关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


第二代安全检测服务模式-基于研发进度的安全检测

2014-12-31 19:14 推荐: 浏览: 62字号:

摘要: 随着IT技术信息化的高速发展,信息安全趋于的泛化和无边界化,传统的安全服务模型已经不能适应快速多变的新威胁,面对网络安全问题越来越严峻的事实,需要新的安全检测模式对安全服务体系进行有效补充,并一同解决新的安全问题。 安全检测服务现状: 传统的安全防护思想就是基...

随着IT技术信息化的高速发展,信息安全趋于的泛化和无边界化,传统的安全服务模型已经不能适应快速多变的新威胁,面对网络安全问题越来越严峻的事实,需要新的安全检测模式对安全服务体系进行有效补充,并一同解决新的安全问题。

安全检测服务现状:

传统的安全防护思想就是基于木桶理论为用户构建一个完整的线式防御体系,但是攻击却是点式的,任何一点被攻陷,整个安全体系就会崩溃,因此基于目前的理论基础,安全体系建设本身就是一个花费大量力气,但成效却不好的举措。这会使安全的成本变得极其昂贵。安全检测服务可以做针对性的安全防御,这样的效果会比传统的安全加固强得多。

在2010年以后,黑客攻击手段日新月异,不断有新的攻击方法、新的系统漏洞产生;攻击事件泛滥、网页遭到篡改、服务中断以及网站瘫痪等等,最近很火的APT攻击与防御也与黑客攻击的方式和手段密不可分,都给信息安全运行保障工作带来了巨大的压力。安全检测服务是安全服务中核心的技术部分。安全检测主要包括:系统层、网络层、应用层。

安全检测服务发展史:主要从技术发展和服务模式两方面来讲。

技术发展:系统层、网络层、应用层,近几年变化迭代非常快,从利用第三方工具走向了人工代码审计、漏洞挖掘。

服务模式发展:从基于时间的服务模式,逐渐转变成为趋于漏洞结果付费,基于研发进度的监测周期。我做了个简单的对比大家一看就明白,如下图:

new_lwlOxcjtOc201412212336551683

众所周知,目前传统的第一代安全服务模式还在基于时间,如:一个月,一个季度,一年,一个节日等。这些对于真正的安全来说由于客户产品更新迭代非常快,基于时间一定会遗漏很多关键节点,安全检查也只能是事后行为,可连续性非常不稳定。

第二代安全检测服务模式可以基于项目的研发进度,比如产品版本,在产品测试环节中快速部署一个安全测试环节,用于及时发现安全问题,在产品上架前快速发现问题,产品测试可以快速放入众测平台中,让白帽子发现问题,并迅速修复漏洞。

威客众测期待您的加入www.secwk.com

new_xFgLhYlDVv201412212339113851

联系站长租广告位!

中国首席信息安全官
Copy link