安全技术服务技术整体解决方案

安全技术服务技术整体解决方案内容摘要：

去评估代码，只要模式匹配或者相似就报出来。 要人工去分辨出其中的真假，主要存在的问题： – False positive（误报） – False negative（漏报） 出现上述问题的原因是： 在作静态分析时，要先描绘出代码所有的路径，然后去对每种路径上的变量作计算，并比较。 基于语法的解析路径是可以描绘出路径来的，但要计算每个路径上的变量在使用前后的值，并跟踪 ,目前采用 的算法几乎不可能，就是上面的程序也要花费相当长的时间，几乎无法接受。 因此目前许多静态工具只是把感染的路径找到，但不计算和不作比较，要借助人工去分辨所有可能的情况，这就是误报率非常高的原因。 在小量的代码前提下，简单的代码将不是问题，也是可以接受的。 但是，如果是大量的代码，复杂的代码，传统的 审计 技术将几乎不可行，因为它将大量浪费开发和安全审计人员的时间，有时人眼也无能为力。 代码审计产品简介 选用的 静态源代码安全漏洞 审计 和管理方案是业界最全面的、综合的源代码安全 审计 和管理方案，该方案提供用户、角色和团队 管理、权限管理、 审计结果管理、 审计 调度和自动化管理、 审计 资源管理、查询规则管理、 审计 策略管理、更新管理、报表管理等多种企业环境下实施源代码安全 审计 和管理功能。 最大化方便和节约了企业源代码安全开发、 审计 、审计和风险管理的成本和开销。 其无与伦比的准确性和方便的企业部署和实施的特性赢得了全球众多客户的青睐。 比如 、道琼斯（新闻集团）、雅高、 NDS 公司、美国陆军、 Amdocs 等都在采用这种新一代的静态分析技术做源代码安全检测和风 险评估。 至今， 改代码审计产品 的客户量数目庞大，其中包括涉及电信 、金融银行、保险、汽车、媒体娱乐、软件、服务和军事等行业的财富 1000 的企业。 2020 年 4 月 15 日 该产品 被全球领先的行业分析公司 Gartner 评为 “ 2020 年度最酷应用安全供应商 ”。 代码审计工具 功能及特性 操作系统独立 代码 审计 不依赖于特定操作系统，只在在企业范围内部署一台 审计 服务器，就可以 审计 其它操作系统开发环境下的代码，包括但不限于如下操作系统Windows、 Linux、 AIX， HPUnix, Mac OS, Solaris,无在每种平台安装相应的版本 ,节约相关平台的软硬件成本。 编译器独立、开发环境独立，搭建测试环境简单快速且统一 由于采用了独特的虚拟编译器技术，代码 审计 不要依赖编译器和开发环境，无为每种开发语言的代码安装编译器和测试环境，只要通过 客户端 、浏览器、开发环境 服务 插件登录到 管理应用 Application 服务器，提供本地代码 审计 代码的目录、远程代码目录、和版本管理代码目录（ Subversion、 CVS， ClearCase即可， 审计 代码无通过编译过程。 搭建测试环境快速简单，无像其它的静态分析工具，在相应的操作系统上安装相应的工具软件包，安装众多开发工具和代码依赖的 第三方库及软件包、 安全服务 代码通过编译，方可进行测试。 安装一次，即可 审计 Java 代码、 C/C++代码、 .NET 代码 JSP、 JavaSript、 VBSript、 .、C 、 、 、 VB ASP 、 Perl、 Apex VisualForce,Android、OWASP ESAPI、 MISRA、和 ObjectiveC (iOS)„ 等各种语言代码，并且不管这些代码是在 windows 平台、 Linux 平台或者其它平台的。 工具学习、培训和使用的成本少，最小化影响开发进度 由于编译器、 操作系统和开发环境独立，使用者无去学习每种平台下如何去编译代码， 安全服务 代码、如何 审计 测试代码，无去看每种平台下繁琐的使用手则。 因为 该 服务只要提供源代码即可 审计 ，并给出精确的 审计 结果。 低误报 该产品 企业服务在 审计 过程中全面分析应用的所有路径和变量。 准确的分析结果，验证可能的风险是否真正导致安全问题，自动排除噪音信息， 审计 结果几乎就是最终的分析结果，其误报率（ False Positive）几乎为零。 极大的减少了审计分析的人工劳动成本，极大的节了代码审计的时间，为开发团队赢得更多的开发时间。 安全漏洞覆盖面广 且全面 (低漏报 ) 数以百计的安全漏洞检查适合任于何组织，支持最新的 OWASP 、 CWE、SANS、 PCI、 SOX 等国际权威组织对软件安全漏洞的定义。 漏洞覆盖面广，安全检查全面，其自定义查询语言 CxQL 可以让用户灵活制定要的代码规则，极大的丰富组织特定的代码安全和代码质量的要。 安全查询规则清晰且完全公开实现 规则定义清晰，并完全公开所有规则的定义和实现让用户清楚知道工具如何去定义风险、如何去查找风险，透明各种语言风险。 让用户知道工具已经做了那些工作，没有做那些该工作。 而不是给用户一个黑匣子，用户无法了解工具的细节和缺陷，无法在代码审计过程中规避工具的风险（比如漏报和误报），比如利用人工或者其它手段查找工具不能定位的问题。 安全规则自定义简单高效 由于公开了所有规则实现的细节和语法，用户可以快速修改规则或者参考 已有的规则语句自定义自己 需 要规则，规则学习，定义简单高效。 能快速实现组织软件安全策略。 可以累积试验室的 安全研究成果 ,把实验室的成果转换成查询规则 ,然后用自动化的方式去验证试验室的安全知识对实际系统的应用情况。 审计 性能 10 万行代码 审计 时间在 10~30 分钟不等，视代码复杂度和硬件配置而不同。 