驿商高速公路服务区商业综合管理软件-用户案例

2024-06-24 17:14:32

浙江交通投资集团实业发展有限公司项目 2014年,我司与浙江交通投资集团实业发展有限公司达成合作意向,为旗下40余对服务区进行系统实施工作。经过多年的经验积累及技术升级,系统运行稳定并取得业主单位的一致好评。2014年底,"浙江高速驿网综合管理系统项目"获得浙江企业 信息化 大会唯一一个"项目创新奖"。 四川交投蜀越高速公路服务区经营管理有限公司项目 基于我司产品在浙江取得的良好商业管理成果,四川交投蜀越高速公路服务区经营管理有限公司于2014年底与我司达成合作意向,完成交投蜀越综合管理平台的开发,并先后在旗下30余对服务区完成系统实施工作。2017年,交投蜀越公司引入收银稽核联动系统,极大地提高了监管力度,实现高收益增长。 广西北部湾恒信资产经营有限公司项目 2016年底,我司产品进入广西北部湾恒信资产经营有限公司,先后完成了数据校验模块、财务报销模块、进销存调模块、销售数据分析模块的部署及应用。目前,系统已正式投入旗下的大塘服务区、黄乌屯服务区、石滩服务区、石湾服务区、铁山服务区、防城服务区、寨圩服务区、张黄服务区、浦北服务区及东兴服务区使用,获得业主公司的高度赞许。 江西恒辉物业有限责任公司项目 2017年初,江西恒辉物业有限责任公司正式启用我司产品,我司积极配合先后完成了收银稽核、数据校验、商品信息管理等系统实施部署工作,目前共有7对服务区正在使用,取得的监管效果较好,省内其他服务区亦陆续表示合作意向。 贵州亨达公司项目 2015年,我司在贵州虾子服务区完成系统实施工作。截止目前,系统已成功稳定运行近4年,取得较好的商业管理效果。2017年7月,我司实施团队配合完成贵州另一对服务区——铜仁服务区的系统实施工作。 温州绕城高速公路西南线有限公司项目 2017年底,我司产品进入温州绕城高速公路西南线有限公司,迈出了拓宽业务的一大步。在陶山服务区成功完成收银系统、结账数据校验、合同签约管理及销售数据分析等系统的实施工作。目前,陶山服务区系统运行稳定,数据传输正常,业主单位对系统的监管效果颇为满意。 查看详情

驿商高速公路服务区商业综合管理软件-产品介绍

2024-06-24 17:14:32

适用于:Windows 商品简介:基于省份服务区的运管战略目标、业务布局、管理模式和管控体系,通过物联网和互联网技术,形成“ 数字化 、规模化、智慧化”的服务区的运建管综合服务平台。 商品亮点:实时管控、资源统筹,统一规划、统一品牌、统一运营,个性化报表定制,全方位掌控各业态经营数据 商品说明 版本: V4.0 交付方式: License 适用于: Windows 上架日期: 2019-09-27 10:20:09.0 一、系统概述   驿商高速公路服务区商业综合管理软件是基于省份服务区的运管战略目标、业务布局、管理模式和管控体系,通过物联网和互联网技术,形成“数字化、规模化、智慧化”的服务区的运建管综合服务平台;对多条路段服务区实行统一运营监管、统一招商投资、统一供配送调、智能预警预测、人车流群分析,降低企业管理成本,提升盈利空间。使信息化渗透到服务区人、财、物、知识等方方面面,实现服务区投资经营管理数字化,提升服务区运营效率。综合管理服务平台由综合办公管理、商业经营管理、合作商户服务、移动业务管理、公众服务管理、统一总仓管理、商业会员服务七大模块组成,涉及服务区运营过程中的经营、办公、服务、监管、客户关系等各类应用需求。 二、系统特色   高效:电子化流程管控、历史痕迹全保留、提高人工效率   监管:营收数据统一采集、稽核实时监管、异常数据智能获取   智能化:智能智能预警信息推送、AI智能学习模板、 云计算 数据服务 三、系统核心理念   商业经营闭环:实现从经营合同签约至截止期间,所有经营数据的监管及记录,并按合同约定拆分营收获取应收款项。   日常业务闭环:实现服务区各类日常采购、预算、销售业务相关行为的管控及数据协助。   商品物资闭环:打通门店、总仓、供应商的全数据通道,实现从门店销售、库存预警、请购需求至配送完成的整体流程全监控。 查看详情

