速发展和企业信息化步伐的深入，企业在利用信息技术实现其商业 目标的同时也变得越来越依赖于信息技术。以银行业为例，为了降低运营成本，提高用户满 意度，今天的银行普遍利用信息技术支持的电话银行、ATM 及网络银行系统为客户提供个 性化、差异化的服务。另外，银行也在不断利用信息技术收集和分析大量的与客户有关的数 据和信息，为新产品开发提供决策支持，从而达到提高盈利的目标。在今天的企业信息环境 里，如何保证信息系统以及信息本身的安全性已变得至关重要。如何降低信息技术给企业带 来的各种安全风险，无疑已成为当今企业面临的新挑战。 “应用软件占据了所有漏洞的92%” – NIST “在过去10 年中，那些重要应用软件的缺陷每年增长43%” –CERT “75%的黑客攻击发生在应用软件层面” –Gartner “对Internet 系统的攻击每隔39 秒发生一次” –University of Maryland 以上数字清晰表明： 应用软件的漏洞在所有漏洞比例中占据了绝对的比重，并且呈现快速增长趋势 应用软件已经成为黑客攻击的主要目标 根据Forrester 在2011 年的一项调查，关于开发过程中的安全性问题，有14%的企业完 全没有考虑，49%的企业部分程度上认识到了这个挑战，只有37%的软件企业拥有明确的安 全开发规范。在开发过程缺乏对安全性的控制，很明显会把风险从开发过程转移到软件运行 阶段。 解决方案 绿盟科技以其在信息安全行业十余年的实践经验为基础，总结多年来为客户提供技术 支持、测试、事件响应的成果，形成了一套信息安全行业最佳实践与安全开发生命周期理念 相结合的应用开发生命周期安全管理服务，对现有系统开发实现所涉及的安全设计、安全编 码以及安全测试等安全技术融入产品需求分析、架构设计、开发实现、投产前测试和人员知 识传递等开发生命周期的典型阶段，系统地识别和消除了各个阶段可能出现的来自于人员知 识和技能、开发环境、业务逻辑所带来的信息安全风险。具体包括：  系统安全生命周期管理服务  安全需求和设计咨询服务  代码安全性审计服务  安全测试服务  安全评估服务  安全开发培训服务 方案价值  建立规范化的安全开发流程  建立开发文档安全管控制度  提供安全开发意识及技能培训  提供软件产品源代码安全检测服务（黑盒测试、白盒测试）  提供开发环境安全防护方案 方案优势  通过建立 SDL 开发安全体系，可以为信息系统提供全生命周期安全保障，贯穿信息系 统生命周期，覆盖信息系统生命周期各项活动。  节省成本。可以在信息系统开始规划阶段就全面考虑应用系统安全问题，实施各种安全 控制措施，从而达到早发现、早预防、早解决，节省成本的效果。  高度的适应性，根据客户的信息系统获取方式进行定制。  简化安全管理。实施 SDL 后，信息系统生命周期各阶段的安全活动有明确的部门和角 色来执行。分工明确，责任落实，便于量化考核。