隨著“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃���、“寬帶中國(guó)2015專(zhuān)項(xiàng)行動(dòng)”等行動(dòng)的實(shí)施�,我國(guó)網(wǎng)絡(luò)安全保障措施不斷完善��,網(wǎng)絡(luò)安全防護(hù)水平進(jìn)一步提升��。
隨著“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃��、“寬帶中國(guó)2015專(zhuān)項(xiàng)行動(dòng)”等行動(dòng)的實(shí)施�����,我國(guó)網(wǎng)絡(luò)安全保障措施不斷完善���,網(wǎng)絡(luò)安全防護(hù)水平進(jìn)一步提升。我國(guó)不斷完善網(wǎng)絡(luò)安全保障措施���,網(wǎng)絡(luò)安全防護(hù)水平進(jìn)一步提升���。然而,層出不窮的網(wǎng)絡(luò)安全問(wèn)題仍然難以避免�。基礎(chǔ)網(wǎng)絡(luò)設(shè)備����、域名系統(tǒng)����、工業(yè)互聯(lián)網(wǎng)等我國(guó)基礎(chǔ)網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施依然面臨著較大安全風(fēng)險(xiǎn)��,網(wǎng)絡(luò)安全事件多有發(fā)生�。木馬和僵尸網(wǎng)絡(luò)、移動(dòng)互聯(lián)網(wǎng)惡意程序�、拒絕服務(wù)攻擊、安全漏洞�、網(wǎng)頁(yè)仿冒、網(wǎng)頁(yè)篡改等網(wǎng)絡(luò)安全事件表現(xiàn)出了新的特點(diǎn):利用分布式拒絕服務(wù)攻擊和網(wǎng)頁(yè)篡改獲得經(jīng)濟(jì)利益現(xiàn)象普遍;個(gè)人信息泄露引發(fā)的精準(zhǔn)網(wǎng)絡(luò)詐騙和勒索事件增多;智能終端的漏洞風(fēng)險(xiǎn)增大;移動(dòng)互聯(lián)網(wǎng)惡意程序的傳播渠道轉(zhuǎn)移到網(wǎng)盤(pán)或廣告平臺(tái)等網(wǎng)站����。
在此背景下,9月13日,在山東省兩化融合促進(jìn)中心的指導(dǎo)下��,由山東省計(jì)算中心與山東省軟件評(píng)測(cè)中心主辦���,端瑪科技有限公司協(xié)辦的2016年安全測(cè)試技術(shù)交流會(huì)順利召開(kāi)����。來(lái)自政府機(jī)關(guān)�、事業(yè)單位及相關(guān)企業(yè)的信息部門(mén)主管共計(jì)60余人參與此次會(huì)議,會(huì)議由山東省兩化融合促進(jìn)中心副主任、CIO智庫(kù)秘書(shū)長(zhǎng)張凱麗主持���。
動(dòng)態(tài)測(cè)試+靜態(tài)分析確保Web應(yīng)用安全
據(jù)Gartner統(tǒng)計(jì)��,75%的信息安全攻擊來(lái)自Web應(yīng)用層面��,2/3的Web應(yīng)用是脆弱的��,可見(jiàn)針對(duì)Web應(yīng)用安全測(cè)試的必要性和緊迫性。山東省計(jì)算中心軟件測(cè)試部總監(jiān)韓明軍在演講中����,對(duì)目前系統(tǒng)安全防護(hù)中存在的重硬件投資,輕軟件層面防護(hù)的問(wèn)題進(jìn)行了分析��,并給出了Web應(yīng)用安全測(cè)試的解決方案��。他認(rèn)為要采用靜態(tài)分析與動(dòng)態(tài)測(cè)試相結(jié)合的方式����,通過(guò)安全漏洞掃描、人工探測(cè)與漏洞驗(yàn)證�����、代碼安全漏洞分析、業(yè)務(wù)安全分析���、配置項(xiàng)檢查等方式來(lái)全面檢測(cè)Web應(yīng)用的潛在安全漏洞����。
通過(guò)上述全面的分析與測(cè)試�����,可以發(fā)現(xiàn)Web應(yīng)用各方面的相關(guān)安全問(wèn)題�����,如注入攻擊����、跨站攻擊、暴力破解等漏洞����,便于提前進(jìn)行針對(duì)性的安全加固,從而提高系統(tǒng)的安全質(zhì)量����,降低系統(tǒng)上線運(yùn)行后出現(xiàn)安全問(wèn)題的風(fēng)險(xiǎn)�。
