[发明专利]大型企业内部自开发信息系统代码的安全测评方法及系统

说明书

本发明提供了一种大型企业内部自开发信息系统代码的安全测评方法及系统。本发明利用代码安全可视化集成管理技术，分布式消息队列技术，流量采集技术和漏洞检测技术实现对企业内部自开发系统代码的安全检测，高危漏洞扫描，有效解决自开发信息系统在上线后安全漏洞频发的问题，同时通过可视化集成管理技术，为公司信息化管理层对各级开发部门的代码安全情况与信息安全情况提供实时可靠的数据支撑。此外，本发明可适用于大型企业内部自有信息系统开发团队，通过将安全测试流程左移到开发阶段，在信息系统上线前对代码侧进行信息安全漏洞检测，及时有效的发现信息安全漏洞。

技术领域

本发明涉及自开发信息系统代码的安全技术领域，具体来讲，涉及大型企业内部自开发信息系统代码的安全测评方法及系统。

背景技术

在云计算、大数据等技术颠覆性趋势继续在应用经济下发挥作用的同时，业务快速迭代等需求已经在业务决策中不可或缺。在今天应用驱动、云计算、移动化的大环境下，业务快速迭代将助力业务增值。

考虑到业务快速迭代的需求，传统安全流程中的很多环节已经成为障碍，这些障碍必须消除，遗憾的是很多企业并没有意识到这些问题。传统安全的运营是基于系统发布之后，再由安全人员确认系统的安全风险。使用这种方式设计的流程只适用于瀑布模式的业务活动。不幸的是，随着迭代的引入，这样运营安全的方式是有缺陷的，并且在系统内带来了内在风险，因为业务决策需要平衡内联，并且跟上业务的速度。

随着业务决策的快速变化，传统安全不再是一种选择。在开发周期中，它的位置太靠后，而与迭代设计和系统发布相协作时，它又不够迅速，传统安全在业务快速迭代的需求下处在一种较为尴尬的位置。

通常，安全团队无法收集到需要的所有信息，去做出有意义的安全决策。为了提供能够密切映射客户需求的迭代值，价值创造流程不断加快。致使周期结束时的一次决策或者完整的系统测试都可能会带来毁灭性的结果。事实上，大多数这样的安全决策很少被采纳，经常被业务主管驳回，可一旦安全事件发生时，安全团队又首先遭到质疑。

因此，安全问题能在系统发布前，甚至在测试、研发阶段就能够被发现及时修复已经成为安全人员的共鸣。然而，当前主流的安全产品或者无法自动、快速、全面的发现漏洞，又或者无法将漏洞直观的呈现在开发人员手中；随着业务迭代，需要安全人员不断的发起扫描任务，手动将每一次的扫描结果整理成较为容易理解的扫描报告发送到相关人员手中，修复之后安全人员进行复查，大大降低了安全人员的工作效率，也无法满足业务快速迭代的需求。如何对新业务系统在上线前进行安全检测，已经成为各企业重点关注的问题。

公开日为2015年07月08日、公开号为CN104767757A的中国发明专利申请公开了一种基于WEB业务的多维度安全监测方法和系统，从可用性、安全事件和Web漏洞三个维度对网站安全进行全面监测，监测扫描模块通过利用端口探测引擎，对目标网站进行数据探测，然后将扫描信息传送到数据中心。数据中心通过信息的关联分析，对网站安全情况进行有效评估，并分级为高危网站、中危网站、低危网站和安全网站。该发明实现了从多个维度对网站安全的全面监测，同时效率更高，可动态显示监测结果，实现对被扫描网络内各业务节点的安全监测。然而，该发明专利申请并未涉及大型企业内部自开发信息系统代码的发布前安全测试。

公开日为2015年07月29日、公开号为CN104809404A的中国发明专利申请公开了一种信息安全攻防平台的数据层系统，设有工具库模块、场景配置库模块、课件库模块、安全情报库模块、日志库模块、攻击行为库模块和平台库模块，通过七个资源库模块的独立运行、各模块之间的联动以及模块与外部数据的联动，以虚拟设备和实体设备结合的方式为信息安全攻防平台提供一个完整、高效、统一规范的数据层系统，帮助信息安全攻防平台有效地实现网络安全性评估、攻防对抗、新产品检验测试，以及对网络架构、设计过程、主机安全、数据安全等方面进行一系列的评估评测。然而，该发明专利申请并未涉及大型企业内部自开发信息系统代码的发布前安全测试。

发明内容