STAC威胁建模分析系统咨询服务-用户案例

2024-06-24 17:14:28

国内某大型券商 客户情况: 该客户成立于1999年,是中国证券行业长期、持续、全面领先的综合金融服务商。作为证券行业的核心企业,极具行业特性,产品体量十分庞大, 该客户一直以来对我司产品十分信赖,双方有密切的业务合作。与客户深度交流后,我们了解到客户的项目团队缺少安全人员,安全需求完全依靠 各个核心团队成员的研发经验、测试经验得出。不同项目组之间没有统一的安全需求标准,也无法互通沉淀知识库。 规划思路: 准备阶段: 1.完成项目规划和启动 2.完成项目采购相关工作 3.完成双方需求明确 部署调研阶段: 1.完成STAC部署 2.安全管理访谈、开发安全访谈、安全工具访谈 培训&文件编写: 1.SDL开发安全培训(安全意识,安全需求等) 2.开发安全管理制度建设、开发安全规范建设、开发安全管理细则建设 项目试点: 1.投行簿记 2.电子商务网站 3.移动中台项目试点 验收阶段: 1.通过上线验收,完成相关的验收文档并交付 2.完成项目结项报告,总结会 产品效果: 通过专家服务+产品的方式,搭建覆盖全业务场景的知识库,统一安全需求、安全设计标准,实现了安全需求的标准化、 自动化 输出; 安全从需求分析阶段开始介入,提早发现并解决安全漏洞问题,防止业务系统带病上线带来损失。对于发现的漏洞或缺陷,记入知识库进行沉淀; 完善了开发安全相关标准、管理制度、规范等,通过工具使用、开发安全技术等培训提升了项目经理、研发、测试的安全意识和安全能力。 查看详情

STAC威胁建模分析系统咨询服务-产品介绍

2024-06-24 17:14:28

适用于:Windows/Linux 商品简介:STAC产品通过在需求与设计阶段,分析项目场景与软件架构,自动化辨别可能存在的威胁,提出需求,在设计之初就考虑安全问题,小成本解决安全风险,本服务为该产品配套咨询服务。 商品亮点: 威胁闭环管理,沉淀安全架构,研发与测试阶段联动 商品说明 版本: V1.0 交付方式: 人工服务 适用于: Windows/Linux 上架日期: 2022-07-22 08:46:05.0 产品架构图 知识库关联图 数据关系分析实例 银行业 解决方案 逻辑拓扑 功能特色: 问卷式场景与架构调研 以问卷形式对项目中涉及到的合规要求、需求场景、设计架构、中间件、对外暴露面、系统重要级别等信息进行调研,为后续威胁分析和安全需求提供输入。 场景化威胁分析 对项目所涉及的业务场景进行多维度威胁评估,输出安全威胁模型、安全需求建议、需求落地方案、需求验证方案等一系列解决方法,完成从威胁发现到需求验证的闭环流程。 自定义威胁管理 针对用户的特殊场景,提供灵活的场景、威胁、安全需求、落地方案的自定义功能,让平台可由用户手动扩展和定义,使平台更加匹配企业自身业务。 产品优势: 威胁闭环管理 用户可跟踪威胁的处理流程,从威胁提出到安全需求验证,提供威胁的全流程闭环管理。 沉淀安全架构 项目安全分析可视化呈现,自动化挖掘项目之间同类潜在威胁和安全需求,将公共威胁抽象为顶层安全架构设计,不断沉淀企业自身的安全架构。 研发与测试阶段联动 一键联动雳鉴SAST和雳鉴IAST,在研发阶段和测试阶段针对雳鉴STAC平台提出的威胁与安全需求进行高准确性的自动化验证,做到真正的自动化闭环。 业务价值 查看详情

雳鉴STAC威胁建模分析系统-用户案例

2024-06-24 17:14:21

国内某大型券商 客户情况: 该客户成立于1999年,是中国证券行业长期、持续、全面领先的综合金融服务商。作为证券行业的核心企业,极具行业特性,产品体量十分庞大, 该客户一直以来对我司产品十分信赖,双方有密切的业务合作。与客户深度交流后,我们了解到客户的项目团队缺少安全人员,安全需求完全依靠 各个核心团队成员的研发经验、测试经验得出。不同项目组之间没有统一的安全需求标准,也无法互通沉淀知识库。 规划思路: 准备阶段: 1.完成项目规划和启动 2.完成项目采购相关工作 3.完成双方需求明确 部署调研阶段: 1.完成STAC部署 2.安全管理访谈、开发安全访谈、安全工具访谈 培训&文件编写: 1.SDL开发安全培训(安全意识,安全需求等) 2.开发安全管理制度建设、开发安全规范建设、开发安全管理细则建设 项目试点: 1.投行簿记 2.电子商务网站 3.移动中台项目试点 验收阶段: 1.通过上线验收,完成相关的验收文档并交付 2.完成项目结项报告,总结会 产品效果: 通过专家服务+产品的方式,搭建覆盖全业务场景的知识库,统一安全需求、安全设计标准,实现了安全需求的标准化、自动化输出; 安全从需求分析阶段开始介入,提早发现并解决安全漏洞问题,防止业务系统带病上线带来损失。对于发现的漏洞或缺陷,记入知识库进行沉淀; 完善了开发安全相关标准、管理制度、规范等,通过工具使用、开发安全技术等培训提升了项目经理、研发、测试的安全意识和安全能力。 查看详情

