返回
杭州公共服务平台软件安全测试功能正式上线.doc

杭州公共服务平台软件安全测试功能正式上线.doc

ID:55763186

大小:59.00 KB

页数:2页

时间:2020-06-06

杭州公共服务平台软件安全测试功能正式上线.doc_第1页
杭州公共服务平台软件安全测试功能正式上线.doc_第2页
资源描述:

《杭州公共服务平台软件安全测试功能正式上线.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、安恒信息助力杭州公共服务平台软件安全测试功能正式上线来源:安恒信息日期:2012-11随着近年来计算机技术的普及和广泛应用,计算机软件行业的发展日新月异,深入到社会群众的工作和生活中。然而,信息技术带给我们便利的同时,不法分子时时刻刻寻找着机会以不正当的手段牟取利益。据不完全统计,全国电子商务平台,网上银行和互联网网站及各类软件被黑客攻击所造成的损失每年高达数百亿。杭州高新技术创新公共服务平台为本地近千余家企事业单位提供“软件开发环境”、“图形图像渲染”、“软件性能评测与高性能并行计算”、“软件专业技术实战训练”等一系列技术服务内容的同时,结合当前软件产业日益严

2、峻的信息安全形势,联合应用安全行业领军厂商杭州安恒信息技术有限公司,建设起一个开放、共享的平台,同时集安全开发、安全测试、上线安全检测及7×24小时实时安全监测于一体的WEB应用软件研发平台。平台在提供软件开发、测试等服务的基础上,增加代码安全测试、QA自动化安全测试、上线安全测试及7×24小时实时安全监测等服务。一方面,通过现场服务与网上服务相结合,提升企业研发和创新能力,降低其生产成本,推进浙江省软件产业健康发展。另一方面,保障企业软件开发、测试和上线安全,提升企业安全研发能力,降低安全风险,促进WEB应用软件产业的安全、和谐发展以及省内WEB应用系统的安全

3、运营。平台主要包含以下几方面功能:一、源代码检测在目前的应用程序开发框架下,直接导致日常使用和运行程序中的漏洞数量呈几何级数增长。伴随着这一趋势,不可避免地要面临人员越来越成熟、技术越来越先进、手法越来越高超的黑客攻击这一事实,黑客将攻击注意力不断集中到应用程序级别,这不仅导致了数百亿的经济损失,同时也造成了企事业组织无形资产的、难以挽回的名誉与社会形象损失。针对应用程序可能存在的安全隐患,传统方法主要是通过漏洞扫描和渗透测试来实现。但漏洞扫描工具太过依赖于自身漏洞规则库的全面性,且常用漏洞扫描工具的扫描结果往往只能定位某一个页面,不能准确地定位错误代码;而渗透

4、测试结果的准确性和全面性往往依赖于渗透测试工程师的经验和技能。同时,以上两种解决方案所带来的修复加固成本偏高。本平台采用目前先进的源代码审计系统,为企业开发人员提供详尽的代码脆弱性分析、薄弱点发生源追踪以及如何定位薄弱环节的建议,以帮助软件开发人员更好地理解应用程序安全性要求。通过源代码审计功能可有效改善软件开发人员自身编写代码时的“不良习惯”,从而开发出更高质量的、更安全的代码及应用软件。二、QA安全测试QA安全测试是在软件产品生命周期中不可缺失的环节,特别是产品开发基本完成到发布阶段,对产品进行检验以验证产品是否符合安全需求定义和产品质量标准的过程。目的在于

5、尽量在软件发布或上线前找到安全隐患并予以修补,以提升软件产品的安全质量,降低后期维护成本。本平台从整个软件开发生命周期出发,把对应用软件的安全性考虑,集成在软件开发的每一个阶段:需求分析,设计,编码,测试,和维护,从软件测试阶段即采取有效的安全控制措施来保障软件安全。灵活扫描和检测特定的WEB程序页面,自动检测页面存在的安全漏洞。平台全面支持OWASPTOP10检测,无需过高安全背景,通过简单操作,为测试人员提供自动化的软件脆弱性的分析、薄弱点发生源的追踪以及如何定位薄弱环节的建议,可以帮助测试人员充分了解应用软件可能存在的安全隐患(如:注入攻击、跨站脚本、钓鱼

6、攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等)。三、上线安全监测上线安全监测主要针对WEB应用类软件上线后,进行实时的安全监测服务,以基于云计算SaaS服务为基础为WEB站点提供安全监测。通过7×24小时不间断监测可实现WEB应用软件安全隐患快速发现、安全问题实时告警、并协助安全加固工作、加快安全整改进度,从而使WEB应用软件面临的最主要安全问题得到合理的治理。上线安全监测包括以下内容:1、漏洞扫描:采用自动化漏洞扫描系统,完成对WEB应用软件的安全漏洞深度检测并提供分析和解决建议。对检测的漏洞采用取证式扫描,可以准确无误地确认该漏洞的存在,并且保留相应信息

7、在后台数据库中以供告警和报表系统使用。2、可用性监测:系统对WEB应用软件自动实行模拟访问,确定WEB应用软件是否接受正常请求,是否正常时间内作出响应,通过对响应信息及响应时间的分析,综合判定网站是否正常运行,确定其可用性状况。3、篡改监测:通过篡改监测引擎针对WEB应用软件生成特定的原始对比识别信息,存入后台数据库。引擎轮询访问抓取各个页面,通过系统计算,判定现有信息与原始信息是否有差异,一旦确定发生变化,系统将发出篡改告警,并记录具体链接地址的详细信息,存入后台分析数据库。4、木马监测自动监测和发现WEB站点中夹带木马病毒的情况并提出实时告警和报告。对具体的

8、木马病毒类别和发生位置(

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。