业务安全扫描解决方案

随着移动互联网应用业务的高速发展,移动互联网应用承载了越来越多的业务。同时,移动互联网应用业务形态引入的安全风险也越来越突出,由于移动应用设计和开发环节引入的漏洞等问题被广泛利用,导致各类安全威胁日益增多且未能得到有效控制,成为移动应用安全最为脆弱的地方。 移动应用更承载了实体经济、社会管理功能,并进一步存储了个人隐私、商业机密和国家安全等重要数据,移动应用安全风险的“木桶”效应将被进一步放大。

安全隐患 整体架构与功能 产品功能及特点 部署方案

安全隐患

缺乏业务安全统一标准
在传统网络安全方面,美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)发布过安全基线,Common Vulnerabilities and Exposures (CVE)对全球每一个漏洞均进行定义和编号,为系统安全漏洞评估和安全基线核查提供了参考;在WEB安全领域,开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)将WEB安全威胁定义为62类,并制定了WEB。

在传统网络安全方面,美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)发布过安全基线,Common Vulnerabilities and Exposures (CVE)对全球每一个漏洞均进行定义和编号,为系统安全漏洞评估和安全基线核查提供了参考;在WEB安全领域,开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)将WEB安全威胁定义为62类,并制定了WEB。

传统检测产品无法检测业务漏洞
1、黑盒漏洞检测方式的不足 传统黑盒漏洞检测产品,如系统漏洞检测和WEB漏洞检测,采用黑盒的方式,利用构造畸形请求与响应的方式,进行漏洞探测,较难全面发现目标系统中潜在的各种漏洞,更难识别和检测业务逻辑漏洞。 2、白盒漏洞检测方式的局限 以白盒方式进行源代码审计的漏洞检测产品,无法识别业务流程和逻辑,主要检测SQL注入和XSS等通用WEB漏洞,仍然无法检测业务逻辑漏洞。且审计报告晦涩难懂,后续需要专业的安全专家进行解读,为漏洞的快速检测和修复增加了难度。

1、黑盒漏洞检测方式的不足 传统黑盒漏洞检测产品,如系统漏洞检测和WEB漏洞检测,采用黑盒的方式,利用构造畸形请求与响应的方式,进行漏洞探测,较难全面发现目标系统中潜在的各种漏洞,更难识别和检测业务逻辑漏洞。 2、白盒漏洞检测方式的局限 以白盒方式进行源代码审计的漏洞检测产品,无法识别业务流程和逻辑,主要检测SQL注入和XSS等通用WEB漏洞,仍然无法检测业务逻辑漏洞。且审计报告晦涩难懂,后续需要专业的安全专家进行解读,为漏洞的快速检测和修复增加了难度。

渗透测试不是万能良药
渗透测试通过模拟恶意黑客的攻击方法,来评估计算机网络系统与业务的安全。这个过程虽然包括对系统的任何弱点、技术缺陷或漏洞的主动分析,但仍然受到以下两个方面的影响。 1、 由于渗透测试人员对业务的理解程度不一,较难在短时间内全面发现业务系统中所有漏洞; 2、 且渗透测试质量取决于测试人员的水平高低,因人而异。同一个系统,交由不同的渗透测试技术人员,会有不同的渗透测试结果,缺乏标准化成果交付。

渗透测试通过模拟恶意黑客的攻击方法,来评估计算机网络系统与业务的安全。这个过程虽然包括对系统的任何弱点、技术缺陷或漏洞的主动分析,但仍然受到以下两个方面的影响。 1、 由于渗透测试人员对业务的理解程度不一,较难在短时间内全面发现业务系统中所有漏洞; 2、 且渗透测试质量取决于测试人员的水平高低,因人而异。同一个系统,交由不同的渗透测试技术人员,会有不同的渗透测试结果,缺乏标准化成果交付。

下一代漏洞检测的核心是业务安全检测
随着系统漏洞检测、WEB漏洞检测、基线配置核查以及IDS/IPS等安全产品的普及,传统的基于标准协议、接口和规则的安全问题得到了有效控制,而业务逻辑漏洞具有隐藏深、发现难和危害大的特点,势必成为企业关注的重中之重,业务安全漏洞检测也势必成为下一代漏洞检测的核心。 业务安全漏洞检测不是工具的堆砌,而是对业务流程的理解,对业务关系的梳理,对业务场景的分析,以及对支持业务的所有组件的熟悉,由此构建下一代业务安全风险检测模型。

随着系统漏洞检测、WEB漏洞检测、基线配置核查以及IDS/IPS等安全产品的普及,传统的基于标准协议、接口和规则的安全问题得到了有效控制,而业务逻辑漏洞具有隐藏深、发现难和危害大的特点,势必成为企业关注的重中之重,业务安全漏洞检测也势必成为下一代漏洞检测的核心。 业务安全漏洞检测不是工具的堆砌,而是对业务流程的理解,对业务关系的梳理,对业务场景的分析,以及对支持业务的所有组件的熟悉,由此构建下一代业务安全风险检测模型。