雳鉴STAC威胁建模分析系统-产品介绍

2024-06-24 17:14:20

适用于:Linux 商品简介:专注解决需求与设计阶段的安全问题,分析项目场景与软件架构,自动化识别可能存在的威胁,提出安全需求。在设计之初就考虑安全问题,以最小成本解决安全风险,为软件植入“先天的”安全基因。 商品亮点: 威胁闭环管理,沉淀安全架构,研发与测试阶段联动 商品说明 版本: V1.0 交付方式: 镜像 适用于: Linux 上架日期: 2022-06-27 02:25:13.0 产品架构图 产品功能图 功能特色: 问卷式场景与架构调研 以问卷形式对项目中涉及到的合规要求、需求场景、设计架构、中间件、对外暴露面、系统重要级别等信息进行调研,为后 续威胁分析和安全需求提供输入。 场景化威胁分析 对项目所涉及的业务场景进行多维度威胁评估,输出安全威胁模型、安全需求建议、需求落地方案、需求验证方案等一系列 解决方法,完成从威胁发现到需求验证的闭环流程。 自定义威胁管理 针对用户的特殊场景,提供灵活的场景、威胁、安全需求、落地方案的自定义功能,让平台可由用户手动扩展和定义,使平 台更加匹配企业自身业务。 产品优势: 威胁闭环管理 用户可跟踪威胁的处理流程,从威胁提出到安全需求验证,提供威胁的全流程闭环管理。 沉淀安全架构 项目安全分析可视化呈现,自动化挖掘项目之间同类潜在威胁和安全需求,将公共威胁抽象为顶层安全架构设计,不断沉淀 企业自身的安全架构。 研发与测试阶段联动 一键联动雳鉴SAST和雳鉴IAST,在研发阶段和测试阶段针对雳鉴STAC平台提出的威胁与安全需求进行高准确性的自动化验 证,做到真正的自动化闭环。 业务价值 查看详情

巡哨漏洞扫描器系统-用户案例

2024-06-24 17:14:18

某企业 巡哨项目 客户简介 该客户是国内某大型企业。 业务挑战 客户的IT资产非常庞大,目前安全扫描频率是每季度一次或者每半年一次,扫描仅仅是聚焦在系统漏洞和Web漏洞检测这两块,而针对资产的上线下线和更新无法做到有效的稽核管理。传统的安全扫描工具大多以版本扫描为主,安全 漏洞扫描 结果误报高,浪费了大量的安全人力;同时,也无法检测“代码泄露”、”账户泄露“ 等由于内部员工安全意识缺乏而造成敏感信息外泄的安全风险。 解决方案 系统以旁路的方式接入企业网络,依据已知资产特征,进行全网资产侦测,自动识别内外网全量资产,同时进行高频度的资产状态监测。依据资产更新状态,采用周期性全量扫描+被动式增量扫描的方式,帮助企业自动化梳理网络资产,基于业务视角对资产进行可视化管理,将安全风险与资产进行深度关联,建立完善的资产以及漏洞生命周期管理流程。 方案价值 针对企业面临的业务挑战,实施有效的资产以及漏洞生命周期管理解决方案,帮助企业落地资产以及漏洞生命周期管理流程。 客户反馈 通过全网资产侦测,有效的帮助我们发现很多未知的资产,并最终为这些资产找到了对应的负责人。通过周期全量扫描+被动增量扫描的方式,有效的解决我们IT资产量大,扫描效率低的问题。采用资产管理与漏洞管理相结合的方式,提升了我们安全管理的整体效率和企业整体的安全状况。 查看详情

