找回密码
 注册
搜索
日志综合审计数据库安全审计运维堡垒机域名&虚拟主机游侠安全网
查看: 5198|回复: 1

安恒信息助力杭州公共服务平台软件安全测试功能正式上线

[复制链接]
发表于 2012-12-28 14:31:57 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
随着近年来计算机技术的普及和广泛应用,计算机软件行业的发展日新月异,深入到社会群众的工作和生活中。然而,信息技术带给我们便利的同时,不法分子时时刻刻寻找着机会以不正当的手段牟取利益。据不完全统计,全国电子商务平台,网上银行和互联网网站及各类软件被黑客攻击所造成的损失每年高达数百亿。

杭州高新技术创新公共服务平台为本地近千余家企事业单位提供“软件开发环境”、“图形图像渲染”、“软件性能评测与高性能并行计算”、“软件专业技术实战训练”等一系列技术服务内容的同时,结合当前软件产业日益严峻的信息安全形势,联合应用安全行业领军厂商杭州安恒信息技术有限公司,建设起一个开放、共享的平台,同时集安全开发、安全测试、上线安全检测及7×24小时实时安全监测于一体的WEB应用软件研发平台。平台在提供软件开发、测试等服务的基础上,增加代码安全测试、QA自动化安全测试、上线安全测试及7×24小时实时安全监测等服务。一方面,通过现场服务与网上服务相结合,提升企业研发和创新能力,降低其生产成本,推进浙江省软件产业健康发展。另一方面,保障企业软件开发、测试和上线安全,提升企业安全研发能力,降低安全风险,促进WEB应用软件产业的安全、和谐发展以及省内WEB应用系统的安全运营。

平台主要包含以下几方面功能:

一、源代码检测

在目前的应用程序开发框架下,直接导致日常使用和运行程序中的漏洞数量呈几何级数增长。伴随着这一趋势,不可避免地要面临人员越来越成熟、技术越来越先进、手法越来越高超的黑客攻击这一事实,黑客将攻击注意力不断集中到应用程序级别,这不仅导致了数百亿的经济损失,同时也造成了企事业组织无形资产的、难以挽回的名誉与社会形象损失。

针对应用程序可能存在的安全隐患,传统方法主要是通过漏洞扫描和渗透测试来实现。但漏洞扫描工具太过依赖于自身漏洞规则库的全面性,且常用漏洞扫描工具的扫描结果往往只能定位某一个页面,不能准确地定位错误代码;而渗透测试结果的准确性和全面性往往依赖于渗透测试工程师的经验和技能。同时,以上两种解决方案所带来的修复加固成本偏高。

本平台采用目前先进的源代码审计系统,为企业开发人员提供详尽的代码脆弱性分析、薄弱点发生源追踪以及如何定位薄弱环节的建议,以帮助软件开发人员更好地理解应用程序安全性要求。通过源代码审计功能可有效改善软件开发人员自身编写代码时的“不良习惯”,从而开发出更高质量的、更安全的代码及应用软件。

二、QA安全测试

QA安全测试是在软件产品生命周期中不可缺失的环节,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品是否符合安全需求定义和产品质量标准的过程。目的在于尽量在软件发布或上线前找到安全隐患并予以修补,以提升软件产品的安全质量,降低后期维护成本。

本平台从整个软件开发生命周期出发,把对应用软件的安全性考虑,集成在软件开发的每一个阶段:需求分析,设计,编码,测试,和维护,从软件测试阶段即采取有效的安全控制措施来保障软件安全。灵活扫描和检测特定的WEB程序页面,自动检测页面存在的安全漏洞。

平台全面支持OWASPTOP10检测,无需过高安全背景,通过简单操作,为测试人员提供自动化的软件脆弱性的分析、薄弱点发生源的追踪以及如何定位薄弱环节的建议,可以帮助测试人员充分了解应用软件可能存在的安全隐患(如:注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等)。

三、上线安全监测

上线安全监测主要针对WEB应用类软件上线后,进行实时的安全监测服务,以基于云计算SaaS服务为基础为WEB站点提供安全监测。通过7×24小时不间断监测可实现WEB应用软件安全隐患快速发现、安全问题实时告警、并协助安全加固工作、加快安全整改进度,从而使WEB应用软件面临的最主要安全问题得到合理的治理。

上线安全监测包括以下内容:

1、漏洞扫描:采用自动化漏洞扫描系统,完成对WEB应用软件的安全漏洞深度检测并提供分析和解决建议。对检测的漏洞采用取证式扫描,可以准确无误地确认该漏洞的存在,并且保留相应信息在后台数据库中以供告警和报表系统使用。

2、可用性监测:系统对WEB应用软件自动实行模拟访问,确定WEB应用软件是否接受正常请求,是否正常时间内作出响应,通过对响应信息及响应时间的分析,综合判定网站是否正常运行,确定其可用性状况。

3、篡改监测:通过篡改监测引擎针对WEB应用软件生成特定的原始对比识别信息,存入后台数据库。引擎轮询访问抓取各个页面,通过系统计算,判定现有信息与原始信息是否有差异,一旦确定发生变化,系统将发出篡改告警,并记录具体链接地址的详细信息,存入后台分析数据库。

4、木马监测

自动监测和发现WEB站点中夹带木马病毒的情况并提出实时告警和报告。对具体的木马病毒类别和发生位置(如隐藏于某JPG或者控件中)能够准确定位并把该信息存在后台数据库中供告警和报表系统使用。


1.jpg
回复

使用道具 举报

发表于 2012-12-28 20:31:22 | 显示全部楼层
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|首席信息安全官 ( 陕ICP备11003551号-4 )

GMT+8, 2024-3-28 18:38 , Processed in 0.026218 second(s), 5 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表