若检测的实时性非常高,可将检测结果尽可能前置,做到在开发阶段随时查看检测结果的安全
性,从而更快速地解决安全问题。而且在代码安全、封板之前(即发布前的最后一个动作)也要再次
进行安全性检测结果的检查,多环节把控版本的安全质量。安全性资产和安全性图像。
上述思路的实现,少不了安全资产数据的支持。财产资料是安全工作的基石,只有对财产资料进
行梳理,才能更好地站在安全风险的角度,及时发现问题,追溯问题,解决问题,从而提高安全管
理的效率。举例来说,如前所述,组件安全治理要求获得完整行的组件和版本信息,以及目标(应
用)所依赖的所有组件信息,以便在某个组件存在安全风险时实现对受影响资产的快速查找和定位。
行梳理,才能更好地站在安全风险的角度,及时发现问题,追溯问题,解决问题,从而提高安全管
理的效率。举例来说,如前所述,组件安全治理要求获得完整行的组件和版本信息,以及目标(应
用)所依赖的所有组件信息,以便在某个组件存在安全风险时实现对受影响资产的快速查找和定位。
在CMS/HIDS对接等方面为安全建设奠定基础。基于上述分析,对于现有的资产数据,我们只需
要根据安全策略给每一项资产贴上安全标签,并根据实际情况动态地维护和操作安全标签。对于
其它已有系统不能处理的数据,可以采用主动探测和被动扫描的方法,例如收集目标网络的流量
,分析流量中的数据,从而发现未知的网络资产信息。当然这个里面也包括了很多关于数据采集
,数据清洗,数据关联等的功能模块,这里由于篇幅就不再展开了。
要根据安全策略给每一项资产贴上安全标签,并根据实际情况动态地维护和操作安全标签。对于
其它已有系统不能处理的数据,可以采用主动探测和被动扫描的方法,例如收集目标网络的流量
,分析流量中的数据,从而发现未知的网络资产信息。当然这个里面也包括了很多关于数据采集
,数据清洗,数据关联等的功能模块,这里由于篇幅就不再展开了。
经过对好资产的一些安全属性(如是否面向因特网,登录方式等)进行完善后,再结合各种应用的
安全风险,便可刻画应用的安全画像。构建安全风险模型,确定风险阀值,根据阀值对各个应用
进行总体安全检查,制作总体安全风险看板,展示总体安全风险趋势、风险积累或风险消除等。
安全风险,便可刻画应用的安全画像。构建安全风险模型,确定风险阀值,根据阀值对各个应用
进行总体安全检查,制作总体安全风险看板,展示总体安全风险趋势、风险积累或风险消除等。
从上述几个模块的介绍与分析中,我们可以看到,这些模块之间围绕着需求—检查—控制这一
主线有着密不可分的联系。研究开发安全管理中的安全审核和设计是要求,手工安全测试和各
种工具扫描是检验手段,漏洞是检验结果,通过对漏洞的复盘追溯,可以分析要求的执行
是否真正到位。缺陷修补和缺陷积分是一种管控手段,每一个维度的检查结果汇总并与研发过
程相结合进行版本控制,也是一种管控手段,通过各种管控来有效控制安全风险。并且安全画
像/风险看板是过程数据,需要-检查-控制,有了这些数据再来帮助安全操作人员更直观地了解
整个系统以及各个应用的安全风险和现状,准确地定位安全保护的重点。
主线有着密不可分的联系。研究开发安全管理中的安全审核和设计是要求,手工安全测试和各
种工具扫描是检验手段,漏洞是检验结果,通过对漏洞的复盘追溯,可以分析要求的执行
是否真正到位。缺陷修补和缺陷积分是一种管控手段,每一个维度的检查结果汇总并与研发过
程相结合进行版本控制,也是一种管控手段,通过各种管控来有效控制安全风险。并且安全画
像/风险看板是过程数据,需要-检查-控制,有了这些数据再来帮助安全操作人员更直观地了解
整个系统以及各个应用的安全风险和现状,准确地定位安全保护的重点。