巡哨漏洞扫描器系统-产品介绍

2024-06-24 17:14:17

适用于:Linux 商品简介:巡哨是默安科技自主研发的一款智能资产风险监控系统,从攻击者视角帮助企业发现未知资产,通过漏洞风险、高危服务等多维度持续监控内外网及云上云下资产。 商品亮点:智能梳理已知与未知资产,主被动资产发现并自动进行梳理,对未知网络的主动探测,对已知网络的被动发现。,全面监控资产安全风险,2000+应用漏洞检测策略、1000+第三方组件、17W+合规风险漏洞信息,建立常态化安全运营,最新高危安全漏洞及时应急响应、帮助企业实时量化威胁,与资产&漏洞管理平台集成,全面开放API,可与企业CMDB、S CCM 等资产管理平台集成 商品说明 版本: V1.0 交付方式: 镜像 适用于: Linux 上架日期: 2022-10-25 07:45:07.0 产品体系架构 巡哨主要由资产管理、风险管理、巡检监控三个核心功能组成,在此基础上延伸出可视化资产风险监控分析、监控及系统配置管理、偏向工具化的快速扫描任务、OpenAPI对接等功能模块。 4.产品功能 4.1资产管理模块 资产管理模块包含资产导入、资产管理、自定义资产检测三个子模块。 资产导入:支持IP/IP段/URL/ 域名 三种方式将已知资产录入,并可人为标记所属分组、负责人、标签。 资产管理:根据用户导入的资产(IP/域名/URL)自动发现相关联资产,定期进行资产更新监控,并提供搜索、统计、报表导出等辅助功能。 自定义资产检测:对关注资产临时发起检测行为,观察资产变动情况,包括是否发现新资产、资产存活情况、最新端口开放情况等。 4.2资产管理模块 扫描后的漏洞与资产进行自动关联,使资产风险可视化,帮助企业及时发现风险及管理。支持漏洞流程管理,针对漏洞进行忽略,确认以及重新检测等操作。查看漏洞详情、修复建议及支持漏洞分享,帮助企业及时加固。 全天候监控最新安全事件,实时更新漏洞检测规则,根据匹配到的资产属性进行漏洞专项扫描,第一时间帮助企业分析最新安全漏洞造成的威胁影响,提升资产漏洞扫描的效率,降低因安全漏洞引起的业务风险。 4.3巡检监控模块 巡检监控模块包括资产扫描巡检、漏洞扫描巡检、风险监测巡检三个子模块,并支持策略设置和监控周期、检测时间设置。 4.3.1资产扫描巡检 自动发现关联资产、企业边界资产,并持续更新资产状态。可按照每天/周/月/自定义方式进行巡检,支持对子域名和多级域名的发现。 4.3.2应用漏洞扫描巡检 对企业资产可能存在的漏洞进行深度检测,漏洞扫描结果可自动与资产进行关联: WEB脆弱性检测类型覆盖了Owasp top 10、WASC等主要标准定义的漏洞类型,包括但不限于:信息泄露、配置安全隐患、SQL注入漏洞、XSS注入漏洞、XPATH注入漏洞、HPP漏洞、HTTP响应分割等常规漏洞以及各种系统漏洞、协议漏洞、Web应用漏洞、网站框架类漏洞等通用漏洞,如 建站 服务器、内容管理系统、网页编辑系统、电子邮件系统、办公自动化系统漏洞、建站语言漏洞等。 4.3.3系统漏洞扫描巡检 巡哨所支持的系统漏洞检测类型包括但不限于:远程缓冲区溢出漏洞、堆栈缓冲区溢出漏洞、远程拒绝服务攻击漏洞、特定函数拒绝服务漏洞、未授权访问漏洞、安全限制绕过漏洞、任意命令执行漏洞、远程代码执行漏洞等。 4.3.4各类0day/1day漏洞检测 支持0day/1day漏洞检测,依托于资产识别引擎及漏洞检测引擎,对漏洞进行精准定位和响应,实现高危漏洞的应急响应。 4.3.5风险监测巡检 风险监测所支持的检测内容包括但不限于: l github代码泄露监测,对企业关键信息进行外部资产风险监测; l 网站内容合规监测,对违规或篡改网站进行风险通知; l 网站运行状况、响应时间等的可用性监测。 4.4可视化管理模块 将平台中散乱的资产、风险等数据进行收集处理,对抽象的资产和系统数据进行可视化呈现,并对其进行安全监测,将关键信息以图表的形式展现出来,表现于多样化的扫描报告、安全日报、可视化大屏等,以帮助企业快速掌握当前现状,及对后期的业务调整进行支撑。 4.5配置管理模块 配置管理模块包括监控配置、通用配置、系统配置三个子模块。 