安全规则自定义简单高效 由于公开了所有规则实现的细节和语法，用户可以快速修改规则或者参考已有的规则语句自定义自己要规则，规则学习，定义简单高效。 能快速实现组织软件安全策略。 业务逻辑和架构风险调查 该产品 服务可以对所有 审计 代码的任意一个代码元素（词汇）做动态的数据影响、控制影响和业务逻辑研究和调查。 分析代码逻辑 和架构特有的安全风险，并最后定义规则精确查找这些风险。 这是目前唯一能动态分析业务逻辑和软件架构的静态技术。 攻击路径的可视化，并以 3D 形式展现 每一个安全漏洞的攻击模式和路径完全呈现出来，以 3D 图形的方式显示，便于安全问题调查和分析。 代码实践的加强 内置软件代码质量问题检测，同时也提供自定义规则去验证编程策略和最佳实践。 该产品 目前支持主流语言 Java、 JSP、 JavaSript、 VBSript、 C 、 、 、 VB C/C++ 、ASP 、 PHP, Ruby、 Perl、 Android、 OWASP ESAPI、 MISRA、和 ObjectiveC (iOS) .(AppExchange platform)、 API to 3rd party languages。 支持的主流框架（ Framework） Struts 、 Spring、 Ibatis、 GWT、 Hiberante、 Enterprise Libraries、 Telerik、ComponentArt、 Infragistics、 FarPoint， 、 [*] 、MFC，并可针对客户特定框架快速定制支持。 服务独立，全面的团队 审计 支持 作为服务器运行。 开发人员、管理人员和审计人员都可以凭各自的身份凭 证从任何一处登录服务器，进行代码 审计 、安全审计、团队、用户和 审计 任务管理。 高度自动化 审计 任务 自动 服务 版本管理（ SubVersion、 TFS）、 SMTP 邮件服务器和 Windows账户管理，实现自动 审计 代码更新、自动 审计 、自动报警和自动邮件通知等。 支持多任务 排队 审计 、并发 审计 、循环 审计 、按时间调度 审计。 提高团队 审计 效率。 云服务实现 支持跨 Inter 实现源代 码安全 审计 “ 云服务 ”。 基础设备安全评估 解决方案 安全风险评估方法论 概述 风险管理（ Risk Management）旨在对潜在机会和不利影响进行有效管理的文化、程序和结构。 风险管理是良好管理的一个组成部分，它用一种将损失减小到最低程度而使商业机会达到最大限度的方式，对与机构的任何活动、功能和过程相关的风险进行环境建立、鉴定、分析、评价、处理、监控和信息交流。 风险管理既是为了发现商业机会，同样也是为了避免或减轻损失。 风险管 理过程（ Risk Management Process）是指系统地将管理方针、程序和实施应用于风险的环境建立、鉴定、分析、评价、处理、监控和信息交流等任务。 在信息安全的领域，同样适用于风险管理的理念和方法论。 在当前信息技术得到普遍应用，并且很多成为关键业务系统的环境下，企业或组织的信息安全风险很大，而且普遍缺乏有效的控制和管理，但过度的风险管理，无疑会导致大量的金钱和人力的花费、和对工作效率的严重降低。 如图所示。 所以，如何适度和有效地进行信息安全的风险的管理和控制，成为了一项迫切和重要的任务。 一般来说，安全风险的降低（即安全水平的提升）和相应的开销不是 线性的关系，如图所示。 在较高的安全水平上面，获得微小的提高可能要的巨大开销，甚至开销超出了所保护资产的价值。 经过精细的资产评估和风险评估，企业就可以在投资提升安全降低风险、承受风险、转移风险等做出正确的选择。 此处描述的风险的评估过程主要包括风险管理过程中的鉴定、分析、评价、处理等任务，它是一件非常复杂的工作，风险的来源、表现形式、造成的后果、出现的概率等千差万别，要非常精细的考虑和数学模型。 本文下面的描述即是阐明风险评估过程的理念和方法论，以作为安全服务的标准方法论和理论基础，指导和规范的安全风险安全服务 工作。 安全模型 在国际标准 ISO13335 中，安全模型如下图所示，特点是以风险为核心。 在国际标准 ISO15408 中，安全模型如下图所示，其特点是强调了模型的对抗性和动态性。 可以看出，这两个安全模型非常类似，核心要素都是资产、弱点、威胁、风险、安全措施等，各要素之间的关系也基本类似，只是描述和关注的角度不同。 在澳大利亚和新西兰国家标准《风险管理 Risk Management》（ AS/NZS 4360:1999）中描述了风险管理过程，如下图所示： 安全风险评估方案 资产调查与赋值 求调查 求 调查是整个安全评估服务的基础。 考虑到安全评估服务的特殊性，安全服务 项目 师将尽可能与用户密切配合，根据对用户环境和安全求进行相当全面和细致的调查，以便准确理解用户求，全面实现安全服务保护用户系统的目的。 安全评估服务将针对用户环境中的网络系统、服务器系统、应用系统以及数据系统等进行安全审计和操作、修复工作，因此用户求调查也针对这些方面进行。 安全服务的用户求调查的主要内容如下图所示： 调查对象  管理人员 调查客户现有管理体系和系统安全策略，了解现有安全组织的人员情况，向评估小组 项目 师提供 现阶段的系统安全方面的规章制度，从而能够清楚了解现在安全策略的执行情况等。  机房管理人员 调查机房物理环境，其中涵盖了该机房的物理分布图、安全区域的设置、访问控制设备情况、授权和验证情况、机房内物体堆放情况、防火安全设施、电力保障系统、应急照明设施、温湿度监测与控制情况、电磁屏蔽系统等。  网络管理员 调查信息系统网络拓扑、设备信息。