客户介绍
某所,国家一类科研事业单位,也是新中国首个综合性电子技术研究所。
挑战与痛点
针对关键设备研制过程中日益突出的软件安全问题,客户需建立一套具备国产自主知识产权、覆盖从源代码到系统层的软件安全自动化测试体系。
解决方案
代码安全审计——从源头阻断缺陷
部署CodeSense源代码缺陷深度分析平台,针对装备软件中C/C++、Java等核心代码进行自动化静态分析,精准检测内存安全、并发缺陷、异常处理等深层次代码缺陷,将安全问题拦截在编码阶段。
代码成分分析——供应链安全可追溯
部署UniSCA软件成分分析平台,通过深度的软件成分分析,支持源码和二进制两个层面开源软件成分分析,识别和清点开源软件的组件及其构成和依赖关系,并识别已知的安全漏洞、许可证信息、代码相似性或者潜在的问题。
漏洞扫描——多维度纵深探测安全隐患
部署神眼资产脆弱性扫描系统,通过网络扫描技术对目标系统发起远程评估,识别其开放端口和服务信息,以及评估应用组件所暴露的漏洞风险。部署灵脉IAST灰盒WEB安全测试平台,提供智能攻防演练机器人系统,具备多种扫描引擎,包括第三方搜索引擎、人工智能引擎、测试引擎、仿真引擎和Javascript解析引擎等,能够支持操作系统、数据库、Web等漏洞扫描能力。
漏洞挖掘——自动化挖掘未知漏洞
部署PTFuzz协议模糊测试工具,可针对TCP/IP、UDP、FTP等常见网络协议以及串口、CAN、RIO、TSN等总线协议开展模糊测试,有效挖掘潜在漏洞。对于Web系统API,模块具备模糊测试能力,可自动化生成并执行大量随机测试来触发异常情况。
渗透测试——利用已知的漏洞自动化进行渗透测试
部署VackBot风险验证系统,VackBot从攻击者的视角出发,为客户提供持续性网络安全验证服务,通过在真实环境中模拟“黑客攻击技战术”动态生成攻击杀伤链,对用户网络进行真实的渗透攻击,逐项排查网络中的脆弱点。VackBot具备强大、持续性的验证能力,可以持续为用户网络提供多维度的专业评估。
一体化安全测试平台——打破工具孤岛
构建统一安全测试平台,将上述六项能力深度集成,实现:
- 统一调度:异构安全工具自动协同,消除手动切换与数据整合瓶颈;
- 流程编排:按需编排安全测试工作流,一键触发全流程自动化执行;
- 追溯闭环:打通“漏洞发现→验证确认→修复跟踪”的完整闭环,确保安全问题可追溯、可复盘、可问责。
客户价值
实现网络安全试验的全面覆盖
网络安全自动测试系统将以网络安全试验为牵引,确保系统能够全面覆盖网络安全试验的关键领域。系统将集成代码安全审计、代码成分分析、漏洞扫描、漏洞挖掘和渗透测试等核心功能,以满足装备研制过程中对网络安全性的全方位测试需求。通过这些功能,系统将能够识别和评估装备中潜在的安全风险,为网络安全性提供坚实的技术支撑。
构建一体化网络安全测试平台
构建一个一体化的网络安全测试平台,该平台能够统一调度和管理上述核心功能。通过一体化调度,系统将提高测试效率,减少测试准备时间,并确保测试流程的连贯性和一致性。此外,一体化平台将简化操作流程,降低操作复杂度,使网络安全测试更加高效和便捷。
支持装备研制过程中的网络安全试验要求
网络安全自动测试系统将专门设计以支持装备研制过程中的网络安全试验要求。系统将提供必要的测试工具和环境,以模拟实际运行条件下的网络安全威胁,确保装备在交付前能够达到预期的安全标准。通过这些试验,系统将帮助研制团队发现并修复安全漏洞,提高装备的整体安全性。
