【正文】 ，并以此作為改進的機會和方向。我們結合運營商行業(yè)集團要求、國內外標準及業(yè)界最佳安全實踐為運營商量身定制了信息安全解決方案。央企解決方案方案背景：目前國有中央企業(yè)信息化建設逐步完善，ERP、財務、預算、資金、決策支持、OA等各類主線業(yè)務系統(tǒng)陸續(xù)上線運行，對央企IT基礎設施以及信息系統(tǒng)的支撐能力提出了更高的要求，也日益暴露出潛在的信息安全風險和隱患，需要從權威性、專業(yè)性和全面性出發(fā)，分析梳理信息安全現(xiàn)狀，對存在的各類風險和隱患進行科學評估，并制定后續(xù)整改方案。 同時，國資委對中央企業(yè)的信息化水平評價指標中，信息安全、IT服務、IT審計都是重要的指標項。近年來，國資委對信息安全管理、商業(yè)秘密保護、企業(yè)內部控制等都提出了明確的監(jiān)管要求。開發(fā)安全解決方案軟件開發(fā)安全方案背景：應用軟件占據(jù)了所有漏洞的92%” – NIST“在過去10年中，那些重要應用軟件的缺陷每年增長43%” – CERT“75%的黑客攻擊發(fā)生在應用軟件層面” – Gartner“對Internet系統(tǒng)的攻擊每隔39秒發(fā)生一次” –University of Maryland以上這些權威數(shù)字清晰表明兩方面的結論：應用軟件在漏洞比例中占據(jù)了絕對的比重，并且呈現(xiàn)快速增長趨勢應用軟件已經(jīng)成為黑客攻擊的主要目標近年來，國內外發(fā)生了許多由系統(tǒng)缺陷引發(fā)的重大信息安全事件層出不窮，讓我們不得不正視應用安全問題。這些信息安全事件不但給相關公司在市場上造成了重大不良影響，事后的聲譽彌補和系統(tǒng)修復花費了大量的人力，物力和財力。那么是否存在一種方法對這種情況進行改觀呢？它既能大量減少花費，業(yè)界給出了一致的答案 安全開發(fā)。安全開發(fā)是由微軟、思科等軟件業(yè)巨頭在實踐中總結提煉而出，是一種系統(tǒng)化的，成效卓著的應用安全解決方案，他將一系列的安全活動、安全管理實踐和安全開發(fā)工具系統(tǒng)化的結合在一起，將應用軟件中主要的安全漏洞在開發(fā)階段予以解決。軟件開發(fā)中的安全問題人員的問題：絕大多數(shù)的開發(fā)人員不具備安全需求分析，安全架構設計，安全編碼和安全測試的能力，安全意識亦十分淡薄。管理的問題：大多數(shù)的應用開發(fā)過程缺少安全關注，沒有相應環(huán)節(jié)對安全問題進行研究和評審把關，忽視安全過程管理。工具的問題：大多數(shù)的公司在開發(fā)過程中，沒有使用相應安全工具，如威脅建模工具，代碼自動化掃描工具等，無法有效發(fā)現(xiàn)和解決安全漏洞。在一些擁有安全開發(fā)工具的公司，其使用效率和有效性低下，亟待提高。GooAnn軟件開發(fā)安全解決方案：SDL開發(fā)安全咨詢SDL開發(fā)安全咨詢重點參考了微軟SDL相關推薦文檔和《GB/T 20274 信息安全技術 信息系統(tǒng)安全保障評估框架》，為客戶建立全面的信息系統(tǒng)生命周期安全保障體系框架?？蚣軐⒖紤]到各種信息系統(tǒng)的獲取方式以及客戶內部的組織機構特點，可以進行多種定制，具有高度的適應性。實施保障體系可以為客戶明確信息系統(tǒng)生命周期各階段的各種安全保障流程，方法，活動，以及實施這些流程，方法，活動的組織機構建設和責任劃分。源碼安全測試服務源碼安全測試發(fā)現(xiàn)代碼構造期間引入實現(xiàn)級別的安全漏洞，并為這些編碼錯誤建議補救措施。代碼審查對現(xiàn)有代碼庫進行分析，并對導致安全漏洞的代碼構造進行定位。我們的專業(yè)安全團隊將靜態(tài)分析工具和眼睛手動審查相結合來盡可能揭示所有的可能存在的漏洞。源碼測試可以在以C, C++, C, VB, , Java, ABAP 語言以及包括 Ruby, PHP, AJAX, 和 Perl 在內的各種Web技術編寫的應用程序下運行。代碼審查的結果應以一份詳細報告表現(xiàn)出來，概述代碼問題，并提出提高安全性的修復方案。從而使開發(fā)團隊能夠更好地了解代碼的問題區(qū)域，以便將來防止常見的邏輯錯誤及其他錯誤。開發(fā)安全相關培訓谷安提供全方位的安全開發(fā)培訓服務，包括安全開發(fā)SDL培訓、安全意識培訓，安全編碼培訓，滲透測試培訓 課程名稱課程內容與收益安全開發(fā)SDL培訓 通過本課程學習，學員可以了解安全開發(fā)的來龍去脈與核心思想。