隨著“互聯(lián)網(wǎng)+”行動計劃���、“寬帶中國2015專項行動”等行動的實施�,我國網(wǎng)絡安全保障措施不斷完善,網(wǎng)絡安全防護水平進一步提升��。
隨著“互聯(lián)網(wǎng)+”行動計劃���、“寬帶中國2015專項行動”等行動的實施����,我國網(wǎng)絡安全保障措施不斷完善,網(wǎng)絡安全防護水平進一步提升����。我國不斷完善網(wǎng)絡安全保障措施,網(wǎng)絡安全防護水平進一步提升���。然而���,層出不窮的網(wǎng)絡安全問題仍然難以避免?;A網(wǎng)絡設備、域名系統(tǒng)���、工業(yè)互聯(lián)網(wǎng)等我國基礎網(wǎng)絡和關鍵基礎設施依然面臨著較大安全風險��,網(wǎng)絡安全事件多有發(fā)生�����。木馬和僵尸網(wǎng)絡�、移動互聯(lián)網(wǎng)惡意程序��、拒絕服務攻擊����、安全漏洞����、網(wǎng)頁仿冒�����、網(wǎng)頁篡改等網(wǎng)絡安全事件表現(xiàn)出了新的特點:利用分布式拒絕服務攻擊和網(wǎng)頁篡改獲得經(jīng)濟利益現(xiàn)象普遍;個人信息泄露引發(fā)的精準網(wǎng)絡詐騙和勒索事件增多;智能終端的漏洞風險增大;移動互聯(lián)網(wǎng)惡意程序的傳播渠道轉移到網(wǎng)盤或廣告平臺等網(wǎng)站�。
在此背景下,9月13日,在山東省兩化融合促進中心的指導下���,由山東省計算中心與山東省軟件評測中心主辦����,端瑪科技有限公司協(xié)辦的2016年安全測試技術交流會順利召開��。來自政府機關�����、事業(yè)單位及相關企業(yè)的信息部門主管共計60余人參與此次會議�����,會議由山東省兩化融合促進中心副主任�、CIO智庫秘書長張凱麗主持。
動態(tài)測試+靜態(tài)分析確保Web應用安全
據(jù)Gartner統(tǒng)計����,75%的信息安全攻擊來自Web應用層面,2/3的Web應用是脆弱的�,可見針對Web應用安全測試的必要性和緊迫性。山東省計算中心軟件測試部總監(jiān)韓明軍在演講中�����,對目前系統(tǒng)安全防護中存在的重硬件投資����,輕軟件層面防護的問題進行了分析����,并給出了Web應用安全測試的解決方案。他認為要采用靜態(tài)分析與動態(tài)測試相結合的方式����,通過安全漏洞掃描、人工探測與漏洞驗證���、代碼安全漏洞分析�����、業(yè)務安全分析����、配置項檢查等方式來全面檢測Web應用的潛在安全漏洞。
通過上述全面的分析與測試���,可以發(fā)現(xiàn)Web應用各方面的相關安全問題���,如注入攻擊、跨站攻擊��、暴力破解等漏洞��,便于提前進行針對性的安全加固��,從而提高系統(tǒng)的安全質量����,降低系統(tǒng)上線運行后出現(xiàn)安全問題的風險����。
實施軟件安全開發(fā)生命周期(SDL)
隨后��,端瑪科技總經(jīng)理陳安明做了題為《軟件安全開發(fā)生命周期(SDL)實施》的精彩分享�����,他認為軟件安全應貫穿于軟件開發(fā)的全生命周期����,要在傳統(tǒng)的軟件開發(fā)生命周期里加入與軟件安全和隱私相關的控制活動��,來幫助設計和開發(fā)人員開發(fā)更安全的軟件�,在減少開發(fā)費用的同時,滿足安全及合規(guī)要求�。通過培訓、需求��、設計���、實施�����、驗證���、發(fā)布�、響應等標準過程來確保軟件開發(fā)安全�。
同時,隨著企業(yè)SDL優(yōu)化模型中成熟度不斷提高���,企業(yè)也需要提高自身執(zhí)行方面的目標和SDL成果�,應從初步驗收合格水平提高到強制執(zhí)行水平��。企業(yè)的SDL實踐也會升級為技術精通和高效的級別�����,同時�����,SDL活動的覆蓋面也應從少數(shù)幾個試點項目擴展到存在有安全和隱私風險的所有產(chǎn)品與服務����。
前端APP+后端Server確保移動應用安全
移動互聯(lián)網(wǎng)的興起也不過是近幾年的事情,然而其發(fā)展速度卻是非常迅速���。山東省計算中心信息安全部門技術總監(jiān)康凱在講移動安全測試時提到APP的山寨應用給各方帶來的隱患與損失:APP被注入釣魚連接����,用戶被騙��,造成經(jīng)濟損失;用戶使用了被篡改過的APP進行交易���,敏感信息被竊取;用戶使用山寨APP導致經(jīng)濟損失后企業(yè)面臨的法律糾紛和聲譽損失���。
為展示移動安全的的嚴峻形勢,康凱現(xiàn)場展示并講解了針對移動應用最常見幾種攻擊手段:偽造��、劫持�,二次打包,偽造頂層窗口�,攻擊竊取文件、偽造輸入法等�。
最后,針對如何識別和避免如此眾多的移動安全風險�,康凱介紹了山東省計算中心的“移動安全測試解決方案”。方案提出了覆蓋移動應用前端APP加后端Server的移動安全測試框架�����,結合完善的移動安全測試流程來幫助APP開發(fā)者發(fā)現(xiàn)潛在的移動安全威脅,確保移動應用的安全性�。
“移動安全測試解決方案”,一方面可以有效保護APP開發(fā)者的知識產(chǎn)權���,驗證APP加固措施的有效性;另一方面能夠避免APP成為滲透服務器的入口;另外��,由于識別出了APP被逆向和山寨的風險�,因此能夠有效防止APP被植入惡意代碼或釣魚鏈接;防止APP被惡意軟件感染;防止APP用戶敏感信息泄露;降低APP被破解給公司帶來的聲譽影響�。最終達到提高APP產(chǎn)品質量,提升用戶滿意度的效果����。
一直以來,我國很多部門和產(chǎn)業(yè)都存在“重建設輕運維”���、“重管理輕安全”的情況���。而隨著互聯(lián)網(wǎng)經(jīng)濟的爆發(fā)性發(fā)展,這種形勢將帶來更大的安全隱患和經(jīng)濟損失���,進行安全測試已迫在眉睫��。