对资产扫描、漏洞扫描、风险监测进行扫描策略配置、周期配置、检测时间配置,添加不进行漏洞扫描的资产白名单。 系统配置项中主要包括对操作记录进行存储/管理/查询的审计管理,及设备管理、版本管理等 。 4.6快速扫描模块 快速扫描模块,进行一次性的漏洞扫描任务,以满足 渗透测试 ⼈员在⽇常⼯作中灵活、便捷化的需求。 创建快速扫描任务,输入自定义资产(IP/IP:port/域名/URL)进行检测,输出检测结果,资产及漏扫结果均不与巡哨当前巡检/自定义扫描数据耦合。 4.7 openAPI开放 Open API是针对企业提供的关键功能接口,便于企业与内部已有平台进行对接。Open API 遵循RESTful规范,开发者文档包含接口规范、接口描述、测试用例。同时提供在线培训、联调测试、接口升级等技术支持。 5.关键技术 5.1智能资产发现与关联 巡哨系统内置资产学习模型,根据用户提供的已知资产,从攻击者视角出发,通过巡哨特有的资产发现方式,上下游接口、搜索引擎、动态爬虫等手段及时发现未知资产。此外巡哨内置DNS接口,可以反向解析出IP地址下的所有子域名,再通过机器学习模型分析资产间所存在的关联,建立企业资产模型,自动发现关联资产、企业边界资产,并持续更新资产状态。 5.2资产指纹分析 巡哨内置2w+条指纹信息,涵盖WEB容器、应用、开发框架、 数据库 识别、操作系统等,共计31大类,15000+规则,方便企业快速“摸清家底”,统计资产类型、覆盖范围获取详细资产列表。 5.3风险检测引擎 WEB漏洞检测和系统漏洞检测是业界主流漏洞扫描技术,WEB漏洞主要针对WEB应用业务进行漏洞扫描,系统漏洞主要针对底层操作系统、协议实现等进行漏洞扫描。 5.4各类型功能插件 巡哨各项扫描功能采用插件模式,实现功能松耦合,每项功能由各类子插件来实现,例如弱口令漏洞扫描包含mysql弱口令检测插件、ssh弱口令检测插件等。扫描引擎端主要插件包括但不限于: 6.部署场景 6.1小规模单机部署 小规模网络下单机部署资产风险监测系统的 私有云 产品,完成全部网络的安全检查,是传统使用方法。资产风险监测系统可以部署应用在小规模网络安全运维环境中,通过简单部署即可全面检查业务系统的各种安全脆弱性问题。 6.2中规模多业务子网部署 对于中等规模企业,虽然网络规模不是很大,但一般会划分为多个业务子网,不同子网对应着不同的区域,多机部署方案适应于企业多区域保护从而实现全网的保护,监控节点分布在不同的网络环境中,资产风险监测系统云端统一管理。 6.3大规模跨地区分布式部署 在大型企业中,通常是大规模跨地区的网络,资产风险监测系统分布式部署在各地区,在总部云端进行集中管理,集群部署方案适应于企业多地区保护从而实现全网的保护,监控节点分布在不同地区的网络环境中,资产风险监测系统云端统一管理。 6.4混合云的 虚拟化 部署 实现公网及VPC私网资产发现与漏洞监测,探测网络空间中的Web类和主机类资产,一个B端3小时发现65535个IP漏洞扫描速度:平均800请求/min,请求数和监控时间段可设置,不影响业务。 7.客户价值及应用场景 巡哨能够帮助企业自动化运维IT资产及风险,根据企业的已知资产自动、快速、准确检测发现企业的未知资产及所有资产的漏洞,全面分析企业所公开的业务/服务/应用、数据等情况,实时监控企业暴露在外的服务和资产的变化。帮助企业更快速、更全面、更智能地管理企业的IT资产和资产安全风险。 7.1全天候资产巡检与发现 通过资产发现与智能化资产梳理,完成对未知网络的主动探测,已知网络的被动发现。实现全天候资产自动探测,发现边缘资产,帮助企业完成风险量化、资产可视化,建立常态化的安全运营。同时对资产拓扑、资产生命周期闭环、新增资产、端口更新、服务变更等等信息进行多维度展示。 7.2准确、全方位量化安全风险 通过攻击者视角对网络系统中多个方面的安全脆弱性统一进行分析和风险评估,以资产对象、资产属性、事件对象、漏洞库等信息进行联动后输出暴露在外的安全风险,综合加权后输出风险量化指标。 7.3 0day/1day 通过攻击者视角对网络系统中多个方面的安全脆弱性统一进行分析和风险评估,以资产对象、资产属性、事件对象、漏洞库等信息进行联动后输出暴露在外的安全风险,综合加权后输出风险量化指标。 查看详情

