返回
IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,企业级 Web 应用安全解决方案介绍及其特.doc

IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,企业级 Web 应用安全解决方案介绍及其特.doc

ID:56785632

大小:451.00 KB

页数:17页

时间:2020-07-11

IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,企业级 Web 应用安全解决方案介绍及其特.doc_第1页
IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,企业级 Web 应用安全解决方案介绍及其特.doc_第2页
IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,企业级 Web 应用安全解决方案介绍及其特.doc_第3页
IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,企业级 Web 应用安全解决方案介绍及其特.doc_第4页
IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,企业级 Web 应用安全解决方案介绍及其特.doc_第5页
资源描述:

《IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全,企业级 Web 应用安全解决方案介绍及其特.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、IBMRationalAppScanEnterpriseEdition护驾企业Web应用安全,企业级Web应用安全解决方案介绍及其特点前言近年来,随着Web应用的普及,企业都争先恐后的提供Web平台,或者作为信息发布的门户,用以扩大企业的知名度;或者将部分甚至全部业务放到互联网上,吸引更多的客户,增加企业的收益。有了对外的窗口,在吸引广大用户的同时,企业Web应用也受到黑客们的频频光顾。从2006年至今,许多著名网站被黑客攻击的消息屡见报端,从发布信息的政府网站、到各类运营商网站,甚至是在线交易的银行网站,都难于幸免。虽然大部

2、分黑客只是为了显示其成就感,在网站上留下“到此一游”的痕迹,但是对于将重要数据放在Web应用上的企业来说,他们的系统安全、产品质量乃至企业的资质都受到了严重的质疑。值得庆幸的是,目前大部分企业都已经意识到了Web应用安全的重要性,他们在探索、寻求能够协助企业构筑安全应用的解决方案,而且,他们中的一部分,也对应用安全进行了更为深入的思考,如何在软件开发的整个生命周期中保证其Web应用的安全?Web应用安全解决方案的演进我们对任何事物的了解,都是一个从无意识到有意识、从有意识到深刻认识的过程,应用安全也不例外。图1很好的说明了We

3、b应用安全解决方案的演进。1、在早期,开发的应用(包括Web应用),人们普遍看重其功能、性能、可访问性等方面,而且当时由于黑客数量少、网络未广泛普及、上网条件限制等因素,应用的安全性也确实没有显示出其危害性。因此,在相当长的一段时间内,安全性都没有被纳入系统质量评估的范畴。在这里,我们称之为“无意识”时期。图1Web应用安全解决方案演进2、平静的网络世界被日益猖獗的黑客打破,一些网站受到了侵犯,在损失钱财的同时,企业的资质也经受着严重的考验。但此时,企业中并没有专门的安全审计部门,没有人为系统的安全负责。因此,一些咨询公司抓住

4、契机,将业界从事于安全研究的人员招至旗下,开始向具有Web应用的企业提供安全诊断服务。这种咨询通常按照次数来收费,定期或不定期的扫描企业Web应用。在这里,我们称之为“外包解决”时期。将安全审核外包,对于企业中没有安全专家、无法内部审核的状况而言,在一定程度上解决了企业的问题。但这种方案也存在着弊端,比如:系统安全完全依赖于外部,没有自主权;定期诊断的周期之间,系统仍然存在被黑客攻击的风险;企业安全漏洞数据掌握在他人手中等等。“外包解决”方案,由于其方便快捷,至今仍然拥有众多客户,和后面的“战术方法”将会存在相当长的并行期。3

5、、由于“外包解决”方案存在的弊端,一部分企业开始注重培养内部的人才,组建系统安全小组,或者在质量管理(QA)部门中添置相关人员担任此项工作。安全小组通常使用人工检测和桌面工具相结合的方法,在系统上线前进行安全诊断,是企业中系统安全的“把关者”和“救火队员”。这一时期,我们称之为“战术方法”阶段。目前国内大部分有应用安全意识的企业,都逐渐从“外包解决”时期向“战术方法”过渡。笔者在另一篇文章中,详细探讨了使用桌面工具的“战术方法”,请参见“使用RationalAppScan保证Web应用的安全性”一文。4、成立安全小组,有专人为

6、应用安全负责,相比之前已经有相当大的进步。然而,整个企业的应用安全,将仅仅依赖于某个小组,甚至是二、三个人。这对于一些拥有多个Web应用、对应用安全又非常看重的大型企业来说,无法在整个企业内部、在整个软件开发周期中,让负责项目的每一个成员都参与到应用安全的保证中来。这就是我们即将要提到的“战略方法”。该阶段强调在企业内建立完整的应用安全机制,从系统开发、系统构建、测试、到上线前后,都可以建立应用安全的保证措施;对系统安全的诊断,不同部门、不同角色、甚至不同地域的分支机构,都可以在统一的平台上进行协作;同时,对于安全数据这样敏感

7、的信息,又可以在企业内部,按照权限、按照组织,方便的控制或流转。随着应用安全解决方案的发展,让企业中的每个人都拥有应用安全意识、在系统开发的每个阶段都能保证安全,将成为应用安全发展的必然之路。“战略方法”-企业级解决方案介绍企业级应用安全平台应具备的能力工欲善其事,必先利其器。要想建立企业级的Web应用安全解决方案,除了需要一套严格的流程和制度之外,功能完备、先进的平台也同样不可或缺。一个在企业内行之有效的平台应该具备如下特征:统一管理、多用户访问的能力具备统一入口的平台,可以作为企业安全应用的接入中心,方便每个人员访问,包括

8、跨地域工作的组织和部门;多用户访问,可以最大化的利用该平台,让所有人员都可以方便的参与到应用安全的建设中来。全面的应用安全覆盖能力能将企业中所有Web应用纳入统一的平台进行诊断分析和管理,能最大化的统一利用企业内部的软、硬件资源,做到平衡负载、并行处理大量应用的同时扫描和诊断

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。