培訓后，學員可以掌握執(zhí)行安全開發(fā)SDL全過程的方法Web應用安全防護培訓 通過本課程學習，學員可以了解web安全現(xiàn)狀及趨勢，可以了解一系列的web安全攻擊原理及其防范對策，可以掌握對web系統(tǒng)安全進行監(jiān)測的一系列方法。課程講解結合實際操作演練，學員在課程結束后，不僅會有全面的web安全知識，并且具有實際的web安全操作能力。 Java安全編碼培訓 本課程講解如何編寫安全的java代碼，例如怎樣在代碼中避免一系列的注入攻擊，跨站腳本攻擊，緩沖區(qū)溢出攻擊等，通過本課程，學員可以了解這些代碼缺陷的原因，并且可以在今后的工作編寫安全的java代碼。 C/C++安全編碼培訓 本課程講解如何編寫安全的C/C++代碼，例如怎樣在代碼中避免一系列的注入攻擊，跨站腳本攻擊，緩沖區(qū)溢出攻擊等，通過本課程，學員可以了解這些代碼缺陷的原因，并且可以在今后的工作編寫安全的C/C++代碼滲透測試與黑客技能培訓 本課程講解各種黑客攻擊技巧，并進行上機實際操作。通過本培訓課程，學員不僅可以掌握各種黑客攻擊方法，還可以掌握黑客的思維方式，對所掌握的黑客攻擊技巧加以靈活應用。 CheckMarx源碼安全分析工具CheckMarx CxSuite是目前最強有力的下一代靜態(tài)源代碼安全掃描測試方案，專門設計為識別、跟蹤和修復軟件源代碼上的技術和邏輯方面的安全缺陷。首創(chuàng)了以查詢語言定位代碼安全問題，其采用獨特的詞匯分析技術和CxQL專利查詢技術，快速掃描和分析源代碼中的安全漏洞和弱點，克服了傳統(tǒng)靜態(tài)分析工具誤報率高和漏報的缺陷，掃描結果幾乎達到誤報為零的效果，不需要像傳統(tǒng)的靜態(tài)分析工具，需要花費巨大的人力、時間和管理成本消除掃描結果中的誤報。Checkmarx Cxsuite支持極其廣泛的軟件安全漏洞和安全弱點 、操作系統(tǒng)平臺、多種編程語言和框架，無縫集成到軟件開發(fā)生命周期。 Cxsuit的自動代碼審計功能允許開發(fā)組織以最少的時間和成本去應對安全代碼的挑戰(zhàn)。支持的開發(fā)語言及腳本語言：C/C++，Java，Jscript，javascript, C, , APEX等集成的IDE開發(fā)環(huán)境：Microsoft Visual Studio，Eclipse為什么選擇GooAnn解決方案特點融合的咨詢、服務、培訓、工具的一體化解決方案；匯聚了國內頂尖的應用安全核心團隊；具備豐富的客戶服務經(jīng)驗與案例；部分成功案例中國農業(yè)銀行中國太平保險北京銀行中國銀聯(lián)華為北京大學中國信息安全測評中心中國信息安全認證中心大型企業(yè)解決方案方案背景：經(jīng)濟的全球化，技術變革的日新月異，已經(jīng)使全世界的經(jīng)濟環(huán)境發(fā)生了深刻的變化。2008年，全球范圍內的金融危機，對中國每一個大型企業(yè)提出了更高的要求。企業(yè)迫切需要改變經(jīng)濟和業(yè)務增長方式。在這一轉型過程中，中國企業(yè)建立在舊有的資源高消耗、勞動力低成本上的競爭優(yōu)勢已經(jīng)走到了時代的盡頭。要開啟一個新的時代，中國企業(yè)必須實現(xiàn)轉型，而轉型過程中必然有大批無法適應新時代來臨的企業(yè)被淘汰出局。而信息技術則是幫助企業(yè)應對挑戰(zhàn)的重要手段，信息化和工業(yè)化的融合勢在必行。企業(yè)將自己越來越多的業(yè)務架構在了IT系統(tǒng)之上，而一旦信息系統(tǒng)安全發(fā)生問題，后果就難以想象。由于種種原因，大型企業(yè)只注重企業(yè)網(wǎng)絡系統(tǒng)的建設，而對安全問題沒有引起足夠的重視。這些對信息安全的漠視，或者是信息安全方案的不完善，將會給企業(yè)網(wǎng)絡帶來巨大的威脅。信息安全 “三分技術、七分管理”。在現(xiàn)在的信息安全技術環(huán)境下，攻擊成本越來越小，防御成本越來越大，網(wǎng)絡的安全環(huán)境并未有所好轉，反而有日益惡化之虞。而企業(yè)整體安全的水平往往取決于最弱的一環(huán)，而不是最強的地方。在復雜的企業(yè)網(wǎng)絡中，任何一個員工的疏漏、漏洞管理疏漏，都會給企業(yè)安全帶來威脅。在這種情況下，企業(yè)信息安全的集中管理是根本，并需要依靠全新的技術手段來實現(xiàn)。一般而言，企業(yè)建立集中管理的原則包括：基于風險管理，投入有的放矢。注重體系化采用系統(tǒng)方法，確保萬無一失。注重策略和管理，建立文件管理體系等。29 / 29