雳鉴IAST交互式应用安全检测系统-用户案例

2024-06-24 17:14:16

某物联网公司 背景介绍 该上市公司是一家专注于健康饮食电器研发、生产和销售的物联网企业。 公司技术架构比较简单,含研发部门、网络部门,研发部门主要是面向公司小家电的嵌入式、智能化软件开发工作。网络部门含安全团队,安全团队负责公司内部的整体网络安全建设项目,包括开发安全这块。 2018年5月,公司发起项目需求,要将研发过程的安全规范做起来。我们了解到在这么大的一家上市企业里,研发团队在测试开发的安全检查中是没有任何规范的技术手段和流程去保证项目的安全性的,包括渗透测试这样的基础服务都没有做过。 4.1.2需求分析 物联网时代小家电业务与日俱增 随着时代的变革,小家电已经成为物联网时代的家电独角兽,成为人们生活中的一部分,小家电也越来越智能。该公司作为国内主流品牌,业务量与日俱增。小家电的安全工作并不像企业网络、门户网站等关键基础设施的如此大,更多的是在安全开发过程中去解决,就能规避绝大多数的安全隐患。因此软件开发安全作为物联网企业最重要环节之一,也是开发过程的安全规范中重点工作。 缺乏安全测试流程和规范 研发团队在业务自查中存在规范的安全测试及验证流程,但仅靠安全人员的参与在落地中存在一定的困难。需要一套流程化的平台帮助研发去规范安全测试环境,提高安全测试的效率,减轻研发和安全团队的工作压力。  查出安全问题 安全部门更希望通过一套机制能在开发过程中查出安全漏洞和一些安全问题,杜绝业务带病上线。之前没有任何流程和工具来提供有效的保证。 4.1.3项目概述 应用场景:研发部门业务自查(智能化软件) 采购数量:1套IAST 使用部门:研发部门、网络部门 4.1.4解决方案 通过IAST在开发测试环节中建立安全测试环节,取代了人工渗透环节,帮助该公司在开发过程中快速发现漏洞、查出安全问题,做到漏洞0误报,降低了安全技术的门槛,做到软件安全真正自主可控。 建立了一套研发过程的安全规范,有效的在工作环节形成安全闭环,满足了研发团队业务安全自查需求,达到该公司真实业务需要。 技术支持快速响应,在安全测试环节,技术团队的安全服务非常到位,出现问题第一时间响应,得到开发部门及安全部门的认可。 某电力科技公司 4.2.1背景介绍 该电力科技公司是一家面向电力系统提供专业的电力行业信息化及通信应用解决方案、产品和服务的综合企业。公司服务行业涵盖电网、电厂、金融等多个行业。 公司含研发体系含2大事业部,GP事业部和EC事业部下面分别又有研发部门,例:GP事业部下面有5个研发部门,每个部门100人左右。 如此规模的研发团队里,之前在测试开发的安全检查过程中是没有任何规范的技术手段和流程去保证项目的安全性的。只有员工私自用了Appscan,但因为非官方,也没有花钱,在检测结果上没有什么效果。 4.2.2需求分析 交付项目安全要求高 该电力科技公司的项目主要面向电力类能源行业,这几年业务猛增,由于能源属于国家关键信息基础设施之一,这些上线的业务一旦发生网络安全事件,会直接影响行业的正常运行,对国家经济、社会等造成严重损失。信息安全在能源行业的监管和合规要求上,非常高。软件开发安全是信息安全的重要环节之一,也是业务上线前必要的一环,该企业面临的安全责任也与日俱增。 缺乏安全测试工具和规范 研发团队存在大量的安全测试及验证需求,但安全技术的要求门槛高,以往在开发工作和教育体系缺乏在开发安全方面的知识,导致安全在开发环节存在一定的困难,需要一套流程化的工具能降低安全测试的门槛,有效帮助研发团队自主的落地安全测试工作,减轻开发人员的工作压力。 查出安全问题 安全部门更希望通过一套机制能在开发过程中查出安全漏洞和一些安全问题,杜绝业务带病上线。之前没有任何流程和工具来提供有效的保证。 4.2.3项目概述 应用场景:研发部门业务自查 采购数量:2套IAST 使用部门:GP事业部和EC事业部 4.3.4解决方案 通过IAST在开发测试环节中建立安全测试环节,有效的在工作环节形成安全闭环,满足了研发团队自主安全测试需求,降低安全技术规范的合规门槛,得到开发部门及安全部门的认可。 降低了安全测试的难度,通过IAST就能快速的发现漏洞、定位安全风险,细化了安全部和各研发团队的安全分工,节约了人力成本和沟通成本,提高了工作效率。 实现了安全测试的广泛度,实测漏洞0误报及安全风险的可视化,实际解决了很多安全问题,获得了客户的一致认可。 查看详情

