隨著“互聯網+”行動計劃、“寬帶中國2015專項行動”等行動的實施,我國網絡安全保障措施不斷完善,網絡安全防護水平進一步提升。我國不斷完善網絡安全保障措施,網絡安全防護水平進一步提升。然而,層出不窮的網絡安全問題仍然難以避免。基礎網絡設備、域名系統、工業互聯網等我國基礎網絡和關鍵基礎設施依然面臨著較大安全風險,網絡安全事件多有發生。木馬和僵尸網絡、移動互聯網惡意程序、拒絕服務攻擊、安全漏洞、網頁仿冒、網頁篡改等網絡安全事件表現出了新的特點:利用分布式拒絕服務攻擊和網頁篡改獲得經濟利益現象普遍;個人信息泄露引發的精準網絡詐騙和勒索事件增多;智能終端的漏洞風險增大;移動互聯網惡意程序的傳播渠道轉移到網盤或廣告平臺等網站。
在此背景下,9月13日,在山東省兩化融合促進中心的指導下,由山東省計算中心與山東省軟件評測中心主辦,端瑪科技有限公司協辦的2016年安全測試技術交流會順利召開。來自政府機關、事業單位及相關企業的信息部門主管共計60余人參與此次會議,會議由山東省兩化融合促進中心副主任、CIO智庫秘書長張凱麗主持。
動態測試+靜態分析確保Web應用安全
據Gartner統計,75%的信息安全攻擊來自Web應用層面,2/3的Web應用是脆弱的,可見針對Web應用安全測試的必要性和緊迫性。山東省計算中心軟件測試部總監韓明軍在演講中,對目前系統安全防護中存在的重硬件投資,輕軟件層面防護的問題進行了分析,并給出了Web應用安全測試的解決方案。他認為要采用靜態分析與動態測試相結合的方式,通過安全漏洞掃描、人工探測與漏洞驗證、代碼安全漏洞分析、業務安全分析、配置項檢查等方式來全面檢測Web應用的潛在安全漏洞。
通過上述全面的分析與測試,可以發現Web應用各方面的相關安全問題,如注入攻擊、跨站攻擊、暴力破解等漏洞,便于提前進行針對性的安全加固,從而提高系統的安全質量,降低系統上線運行后出現安全問題的風險。
實施軟件安全開發生命周期(SDL)
隨后,端瑪科技總經理陳安明做了題為《軟件安全開發生命周期(SDL)實施》的精彩分享,他認為軟件安全應貫穿于軟件開發的全生命周期,要在傳統的軟件開發生命周期里加入與軟件安全和隱私相關的控制活動,來幫助設計和開發人員開發更安全的軟件,在減少開發費用的同時,滿足安全及合規要求。通過培訓、需求、設計、實施、驗證、發布、響應等標準過程來確保軟件開發安全。
同時,隨著企業SDL優化模型中成熟度不斷提高,企業也需要提高自身執行方面的目標和SDL成果,應從初步驗收合格水平提高到強制執行水平。企業的SDL實踐也會升級為技術精通和高效的級別,同時,SDL活動的覆蓋面也應從少數幾個試點項目擴展到存在有安全和隱私風險的所有產品與服務。
前端APP+后端Server確保移動應用安全
移動互聯網的興起也不過是近幾年的事情,然而其發展速度卻是非常迅速。山東省計算中心信息安全部門技術總監康凱在講移動安全測試時提到APP的山寨應用給各方帶來的隱患與損失:APP被注入釣魚連接,用戶被騙,造成經濟損失;用戶使用了被篡改過的APP進行交易,敏感信息被竊取;用戶使用山寨APP導致經濟損失后企業面臨的法律糾紛和聲譽損失。
為展示移動安全的的嚴峻形勢,康凱現場展示并講解了針對移動應用最常見幾種攻擊手段:偽造、劫持,二次打包,偽造頂層窗口,攻擊竊取文件、偽造輸入法等。
最后,針對如何識別和避免如此眾多的移動安全風險,康凱介紹了山東省計算中心的“移動安全測試解決方案”。方案提出了覆蓋移動應用前端APP加后端Server的移動安全測試框架,結合完善的移動安全測試流程來幫助APP開發者發現潛在的移動安全威脅,確保移動應用的安全性。
“移動安全測試解決方案”,一方面可以有效保護APP開發者的知識產權,驗證APP加固措施的有效性;另一方面能夠避免APP成為滲透服務器的入口;另外,由于識別出了APP被逆向和山寨的風險,因此能夠有效防止APP被植入惡意代碼或釣魚鏈接;防止APP被惡意軟件感染;防止APP用戶敏感信息泄露;降低APP被破解給公司帶來的聲譽影響。最終達到提高APP產品質量,提升用戶滿意度的效果。
一直以來,我國很多部門和產業都存在“重建設輕運維”、“重管理輕安全”的情況。而隨著互聯網經濟的爆發性發展,這種形勢將帶來更大的安全隱患和經濟損失,進行安全測試已迫在眉睫。
京公網安備 11010502049343號