国舜股份国舜全生命周期开发安全解决方案
来源:"鑫智奖"第四届金融数据智能优秀解决方案评选
获奖单位:国舜股份
荣获奖项: 网络信息安全创新优秀解决方案
一、解决方案简介
国舜全生命周期安全开发解决方案,以需求、设计、编码、测试、部署等开发阶段为主要对象,以业务安全和信息安全为出发点,通过流程、制度、规范的梳理,相关人员安全意识的培训,威胁资源库、安全测试资源库等相关资源的建设,充分保障开发出来的业务系统满足业务安全和信息安全的需求,保障业务的稳健持续发展。
二、应用场景痛点简介
信息系统在业务中的介入越来越深,云计算、大数据、移动互联等新技术的广泛使用,信息安全的风险和复杂度越来越高。显然,简单依靠安全产品不能解决所有的问题,安全开发服务已经成为信息安全工作的核心内容。信息系统的安全性保证是通过对其全生命周期各阶段的管理共同实现的,以往只在测试、运维阶段关注安全性的管理方式往往治标不治本。安全管理必须从运维阶段大幅前移,覆盖包括需求、设计、开发、测试、部署、运维的生命周期。安全工作介入的越早,潜伏的安全隐患就会越少,对漏洞修复的成本也会越低。
国舜全生命周期安全开发解决方案以需求、设计、编码、测试、部署等开发阶段为主要对象,以业务安全和信息安全为出发点,通过流程、制度、规范的梳理,相关人员安全意识的培训,威胁资源库、安全测试资源库等相关资源的建设,为客户建设完善的开发安全管理体系和技术支撑体系,充分保障开发出来的业务系统满足业务安全和信息安全的需求,有效提升客户开发团队的安全意识和安全开发能力,实现信息安全的"早预防、早发现、早响应"。
三、解决方案亮点介绍
国舜安全开发管理平台首次采用场景问答的形式,将业务与安全融合,快速/秒级完成用户的安全需求分析,降低了安全需求分析的门槛,从源头保障开发,为开发交付做保障。
标准的安全组件技术:国舜开发了覆盖防参数越权组件、防SQL注入组件、防跨站组件、文件上传组件、文件下载组件、忘记密码组件、防重放组件、业务安全日志组件、图形验证码等安全组件。产品覆盖技术包括利用MVC架构,DAO/ActiveRecord,widgets,caching,等级式RBAC,与jQuery整合。标准安全,包括了输入验证,输出过滤,SQL 注入和跨站点脚本的预防。
1.全阶段安全服务
全生命周期开发安全服务涵盖需求、设计、编码、测试、部署等全阶段的安全咨询、安全培训、安全检测等服务。具体包括:
(1)需求阶段:安全需求流程和规范咨询服务、威胁资源库咨询服务、安全需求培训等。
(2)设计阶段:安全设计流程和规范咨询服务、安全设计培训等。
(3)编码阶段:安全编码流程和规范咨询服务;源代码审计流程、规范咨询服务;安全开发培训等。
(4)测试阶段:安全测试流程和规范咨询服务、安全测试资源库咨询服务、业务测试培训、安全测试培训、渗适测试培训、安全管理体系咨询服务等。
(5)部署阶段:上线流程、规范咨询服务;安全配置基线咨询服务;基线检测服务等。
2.安全开发组件库
安全开发组件库是面向企业应用系统的一站式应用安全解决方案,用于防范常见的应用系统安全漏洞,从攻击防御、 安全工具、业务安全功能等层面提升应用系统安全防护水平,帮助应用开发者低成本接入安全解决方案,全方位保障应用系统的安全性。
3.情景式安全需求分析平台
情景式安全需求分析平台主要由威胁资源库、安全需求分析、安全设计、安全测试用例四部分组成,通过用户对系统及业务场景的描述,利用成熟化威胁资源库和威胁分析方法论,对系统进行威胁分析和安全需求分析,对关键流程进行详细安全分析,最后为用户生成标准安全需求文档和安全设计建议,为开发人员提供安全开发指导。
4.自动化安全规则审计平台
程序分析是安全性检查的基础,通过提取程序信息,以便和安全性规则相匹配,从而检测出程序中存在的安全漏洞。该平台自身具有代码审计引擎,可以对通用组件等进行检查,同时也支持对Fortify SCA、FindBugs工具的接入,对Fortify SCA和FindBugs的审计结果进行二次分析,全面优化检测结果,提高安全审计的准确性。审计引擎根据输入的源程序、语法与语义,分析程序的结构与关键特征,从而获得程序的安全风险,并报告给用户。
四、金融行业客户名单
