威胁资源库
国舜安全威胁资源库将具体的威胁种类抽象成一系列的攻击模式,模式依托于破坏性场景的总结,是对真实世界特定利用场景深入分析的结果。威胁资源库中的每个攻击模式都从攻击者的视角对其对应的攻击的设计和执行进行了说明,并给出了如何降低攻击影响的方法和措施。通过对攻击模式的了解和掌握,攻击防护者能够更好地理解和掌握特定攻击的各个因素,更好地防范攻击者的后续攻击。国舜威胁资源库根据攻击机制将威胁归为16个大类,每个类别中又根据对攻击手法的描述的抽象程度分为3种模式,分别是元攻击模式(MetaAttackPattern),标准攻击模式(StandardAttackPattern)和(DetailedAttackPattern)精细攻击模式。在安全威胁分析的基础上,借助威胁资源库,特别是有金融行业特点的威胁资源库,将有力提高安全需求分析的完备性,减少安全需求分析的工作量。安全需求分析
目前的开发安全体系是建立在面向信息系统的安全需求分析的基础上,实践中由于系统数量庞大,互相间关系错综复杂,基于单一系统的安全需求分析难以满足实际业务的需要,有必要在现有安全需求分析的基础上,建立以客户为对象,以客户的行为和应用场景为基础的威胁分析和安全需求。在此安全需求的基础上,拓展相应的安全设计方案和攻击消减措施以及配套的测试方案。在开发过程中,在现有开发安全工作的基础上,全面应用,建立更加完整、合理的安全开发体系。通过对客户相关要素、客户使用场景等维度分解的威胁分析,立体展现以客户为中心的安全威胁,形成超出单一系统的统一安全需求。安全设计库
在实际的工作中,由于开发外包等诸多因素,程序员水平参差不齐,安全需求的实现差异非常大,项目开支与最终效果往往不相匹配。因此,必须对开发团队安全功能的实现进行深度的支持,促进降低安全需求的开发成本,保障安全需求的开发效率和开发效果。通过安全设计库建设实现:(1)保障安全需求实现的质量安全设计库的建成将通过成熟的安全设计方案来解决日常的安全需求开发问题,可以消除程序员水平参差不齐带来的质量问题,安全需求实现的质量有保障。(2)降低安全需求实现的成本安全设计库的建成将极大地降低安全需求开发的成本,利用成熟的安全设计库,只需要参照示范进行合适地设计和调整,就能完成安全需求,安全需求实现的成本大大降低,而安全效果更高。安全测试用例
实际工作中,安全测试往往过于依赖测试人员的个人水平,导致测试结果不稳定,同时,测试资源严重不足,安全测试工作无法保障。为此,国舜股份对安全测试进行深度的整理,针对金融行业中具体攻击模式,建立对应的测试验证方案,将安全测试规范化,保证安全测试的效果的稳定。利用国舜丰富的银行安全测试经验,分析总结过往的安全漏洞,以及在漏洞平台上金融行业的案例,针对平台中的每一条安全需求,制定对应的安全测试用例,包括安全测试流程、测试方法,和相关测试工具的使用方法。Security
用户案例价值实现
国舜股份与某大型国有银行合作,以专业、全面的开发安全解决方案助力客户软件开发管理的全程安全保障:从立项、需求、设计、开发、测试、投产到维护的不同阶段,针对客户信息系统开发工作特点,明确安全要求,把必要的安全控制纳入到开发工作中去,形成完善的开发安全管理体系;制定针对性的安全开发管理流程、开发安全管理规范及开发安全管理体系的落地实施方案,保证体系的有效落地与执行等,助力客户建立起开发安全保障闭环体系,保障开发出来的业务系统满足业务安全和信息安全的需求,实现业务的稳健持续发展。
拓展阅读●●
国舜股份再度多领域入选安全牛《中国网络安全行业全景图(第九版)》
国舜股份推出Spring框架RCE漏洞专查工具
《重庆市数据条例》公布,专章强调数据安全
预览时标签不可点收录于话题#个上一篇下一篇