雳鉴IAST交互式应用安全检测系统-产品介绍

2024-06-24 17:14:16

适用于:Linux 商品简介:默安科技雳鉴交互式应用安全检测系统(以下简称“雳鉴IAST”),专注解决软件安全开发流程(SDL)中测试阶段的应用安全问题 商品亮点: 零成本对接测试流程 ,创新的交互式检测方案 ,真正覆盖全业务场景,代码级漏洞详情信息 ,全面的风险检测能力 商品说明 版本: V1.0 交付方式: License 适用于: Linux 上架日期: 2022-11-18 09:01:17.0 默安科技雳鉴IAST系统是默安科技自主知识产权的安全产品,雳鉴 IAST 使用基于请求和基于代码数据流两种技术的融合架构,采用被 Gartner 评为十大信息安全技术之一的 IAST 技术,融合了SAST和DAST的优点,能够做到检出率极高,误报率极低,同时可定位到API接口和代码片段,在测试阶段无缝集成,既可高准确性的检测应用自身安全风险,也可检测第三方组件及其漏洞,实时告警响应,对安全漏洞的准确定位,为客户系统上线前做到强有力的安全保障。 2.1产品组成与结构 雳鉴IAST是一款在业务上线前应用的安全测试工具。用户只需在雳鉴IAST的管理界面配置需要检测的项目,雳鉴IAST会通过多种流量收集方式,将请求流量数据或代码数据流信息复制到存储中心,检测集群自动全面的检测存储中心存储的请求流量数据,并快速生成漏洞报表,提供专业修复方案。雳鉴主要包括项目管理模块、漏洞管理模块、漏洞检测模块、流量及插桩收集模块、软件成分分析模块、系统管理模块,第三方插件等模块组成。 2.1.1项目管理模块 项目管理模块可以对每个项目进行隔离,支持安全软件开发流程管理,包括单个项目的整体安全情况,保证产品上线前的安全质量,关注安全漏洞的收敛情况,同时可反映产品迭代过程中安全问题的爆发和修复趋势。 2.1.2漏洞管理模块 漏洞管理模块提供对漏洞生命周期的全流程管理,包括漏洞的自动发现,漏洞详情,漏洞分享,漏洞演示及编辑、漏洞重新检测、漏洞数据分析可视化呈现。 2.1.3插桩收集模块 雳鉴IAST插桩收集模块为被动式安全测试(Passive IAST)技术和主动式安全测试(Active IAST)技术联动检测。目前支持Java、Golang、.NET framework、.NET core、Node.js、Python和PHP七种代码语言。 2.1.4流量收集模块 2.1.4.1代理模块 代理模块主要功能包括移动端代理、PC端代理以及两种模式接入HTTP和HTTPS流量进行安全检测,PC端代理支持浏览器插件设置代理,通过一键挂/取消代理带来便捷,移动端通过网络设置或者默安科技提供的第三方软件,接入HTTP和HTTPS流量进行安全测试。对用户来说完全透明,开发测试人员挂代理之后,只需要正常进行功能测试,雳鉴代理模块抓取流量自动进行安全测试。 2.1.4.2 VPN模块 VPN模块主要针对移动端安全测试的流量接入,移动端通过自带的VPN功能,将VPN拨到雳鉴的IP上即可接入HTTP和HTTPS流量,同时也可自行安装第三方VPN软件来简化操作。对用户来说完全透明,开发测试人员拨VPN之后,只需要正常进行功能测试,雳鉴代理模块抓取流量自动进行安全测试。 2.1.4.3 流量信使模块 流量信使模块主要针对PC端和移动端测试环境复杂的情况下,通过将默安科技提供的流量收集Agent部署到业务服务器上,通过嗅探的方式获取HTTP流量进行安全检测。真正做到对测试人员完全无感知,去除额外配置工作,完全不改变测试人员工作流程。 2.1.4.4 流量镜像模块 流量镜像模块主要针对测试机器数量很多的情况下,对测试环境交换机流量镜像进行接入,将位于交换机源端口的数据流量转发到位于雳鉴机器的镜像端口,雳鉴机器再对HTTP请求还原进行安全检测。真正做到对测试人员完全无感知,完全不改变测试人员工作流程。 2.1.4.5 日志导入模块 日志导入模块主要针对企业有自建完善的日志平台,记录了完整的WEB日志的情况下,雳鉴可以提供日志导入接口,企业通过将日志平台中的日志,按照约定的格式,导入到雳鉴的Kafka接口即可, 日志分析 模块会提取日志中的Header头,Cookie,User-Agent,Body等元素,基于HTTP协议将日志进行重组,还原出原始请求来进行安全测试。通过将日志平台中记录的丰富的访问日志,功能测试日志,用户行为日志等转换为安全测试请求,可达到接口最大覆盖面,优化扫描效果。 2.1.5漏洞检测模块 漏洞检测模块可支持SQL注入,XSS,个人隐私泄露等百余种常见通用漏洞检测,同时支持700多种第三方组件漏洞检测。同时可对录入的请求COOKIE有效性进行自动判断,对于过期的登录凭据进行替换,保证安全测试的有效性,全面覆盖高中低危常见漏洞,支持逻辑漏洞检测,包括水平越权漏洞、垂直越权漏洞、验证码相关漏洞、用户枚举漏洞等,通过对流量的权限进行区分,将用户录入的请求分为不同的权限等级,标记权限后开始自动进行逻辑漏洞检测。漏洞检测模块同时支持常见第三方框架和组件的安全测试,支持对WEB和APP服务端进行安全测试。 2.1.6软件成分分析模块 雳鉴IAST软件成分分析模块基于插桩Agent,分析获取项目中所有引用到的第三方组件,将软件成分数据回传到服务端,软件成分风险分析引擎,对第三方组件的版本风险,安全漏洞分析, 开源 许可证风险进行评估,并可视化展示。 2.1.7镜像扫描模块 雳鉴IAST镜像扫描模块支持新建镜像仓库地址对仓库进行扫描,支持harborapiV1.x、harborapiV2.x、jfrog apiV2.x等多种API版本。支持与jenkins进行相互配合,可在jenkins构建镜像、pipeline过程中进行镜像安全扫描。 2.1.8第三方集成模块 2.1.8.1 Jenkins集成 Jenkins是当今使用最常用的开源持续集成(CI)工具之一,用于DevOps流程中,开发团队可以使用Jenkins完成整个自动化管理构建过程。雳鉴IAST提供Jenkins插件与Jenkins CI项目集成,在DveOps流程中加入安全测试,形成DevSecOps方案。雳鉴IAST通过与Jenkins pipeline工作流框架的集成,将自动化安全测试融入到pipeline测试流程中,实现DevSecOps目标。 2.1.8.2 JIRA集成 JIRA是当前企业常用的bug管理平台,雳鉴IAST支持JIRA的一键同步,即可将雳鉴IAST发现的漏洞一键导入到JIRA平台,实现漏洞持续跟踪管理,将漏洞跟踪与企业工作流对接,形成漏洞闭环管理。 2.1.8.3禅道集成 禅道是是第一款国产的开源项目管理软件,雳鉴IAST支持禅道的一键同步,即可将雳鉴IAST发现的漏洞一键导入到禅道平台,实现漏洞持续跟踪管理,将漏洞跟踪与企业工作流对接,形成漏洞闭环管理。 2.1.9储存模块 雳鉴IAST存储中心主要负责存储用户配置的项目中所有的请求流量数据和漏洞检测结果等数据。所有经由代理、VPN、Web日志、流量信使Agent、流量镜像、插桩Agent等收集到的任务请求流量和代码数据流信息,经过有效处理后被保存至存储中心。同时,扫描引擎对请求进行检测的过程中所产生的临时数据也保存在存储中心,用于保存扫描状态。 2.1.10系统管理模块 系统管理模块包括账号管理、报表管理、黑白名单管理、日志审计、系统监测及配置、网络检测、系统升级,邮件通知、规则列表、漏洞类型、自定义设置、帮助中心等功能。 查看详情

