软件开发信息安全体系建设咨询

  信息安全等级保护咨询服务    |      2017.09.22    |     人气:30    |    标签:

 1、背景说明

  安全性是软件质量的一个重要属性,信息安全体系建设咨询是信息安全领域最为关心的问题。近几年来,新的攻击技术及其导致的严重安全事件层出不穷,尽管所有这些技术的外在表现花样百出,其内在根源都归为软件设计的缺陷。 面对软件的各种问题和缺陷, 人们忙于进行各种亡羊补牢式的补救。现在是去认真思考其内在的成因,信息安全体系建设咨询从源头上解决应用安全问题。事实上,软件更容易做好事先的预防工作。尽管现在已经有了转基因技术。但是还不能随心所欲地构造出任意的DNA 。而软件作为一种完全由入工构造出来的产品,可以从构造之初就开始努力避免那些可能出现的设计错误。

  2、服务内容:

  项目阶段任务说明

  策略阶段建立软件安全策略将安全要求融入开发规范和流程

  需求分析阶段 需求确认确认项目组对业务需求、安全要求的理解一致

  概要设计阶段 安全设计验证检查系统方案设计是否与安全设计规范或业界最佳安全实践一致

  方案设计评审验证检查系统方案设计是否与业界最佳实践一致

  开发测试阶段 安全开发验证检查编码是否为安全的最佳实践

  安全测试验证基于安全测试用例的测试,以及渗透测试等

  上线/发布评审验证检查上线前必要的工作交付(实施方案、测试报告、产品手册等)

  产品发布阶段 安全部署验证检查发布实施过程是否与安全部署规范一致,是否完成服务器安全配置、修改口令等动作

  验收阶段 验收检查CMDB维护、备份、恢复演练、服务状态监控等任务是否完成

  运维阶段持续改进周期性测试和纠正软件安全状态

  配置核查----根据调查模版内容获取并分析软件及关联系统的各项安全配置参数。

  工具测试----采用自动化工具对被评估系统进行漏洞检测,分析扫描检测所得到的数据。

  渗透测试----从黑客角度做仿真模拟攻击测试,并对结果进行数据采集,直观地暴露安全漏洞和可入侵点。

  代码审计----基于分析源代码分析引擎,定位代码中存在的安全漏洞、分析风险和给出修改建议

  3、咨询依据:

  信息系统安全等级保护基本要求(GB/T 22239-2008)

  信息系统安全评估准则(GB/T 18336-2001)

  信息安全风险评估规范(GB/T 20984-2007)

  OWASP WEB十大安全问题(OWASPTOP10)

  《OWASP 测试指南V4》(2014版)

  4、客户收益:

  (1)、应对监管机构的合规性需求,提高代码安全性,降低应用系统安全风险;

  (2)、快速识别软件开发项目风险,及时清除软件项目中的安全隐患,避免系统上线后造成重大的经济和其他方面损失;

  (3)、弥补开发人员和管理人员在软件安全方面知识和经验的不足,通过测试项目尽快了解各种软件安全漏洞的成因和修复方法。

  (4)、向用户和第三方证明软件和软件开发过程的安全性保障。