整体架构

产品功能及特点

基于云的SaaS安全评估架构

安全产品的本质是帮用户解决实际安全问题,但每增加一个安全,也需要增加用户对安全产品本身的运维投入,为最大限度的降低安全产品部署和运维而增加额外的运维开销,建恒业务安全扫描系统采用SaaS的运营模式。

深度业务安全评估

建恒业务安全扫描系统集成多种业务安全检测模型,分为注册/登录安全、业务查询安全、业务办理安全、信息修改安全以及退出/注销安全等各业务流程和环节的深度安全评估。

WEB漏洞安全评估

除业务安全漏洞扫描功能外,建恒信安业务安全扫描系统还同时具备极强的传统WEB漏洞安全评估能力,包括SQL注入、xss、上传,兼容owasptop10安全标准。要通过使用远程Web评估系统对站点进行远程的安全测试,测试中包含了常见的Web安全问题。

评估报表

建恒业务安全扫描系统可以提供订制化报表,支持多种测试报告模板,用户可直接利用这些模板,生成所需的报告。报告可以导出PDF和Word模式,并可以进行修改。同时,可根据需要对报告的内容和格式进行定制,报表灵活可配,满足不同行业,不同单位对测试报告的需求。

定制化安全修复建议

建恒业务安全扫描系统可以提供订制化安全修复建议,支持漏洞在线验证。用户可直接利用修补建议对业务系统进行修复。同时,建恒信安提供5*8高级专家技术支持与安全修复服务。

SaaS模式部署灵活

业务安全扫描平台采用SaaS的运营模式,无须用户购置单独的系统。一键式启动检测,安全漏洞库详尽,报告形式可订制。节省了安全评估系统的基础设施建设和维修的负担,减少资本投入和运营开支。

业务安全与WEB安全二合一

业务安全扫描平台技术兼容WEB安全检测技术,使用一个平台满足两方面需求,保证业务安全与WEB安全合二为一。业务安全扫描平台不仅可以提供业务安全的安全漏洞,同时平台还可以作为WEB应用检测的利器。

闭环安全漏洞管理

安全漏洞闭环管理,用户对被检测应用只需要录入一次业务功能,安全扫描系统会采用周期性检测方式自动运行。检测出的漏洞会对应每次纪录,可以为用户提供连续性观测业务系统安全防护能力的直观表现,为提高系统安全做出依据意见。

丰富的知识库与漏洞库

用安全检测系统有丰富的知识库和漏洞库,目前业务安全检测包括162个典型业务安全漏洞场景和5000条漏洞检测规则。WEB漏洞检测包括62类WEB安全漏洞近10000条WEB漏洞检测规则。 知识库和安全漏洞的规则维护是由建恒信安的专业人员进行实时专业维护,保证知识库和安全漏洞的质量。

部署方案

实现功能要点
SaaS模式部署灵活

业务安全扫描平台采用SaaS的运营模式,无须用户购置单独的系统。一键式启动检测,安全漏洞库详尽,报告形式可订制。节省了安全评估系统的基础设施建设和维修的负担,减少资本投入和运营开支。为企业节省了大量成本,这些成本包括硬件设备、软件以及通信设备投资,人力资源培训投资等。用户不需要配置专业技术人员,同时又能得到最新的业务安全保障服务。

业务安全与WEB安全二合一

业务安全扫描平台技术兼容WEB安全检测技术,使用一个平台满足两方面需求,保证业务安全与WEB安全合二为一。业务安全扫描平台不仅可以提供业务安全的安全漏洞,同时平台还可以作为WEB应用检测的利器。内置的WEB安全检测漏洞库与owasptop10安全标准,WEB漏洞检测包括62类WEB安全漏洞近10000条WEB漏洞检测规则。使得平台可以代替一般WEB应用渗透测试人员,节省了安全评估服务人员的人力成本。


实际性 针对性 模块化 特定化

服务咨询

咨询热线  010-56428067

传       真  010-56428067

地      址   北京市海淀区中关村软件园8号楼华夏科技大厦2层

产品

身份管理及访问控制安全审计与分析风险评估数据存储与容灾备份

解决方案

应用解决方案行业解决方案

合作伙伴

合作伙伴体系 申请成为合作伙伴 申请试用产品

支持中心

安全服务 安全通告 在线留言

关于建恒信安

新闻动态 加入建恒信安 公司介绍

服务咨询

咨询热线  010-56428067

传       真  010-56428067

地      址   北京市海淀区中关村软件园8号楼华夏科技大厦2层

Copyright 2019 http://www.jhsec.com/ 北京建恒信安科技有限公司 版权所有 All Rights Reserved
京ICP备12014149号-1
在线留言 产品试用