民生银行,邮储银行,交通银行,华夏银行,南京银行,江阴农商行,重庆三峡银行,吴江农商行;农信银资金清算中心,青海省农信;人保寿险等单位。
五、客户评价
国舜股份安全开发服务团队为国内某股份制银行提供全生命周期安全开发服务,在对客户的现有开发流程进行完整安全评估后发现:
开发团队对安全了解有限,存在一定安全缺陷;
上线前没有充分的安全测试,导致存在部分系统安全隐患;
发现安全隐患后,由于时间紧、开发整改速度慢,导致带病上线等。
按照客户的实际需求和管理组织、机制,对安全开发体系进行全面的梳理,建立完整的安全开发流程和规范,建立威胁资源库和安全测试资源库。建立上线检测流程,提升开发产品的安全质量,杜绝带病上线的情况,大幅减少上线前安全检测发现的漏洞数量。
提升客户开发团队的安全意识和安全开发能力,从而开发出更加安全的产品。
提升客户开发团队的安全意识和安全开发能力,在发现安全问题,进行响应、整改时能够更加快速而有效。
提升客户安全投入的使用效率,可以在系统的早期就消灭很多安全隐患,将信息安全的"早发现,早响应",升级为"早预防、早发现、早响应"。
发现开发过程潜在的安全风险。为下一步的信息安全建设指明方向。
更多金融科技案例和金融数据智能优秀解决方案,请登录数字金融创新知识服务平台-金科创新社官网案例库、选型库查看。
三消息!CBA北京迎开门红,丁彦雨航缺赛,举办全明星赛城市确定CBA联赛今日将上演圣诞大战,你认为哪支球队会获胜?而其中的重头戏是晚上19点35分,北京队挑战联赛领头羊辽宁队。双方在休赛期都有强力外援加盟,最终北京战胜辽宁队,迎来开门红!比赛
王者荣耀12月的英雄调整,或曝光了S26赛季皮肤计划,后羿在其中Hello,大家好,这里是兔八哥聊游戏!关注我,为您带来不一样的游戏理解!自从进入12月以来,王者荣耀体验服已经对很多英雄进行了平衡调整,不过细心的小伙伴应该有发现,绝大部分英雄的
5米光学02星成功发射,助力自然资源生态监测澎湃新闻记者赵实12月26日11时11分,我国在太原卫星发射中心用长征四号丙运载火箭成功发射5米光学02星。卫星将与在轨的5米光学业务卫星组网运行,形成全球领先的业务化对地光谱探测
浦东医生话养生王大爷今年七十了,操劳大半辈子的他,准备在晚年好好享享口福。没想到,还没开始实施,就被老伴制止了都七老八十了,不怕吃出病来吗?老年人,吃素是王道。王大爷不服气,难道老年人只能吃素了
腾讯魔方技术专家开放世界中的水体渲染和仿真2021年11月22日24日,由腾讯游戏学堂举办的第五届腾讯游戏开发者大会(TencentGameDevelopersConference,简称TGDC)在线上举行。本届大会以Fi
大批商家退出淘宝,电商也遇冷了?这些平台正在竞争目前所存在的直播市场,但在这其中,淘宝的交易额是这三个平台中交易额最高的一个,淘宝去年一共完成了近4000亿人民币的交易,成功在交易榜排行上登顶榜首,从中国快递业和
冯小刚说过她永远红不了,更别说拿奖了,因为太能装在鱼目混珠的娱乐圈,每天都发生意想不到的事情,每天都更新热搜,在这个圈子里总是上演着难以推测的事情,今天的小编和大家一起讨论了解演艺界的你不知道的事情吧。众所周知,冯小刚是一个著名
明星们在化妆间全是大咖,看看跟荧屏差距大吗明星化妆间是最有故事的地方。在这里一个个女明星被打扮得光鲜亮丽,也是在这里,有外人不知的辛酸。让我们透过照片,看看女明星化妆间里的故事吧。颖宝自复出以来,时尚气质就越来越出众了虽然
创业,原来是九死一生,现在是十死无生?天气越来越冷了,和几个朋友一起吃火锅。边吃火锅边聊天,边刷着新闻,一则消息映入眼帘。企查查数据显示,2021年,餐饮相关企业一共注销吊销86。5万家火锅相关企业一共吊销注销3。8万
南极大陆的探索1738年,法国人布维航海时在南纬54051处最早发现了一个冰大陆,即南极大陆附近的一个岛(今布维岛),由此揭开了人们探索南极大陆的序幕。17721775年,英国人库克几次进入南极
有哪些平价护肤品适合学生党使用?首先,我承认,如果产品适合自己,那么只要在自己的消费能力范围内就值得买,但一味的追求贵价,就容易沦为待割的韭菜。护肤的核心不是涂涂抹抹,皮肤有自己的自愈力,在自己的经济范围内找到适