實(shí)施軟件安全開(kāi)發(fā)生命周期(SDL)
隨后���,端瑪科技總經(jīng)理陳安明做了題為《軟件安全開(kāi)發(fā)生命周期(SDL)實(shí)施》的精彩分享����,他認(rèn)為軟件安全應(yīng)貫穿于軟件開(kāi)發(fā)的全生命周期�����,要在傳統(tǒng)的軟件開(kāi)發(fā)生命周期里加入與軟件安全和隱私相關(guān)的控制活動(dòng)�,來(lái)幫助設(shè)計(jì)和開(kāi)發(fā)人員開(kāi)發(fā)更安全的軟件,在減少開(kāi)發(fā)費(fèi)用的同時(shí)�,滿足安全及合規(guī)要求�����。通過(guò)培訓(xùn)����、需求、設(shè)計(jì)����、實(shí)施、驗(yàn)證、發(fā)布�、響應(yīng)等標(biāo)準(zhǔn)過(guò)程來(lái)確保軟件開(kāi)發(fā)安全。
同時(shí)���,隨著企業(yè)SDL優(yōu)化模型中成熟度不斷提高��,企業(yè)也需要提高自身執(zhí)行方面的目標(biāo)和SDL成果��,應(yīng)從初步驗(yàn)收合格水平提高到強(qiáng)制執(zhí)行水平����。企業(yè)的SDL實(shí)踐也會(huì)升級(jí)為技術(shù)精通和高效的級(jí)別����,同時(shí),SDL活動(dòng)的覆蓋面也應(yīng)從少數(shù)幾個(gè)試點(diǎn)項(xiàng)目擴(kuò)展到存在有安全和隱私風(fēng)險(xiǎn)的所有產(chǎn)品與服務(wù)����。
前端APP+后端Server確保移動(dòng)應(yīng)用安全
移動(dòng)互聯(lián)網(wǎng)的興起也不過(guò)是近幾年的事情,然而其發(fā)展速度卻是非常迅速�����。山東省計(jì)算中心信息安全部門(mén)技術(shù)總監(jiān)康凱在講移動(dòng)安全測(cè)試時(shí)提到APP的山寨應(yīng)用給各方帶來(lái)的隱患與損失:APP被注入釣魚(yú)連接����,用戶(hù)被騙����,造成經(jīng)濟(jì)損失;用戶(hù)使用了被篡改過(guò)的APP進(jìn)行交易��,敏感信息被竊取;用戶(hù)使用山寨APP導(dǎo)致經(jīng)濟(jì)損失后企業(yè)面臨的法律糾紛和聲譽(yù)損失�����。
為展示移動(dòng)安全的的嚴(yán)峻形勢(shì)����,康凱現(xiàn)場(chǎng)展示并講解了針對(duì)移動(dòng)應(yīng)用最常見(jiàn)幾種攻擊手段:偽造、劫持����,二次打包��,偽造頂層窗口�,攻擊竊取文件、偽造輸入法等�����。
最后,針對(duì)如何識(shí)別和避免如此眾多的移動(dòng)安全風(fēng)險(xiǎn)�����,康凱介紹了山東省計(jì)算中心的“移動(dòng)安全測(cè)試解決方案”�。方案提出了覆蓋移動(dòng)應(yīng)用前端APP加后端Server的移動(dòng)安全測(cè)試框架,結(jié)合完善的移動(dòng)安全測(cè)試流程來(lái)幫助APP開(kāi)發(fā)者發(fā)現(xiàn)潛在的移動(dòng)安全威脅����,確保移動(dòng)應(yīng)用的安全性。
“移動(dòng)安全測(cè)試解決方案”����,一方面可以有效保護(hù)APP開(kāi)發(fā)者的知識(shí)產(chǎn)權(quán),驗(yàn)證APP加固措施的有效性;另一方面能夠避免APP成為滲透服務(wù)器的入口;另外���,由于識(shí)別出了APP被逆向和山寨的風(fēng)險(xiǎn)���,因此能夠有效防止APP被植入惡意代碼或釣魚(yú)鏈接;防止APP被惡意軟件感染;防止APP用戶(hù)敏感信息泄露;降低APP被破解給公司帶來(lái)的聲譽(yù)影響。最終達(dá)到提高APP產(chǎn)品質(zhì)量���,提升用戶(hù)滿意度的效果����。
一直以來(lái),我國(guó)很多部門(mén)和產(chǎn)業(yè)都存在“重建設(shè)輕運(yùn)維”��、“重管理輕安全”的情況�����。而隨著互聯(lián)網(wǎng)經(jīng)濟(jì)的爆發(fā)性發(fā)展����,這種形勢(shì)將帶來(lái)更大的安全隱患和經(jīng)濟(jì)損失,進(jìn)行安全測(cè)試已迫在眉睫�。
