三是强化监督检查,严肃违规问责。该行定期组织开展信息安全检查,对于发现的相关风险隐患和苗头及时进行纠正和整改,并对相关责任进行严肃问责,让每位员工做到心有所畏、言有所戒、行有所止,筑牢信息安全的合规防线。
国舜开发安全入选鑫智奖·2022金融数据智能“网络信息安全创新优秀解决方案
近日,由金科创新社主办、全球金融专业人士协会支持的“鑫智奖·第四届金融数据智能优秀解决方案评选”落下帷幕,国舜全生命周期开发安全解决方案成功入选“网络信息安全创新优秀解决方案”。
据悉,“鑫智奖”金融数据智能优秀解决方案评选活动已经连续举办了四届,本届评选历时4个月,共计收到75家企业提交的97个参评方案,经过网络票选、第一轮专家分组打分以及6场线上答辩和第二轮专家组打分,评选出相应奖项。“鑫智奖”评选致力于在金融行业从线上化、数字化到数智化过程中,通过公平公正公开的方式,挑选出符合金融行业自身需求,具有先进性、可借鉴性的优秀解决方案。
国舜方案助力开发安全
此次获奖的国舜全生命周期安全开发解决方案以需求、设计、编码、测试、部署等开发阶段为主要对象,以业务安全和信息安全为出发点,通过流程、制度、规范的梳理,相关人员安全意识的培训,威胁资源库、安全测试资源库等相关资源的建设,为客户建设完善的开发安全管理体系和技术支撑体系,充分保障开发出来的业务系统满足业务安全和信息安全的需求,有效提升客户开发团队的安全意识和安全开发能力,实现信息安全的“早预防、早发现、早响应”。
全阶段安全服务
国舜全生命周期开发安全服务涵盖需求、设计、编码、测试、部署等全阶段的安全咨询、安全培训、安全检测等服务。包括:
(1)需求阶段:安全需求流程和规范咨询服务、威胁资源库咨询服务、安全需求培训等。
(2)设计阶段:安全设计流程和规范咨询服务、安全设计培训等。
(3)编码阶段:安全编码流程和规范咨询服务;源代码审计流程、规范咨询服务;安全开发培训等。
(4)测试阶段:安全测试流程和规范咨询服务、安全测试资源库咨询服务、业务测试培训、安全测试培训、渗适测试培训、安全管理体系咨询服务等。
(5)部署阶段:上线流程、规范咨询服务;安全配置基线咨询服务;基线检测服务等。
安全开发组件库
安全开发组件库是面向企业应用系统的一站式应用安全解决方案,用于防范常见的应用系统安全漏洞,从攻击防御、 安全工具、业务安全功能等层面提升应用系统安全防护水平,帮助应用开发者低成本接入安全解决方案,全方位保障应用系统的安全性。
情景式安全需求分析平台
情景式安全需求分析平台主要由威胁资源库、安全需求分析、安全设计、安全测试用例四部分组成,通过用户对系统及业务场景的描述,利用成熟化威胁资源库和威胁分析方法论,对系统进行威胁分析和安全需求分析,对关键流程进行详细安全分析,最后为用户生成标准安全需求文档和安全设计建议,为开发人员提供安全开发指导。
自动化安全规则审计平台
程序分析是安全性检查的基础,通过提取程序信息,以便和安全性规则相匹配,从而检测出程序中存在的安全漏洞。该平台自身具有代码审计引擎,可以对通用组件等进行检查,同时支持对Fortify SCA、FindBugs工具的接入,对Fortify SCA和FindBugs的审计结果进行二次分析,全面优化检测结果,提高安全审计的准确性。审计引擎根据输入的源程序、语法与语义,分析程序的结构与关键特征,从而获得程序的安全风险,并报告给用户。
国舜珍珑IAST
国舜珍珑IAST融合了SAST和DAST技术的优点,能够覆盖到更多的应用安全检测场景,无需源码,大幅提高了安全测试的效率和准确率,可更及时、更准确地发现漏洞。适用于敏捷开发和DevSecOps,可在软件的开发和测试阶段无缝集成现有开发流程,开发人员和测试人员在执行功能测试的同时实时动态检测,发现并捕获安全漏洞,无感知地完成安全测试。系统助力应对现有应用安全测试技术面临的挑战,为客户系统上线前提供强有力的安全保障。
国舜灰鸭SCA软件成分分析系统,
通过分析引擎对源代码进行静态的分析和检测,分析的过程中与其特有的软件安全漏洞规则集进行全面地匹配、查找。利用算法解决二进制代码端到端匹配问题,来实现全方位的开源代码溯源、开源许可证分析以及开源漏洞的检测。覆盖组件基本信息、开源许可证使用情况等信息,提升软件成分分析的检测水平。助力用户能够有足够细粒度的资产、风险透视能力、风险的主动识别能力、开源软件的基线检查能力。
Security
用户案例价值实现
在为某大型保险集团服务过程中,国舜股份以专业、细致的安全开发解决方案助力客户软件开发管理的全程安全保障:对安全团队和开发团队进行深度支持,从立项、需求、设计、开发、测试、投产到维护的不同阶段,针对客户信息系统开发工作特点,情景式智能获取安全要求,把必要的安全控制纳入到开发工作中去,形成完善的开发安全管理体系;制定针对性的安全开发管理流程、开发安全管理规范并结合开发安全培训、日常运维等内容保证体系的有效落地与执行。通过为客户完善开发安全管理体系和技术支撑体系,助力客户建立起开发安全保障闭环体系,保障开发出来的业务系统满足业务安全和信息安全的需求,实现业务的稳健持续发展。