充分考虑客户业务安全需求,在信息安全开发生命周期(SDLC)各阶段引入安全机制,在业务应用系统的开发、测试、上线等阶段进行安全设计,并提供安全管理和以代码检测为核心的安全技术手段,达到提高业务系统安全性、规范安全开发流程、提升安全开发人员能力的目的,为业务应用安全提供保障。
安全现状
应用系统普遍缺乏基本安全功能,无法对可能的攻击提供安全防护。不仅如此,开发人员普遍缺乏安全意识,因编码造成的安全漏洞极易被攻击者利用。并且由于应用安全管理制度的缺乏造成开发过程无安全管控,系统存在的安全问题直至部署或运维阶段才被发现,整改成本极高。此外,大量提供互联网服务的应用系统无有效的安全运营机制,无法应对各种新型攻击手段。
安全需求
应在安全开发生命周期各阶段进行安全控制,保障系统安全性。
应建立安全开发管理制度保证在各开发阶段安全工作无缺失,人员职责明确。
应建立有效机制提升人员安全意识及安全开发能力。
应在安全运营阶段提供长效机制保证系统的安全运行。
方案简介
蓝睿提供的业务安全服务方案贯穿安全开发生命周期(SDL)各个阶段,在需求、设计、编码、测试、部署等阶段分别提供包含威胁建模、攻击面分析、源代码审计、渗透测试、安全运营等专业服务,以提升系统上线后的安全性。 针对中大型系统的开发设计,可提供包含数据安全、网络安全、终端安全、云安全、运维管理等整体安全设计方案,为业务系统的安全运行提供有力保障。为客户构建基于业务安全的应用安全管理体系,形成安全开发管理规范、业务系统安全功能要求等要求,形成安全编码规范,对客户的安全开发能力进行提升性培训;对业务系统进行代码审计,发现存在的不安全编码,及时进行整改。从开发管理、业务系统安全要求、代码审计、安全开发能力提升等多个层面保障业务应用的安全性。
方案优势
涵盖系统安全开发全生命周期,在系统设计之初开始介入,全面识别系统面临的威胁,并有针对性的进行安全设计,极大的降低系统被非法攻击的几率。
蓝睿积累多个大型系统安全设计经验,可针对具体业务场景,复杂业务流程进行安全设计。
在系统部署阶段提供的源代码检测及渗透测试等服务能力为奇安信的核心能力,领先其他友商,可为客户提供更加深入全面的检测结果。
蓝睿在系统安全运营阶段可提供如Web失陷检测、基于威胁情报的预警响应服务、网站监测、应急响应、对抗式演习等特色服务,相较传统安全运营服务更加精准,更加有效。
上一篇:没有了
下一篇:没有了
