国舜股份安全管理平台:护航信息系统全生命周期开发安全 – 作者:国舜科技

信息系统的安全性保证是通过对其全生命周期各阶段的管理共同实现的,以往只在测试、运维阶段关注安全性的管理方式往往治标不治本,安全管理须从运维阶段大幅前移,覆盖包括需求、设计、开发、测试、部署、运维的生命周期,因为安全工作介入越早,潜伏的安全隐患就会越少,对漏洞修复的成本也会越低。


在软件生命周期的全过程中,以需求、设计、开发、测试、部署等开发阶段为主要对象,以业务安全和信息安全为出发点,通过对上述阶段的流程、制度、规范的梳理,相关人员安全意识、技能的培训,威胁资源库、安全测试资源库等相关资源的积累,安全规则审计平台、安全框架等建设,建立起开发安全保障闭环体系,可以充分保障开发出来的业务系统满足业务安全和信息安全的需求,保障业务的稳健持续发展。

囯舜股份安全管理平台通过用户对系统及业务场景的描述,利用成熟化威胁资源库和威胁分析方法论,对系统进行威胁分析和安全需求分析,对关键流程进行详细安全分析,最后为用户生成标准安全需求文档和安全设计建议,为开发人员提供安全开发指导。

01

系统架构

图片[1]-国舜股份安全管理平台:护航信息系统全生命周期开发安全 – 作者:国舜科技-安全小百科


囯舜股份安全管理平台通过基础场景采集单元和业务场景采集单元采集系统的用户场景、网络场景、功能场景以及典型业务场景,包括系统基础信息、安全相关功能模块的使用情况、网络部署情况、系统对接情况、典型业务场景的使用情况等信息,利用自动化安全需求分析规则,对信息系统进行安全需求分析,生成系统安全需求文档,指导开发人员进行安全设计和安全开发。


平台后台为安全条线人员提供统计报表,主要包括用户统计、场景问答统计、项目数量统计、项目情况统计。其中,项目情况统计内容包括互联网信息系统、面向客户的信息系统、使用APP客户端系统、采集存储客户敏感信息的系统、与行外第三方平台对接的系统以及使用13个典型场景的系统等24个维度,并支持自定义扩展统计。


平台后台提供各类业务数据的管理,包括场景问答管理、安全需求管理、自动化安全需求分析规则管理等功能模块。各类技术资源库和安全需求分析规则具有很强的可扩展性,可根据行内业务发展新增相关安全需求及规则。

02

产品优势

1.安全需求分析的完备性

囯舜股份安全管理平台利用成熟化的威胁分析模型,在安全威胁分析的基础上,借助威胁资源库,特别是有行业特点的威胁资源库,将有力提高安全需求分析的完备性,减少安全需求分析的工作量。在现有安全需求分析的基础上,建立超越单一信息系统,以客户为对象,以客户的行为和应用场景为基础的威胁分析和安全需求。


2.安全设计的可落地性

在实际工作中,诸多因素导致安全需求的实现差异非常大。囯舜股份安全管理平台通过完备的安全设计库,对开发团队安全功能的实现进行深度的支持,促进降低安全需求的开发成本,保障安全需求的开发效率和开发效果,大大提高了安全设计的可落地性。


3.支持普通开发人员使用

平台通过用户对系统及业务场景的描述,利用成熟化威胁资源库和威胁分析方法论,对系统进行威胁分析和安全需求分析,普通开发人员即可使用,解决了企业缺乏专业开发安全技术团队以及开发人员安全技术水平层次不齐等难题。

03

价值实现

1.安全需求分析

参考国内外安全开发经验,结合安全开发的实践经验,通过威胁分析,立体展现以客户为中心的安全威胁,形成超出单一系统的统一安全需求。

2.安全设计

【安全需求实现质量有保障】通过成熟的安全设计方案来解决日常的安全需求开发问题,可以消除程序员水平参差不齐带来的质量问题,安全需求实现的质量有保障。

【降低安全需求实现的成本】利用成熟的安全设计库,只需要参照示范进行合适地设计和调整,就能完成安全需求,安全需求实现的成本大大降低,而安全效果更高。

3.安全测试

国舜股份利用丰富的安全测试经验,分析总结过往的安全漏洞及行业案例,针对平台中的每一条安全需求,制定对应的安全测试用例,包括安全测试流程、测试方法,和相关测试工具的使用方法。

来源:freebuf.com 2019-10-21 16:37:35 by: 国舜科技

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论