360入选2022年度网络和数据安全优秀案例!
2023-03-09
近日,中国软件评测中心正式发布2022年度网络和数据安全优秀案例评选结果。经过多轮严格评审,360集团凭借“APP全生命周期安全管理平台”成功入选移动互联网APP产品安全漏洞治理优秀案例。
随着数字化社会发展,作为办公和生活的数字化入口,移动应用承载的业务和数据越来越复杂。企业对移动应用的数据安全、业务安全等需求也越来越迫切。
面对日益增多的移动业务,传统安全审计流程逐渐显露出一些不足:一方面,传统安全审计主要靠人力堆砌,导致安全审计速度远跟不上业务发版速度。另一方面,开发人员独立修复安全问题较困难,常需要专业安全人员指导,沟通成本较高。
360集团业务涵盖内部和各生态公司60余条业务线,涉及上百个APP的风险管理。360信息安全中心在深入分析移动APP实际承载业务和数据的安全风险基础上,制定了高效的安全开发和安全管控流程,整合三六零天御和漏洞云在移动应用全生命周期的安全服务能力和漏洞响应能力,从安全编码、安全加固、安全检测、安全运营及安全组件等多维度出发,打造了“APP全生命周期安全管理平台”(以下简称安全管理平台)。
安全管理平台基于DevSecOps将安全融入研发运维流程的核心理念,将安全自动化工具嵌入极库云研发效能平台,基于平台的流程化管理将安全融入APP全生命周期。
其中在开发和编译阶段,平台对应用源码进行扫描和加固管控,保证编译产物的安全性;
在安审测试阶段,平台对应用进行安全漏洞扫描和隐私合规检测,结合静态和动态的方式精准识别漏洞,捕获隐私风险行为;
在发布阶段,进行上线前的安全基线扫描,对相关风险告警进行自动化编排,并自动生成报告;
在安全运营阶段,平台一方面通过收录外部漏洞和威胁情报提升应急响应能力,另一方面通过海量设备监测和大数据安全分析,提升了安全能力,实时准确的威胁监测和响应。
安全管理平台依托360全网数字安全大脑的海量数据、核心安全知识库及专业安全团队等优势,能够帮助企业快速构建一套移动安全防护体系,具备精准识别APP客户端和云服务端的全面风险、有效发现攻击、实时监控和阻断的能力,降低了企业因移动应用安全而造成的业务风险和经济、声誉损失。
在漏洞治理方面,安全管理平台借助漏洞云优质的漏洞情报订阅服务、可控的安全众测/众包服务、及时的漏洞应急响应服务、高效的漏洞补丁推送服务,在降低资产风险的同时,大幅提升对漏洞感知、预警、分析等响应能力,从漏洞发现、响应到处置,全闭环的漏洞治理模式帮助最大限度降低漏洞威胁。
截至目前,安全管理平台已上线运行2年,成功应用于集团内部和各个子公司的APP产品安全管理,服务60余条业务线。源码编译阶段累计发现漏洞个数1000+;自动化扫描阶段累计次数1600+,累计告警个数1800+;运营阶段累计收录移动端漏洞700+;安全监测阶段风险管控设备50万+。安全管理平台降低了安全审核的人工成本,缩短业务发布周期,同时加速漏洞治理流程,推进了漏洞闭环处理,取得了显著的运营成果。