随着“互联网+”行动计划、“宽带中国2015专项行动”等行动的实施,我国网络安全保障措施不断完善,网络安全防护水平进一步提升。我国不断完善网络安全保障措施,网络安全防护水平进一步提升。然而,层出不穷的网络安全问题仍然难以避免。基础网络设备、域名系统、工业互联网等我国基础网络和关键基础设施依然面临着较大安全风险,网络安全事件多有发生。木马和僵尸网络、移动互联网恶意程序、拒绝服务攻击、安全漏洞、网页仿冒、网页篡改等网络安全事件表现出了新的特点:利用分布式拒绝服务攻击和网页篡改获得经济利益现象普遍;个人信息泄露引发的精准网络诈骗和勒索事件增多;智能终端的漏洞风险增大;移动互联网恶意程序的传播渠道转移到网盘或广告平台等网站。
在此背景下,9月13日,在山东省两化融合促进中心的指导下,由山东省计算中心与山东省软件评测中心主办,端玛科技有限公司协办的2016年安全测试技术交流会顺利召开。来自政府机关、事业单位及相关企业的信息部门主管共计60余人参与此次会议,会议由山东省两化融合促进中心副主任、CIO智库秘书长张凯丽主持。
动态测试+静态分析确保Web应用安全
据Gartner统计,75%的信息安全攻击来自Web应用层面,2/3的Web应用是脆弱的,可见针对Web应用安全测试的必要性和紧迫性。山东省计算中心软件测试部总监韩明军在演讲中,对目前系统安全防护中存在的重硬件投资,轻软件层面防护的问题进行了分析,并给出了Web应用安全测试的解决方案。他认为要采用静态分析与动态测试相结合的方式,通过安全漏洞扫描、人工探测与漏洞验证、代码安全漏洞分析、业务安全分析、配置项检查等方式来全面检测Web应用的潜在安全漏洞。
通过上述全面的分析与测试,可以发现Web应用各方面的相关安全问题,如注入攻击、跨站攻击、暴力破解等漏洞,便于提前进行针对性的安全加固,从而提高系统的安全质量,降低系统上线运行后出现安全问题的风险。
实施软件安全开发生命周期(SDL)
随后,端玛科技总经理陈安明做了题为《软件安全开发生命周期(SDL)实施》的精彩分享,他认为软件安全应贯穿于软件开发的全生命周期,要在传统的软件开发生命周期里加入与软件安全和隐私相关的控制活动,来帮助设计和开发人员开发更安全的软件,在减少开发费用的同时,满足安全及合规要求。通过培训、需求、设计、实施、验证、发布、响应等标准过程来确保软件开发安全。
同时,随着企业SDL优化模型中成熟度不断提高,企业也需要提高自身执行方面的目标和SDL成果,应从初步验收合格水平提高到强制执行水平。企业的SDL实践也会升级为技术精通和高效的级别,同时,SDL活动的覆盖面也应从少数几个试点项目扩展到存在有安全和隐私风险的所有产品与服务。
前端APP+后端Server确保移动应用安全
移动互联网的兴起也不过是近几年的事情,然而其发展速度却是非常迅速。山东省计算中心信息安全部门技术总监康凯在讲移动安全测试时提到APP的山寨应用给各方带来的隐患与损失:APP被注入钓鱼连接,用户被骗,造成经济损失;用户使用了被篡改过的APP进行交易,敏感信息被窃取;用户使用山寨APP导致经济损失后企业面临的法律纠纷和声誉损失。
为展示移动安全的的严峻形势,康凯现场展示并讲解了针对移动应用最常见几种攻击手段:伪造、劫持,二次打包,伪造顶层窗口,攻击窃取文件、伪造输入法等。
最后,针对如何识别和避免如此众多的移动安全风险,康凯介绍了山东省计算中心的“移动安全测试解决方案”。方案提出了覆盖移动应用前端APP加后端Server的移动安全测试框架,结合完善的移动安全测试流程来帮助APP开发者发现潜在的移动安全威胁,确保移动应用的安全性。
“移动安全测试解决方案”,一方面可以有效保护APP开发者的知识产权,验证APP加固措施的有效性;另一方面能够避免APP成为渗透服务器的入口;另外,由于识别出了APP被逆向和山寨的风险,因此能够有效防止APP被植入恶意代码或钓鱼链接;防止APP被恶意软件感染;防止APP用户敏感信息泄露;降低APP被破解给公司带来的声誉影响。最终达到提高APP产品质量,提升用户满意度的效果。
一直以来,我国很多部门和产业都存在“重建设轻运维”、“重管理轻安全”的情况。而随着互联网经济的爆发性发展,这种形势将带来更大的安全隐患和经济损失,进行安全测试已迫在眉睫。
本文转自d1net(转载)
