绿盟科技

首页->解决方案->金融行业解决方案->应用软件安全开发解决方案

解决方案

应用软件安全开发解决方案

安全挑战

      随着信息技术的高速发展和企业信息化步伐的深入,企业在利用信息技术实现其商业目标的同时也变得越来越依赖于信息技术。以银行业为例,为了降低运营成本,提高用户满意度,今天的银行普遍利用信息技术支持的电话银行、ATM及网络银行系统为客户提供个性化、差异化的服务。另外,银行也在不断利用信息技术收集和分析大量的与客户有关的数据和信息,为新产品开发提供决策支持,从而达到提高盈利的目标。在今天的企业信息环境里,如何保证信息系统以及信息本身的安全性已变得至关重要。如何降低信息技术给企业带来的各种安全风险,无疑已成为当今企业面临的新挑战。

 

“应用软件占据了所有漏洞的92%” – NIST

“在过去10年中,那些重要应用软件的缺陷每年增长43%” – CERT

75%的黑客攻击发生在应用软件层面” – Gartner

“对Internet系统的攻击每隔39秒发生一次” –University of Maryland

以上数字清晰表明:

应用软件的漏洞在所有漏洞比例中占据了绝对的比重,并且呈现快速增长趋势

应用软件已经成为黑客攻击的主要目标

 

根据Forrester2011年的一项调查,关于开发过程中的安全性问题,有14%的企业完全没有考虑, 49%的企业部分程度上认识到了这个挑战,只有37%的软件企业拥有明确的安全开发规范。在开发过程缺乏对安全性的控制,很明显会把风险从开发过程转移到软件运行阶段。


解决方案

      绿盟科技以其在信息安全行业十余年的实践经验为基础,总结多年来为客户提供技术支持、测试、事件响应的成果,形成了一套信息安全行业最佳实践与安全开发生命周期理念相结合的应用开发生命周期安全管理服务,对现有系统开发实现所涉及的安全设计、安全编码以及安全测试等安全技术融入产品需求分析、架构设计、开发实现、投产前测试和人员知识传递等开发生命周期的典型阶段,系统地识别和消除了各个阶段可能出现的来自于人员知识和技能、开发环境、业务逻辑所带来的信息安全风险。具体包括:


  • 系统安全生命周期管理服务
  • 安全需求和设计咨询服务
  • 代码安全性审计服务
  • 安全测试服务
  • 安全评估服务
  • 安全开发培训服务


 


方案价值


  • 建立规范化的安全开发流程
  • 建立开发文档安全管控制度
  • 提供安全开发意识及技能培训
  • 提供软件产品源代码安全检测服务(黑盒测试、白盒测试)
  • 提供开发环境安全防护方案



方案优势


  • 通过建立SDL开发安全体系,可以为信息系统提供全生命周期安全保障,贯穿信息系统生命周期,覆盖信息系统生命周期各项活动。
  • 节省成本。可以在信息系统开始规划阶段就全面考虑应用系统安全问题,实施各种安全控制措施,从而达到早发现、早预防、早解决,节省成本的效果。
  • 高度的适应性,根据客户的信息系统获取方式进行定制。
  • 简化安全管理。实施SDL后,信息系统生命周期各阶段的安全活动有明确的部门和角色来执行。分工明确,责任落实,便于量化考核。