云迁移服务-服务支持

2024-06-24 17:14:09

售后服务时间:周一到周五9:00-18:00 售后服务内容:在客户购买 云迁移 服务之前,将由客服进行初步沟通。电话:021-50653160转220。服务时间:周一至周五 9:00-18:00 在客户购买了云 迁移服务 之后,将由项目经理及技术人员组成团队,提供7*24小时的专属售后服务。 服务热线:021-50653160-220 服务邮箱:support@jiagouyun.com 使用指南: 云 迁移 使用指南.docx 下载 查看商品详情 立即下载

云迁移服务-用户案例

2024-06-24 17:14:09

上海某大学 学校原教务系统部署在本地 IDC 机房,规格配置较高,每到新学期学生集中选课时,系统就会面临较大压力,经常出现宕机情况,而日常 资源使用率又较低,造成较大的资源浪费。在安全层面,系统经常遭到黑客攻击。我们仅用5 天时间,将本地教务 系统迁移上云 ,面对学 生集中选课,使用 弹性伸缩 自动挂载 负载均衡 ,同时后端挂载4台 ECS 应用,平均负载压力,全自动提高业务响应能力。另外,前端部署 WAF 防御黑客攻击,安全性显著提升。客户的使用体验明显提升,满意率提高39%。 查看详情

云迁移服务-产品介绍

2024-06-24 17:14:08

适用于:Windows/Linux/Unix 商品简介:提供业界高可靠的云迁移专家服务,拥有各类专业迁移工具,提供标准化及安全的迁移上云解决方案;帮助客户将业务迁移部署到全球任何一个云平台。 交付时间以实际项目为准。 商品亮点:迁移的项目总数超过200个,服务器总数超过10000台, 数据实例 超过1000个,数据总量超过10PB,迁移前进行环境调研、可行性评估、设计方案,迁移预演,有效避免迁移过程中可能存在的问题,迁移后的业务数据复核以及系统割接,团 队具备整套完整的迁移服务计划方案,多年的云迁移经验技术沉淀,合理评估迁移成本,并可提供相关优化建议,在迁移过程中降本增效,拥有超过10年迁移经验的专家团队,涵盖计算、网络、安全、存储、中间件、 大数据 等各个专业领域 商品说明 版本: V1.0 交付方式: 人工服务 适用于: Windows/Linux/Unix 上架日期: 2024-06-17 07:18:36.0 查看详情

数字孪生解决方案-服务支持

2024-06-24 17:14:08

售后服务时间:周一到周五9:00-18:00 售后服务内容:在客户购买数字孪生解决方案之前,将由客服进行初步沟通。电话:021-50653160转220。服务时间:周一至周五 9:00-18:00 。在客户购买了数字孪生解决方案之后,将由项目经理及技术人员组成团队,提供专属售后服务。 服务热线:021-50653160 服务邮箱:support@jiagouyun.com 使用指南: 使用指南a1.docx 下载 查看商品详情 立即下载

数字孪生解决方案-用户案例

2024-06-24 17:14:08

某城市大脑 综合呈现了某城市政务、环保、交通、安全、医疗,构建整个城市的数据镜像,使得城市管理在数据层面可感知可触摸。展现了城市运行整体水平和遇到的问题,通过可视化手段对城市的日常运行实时监控,对城市事件可感知可操作,帮助城市管理者实时掌握城市宏观数据,辅助发展决策。 查看详情

共16153条

为您推荐

L实例 在线语音转文字 通用文字识别 对象存储OBS IoT全栈云服务 安全合规服务 文字语音识别 OCR图片文字识别 扫描图片识别文字 录音转文字