01執(zhí)行概要

基于Web的技術(shù)和云服務(wù)正在迅速發(fā)展，相伴而來(lái)的是安全責(zé)任的轉(zhuǎn)移。企業(yè)與個(gè)人越來(lái)越倚重應(yīng)用開(kāi)發(fā)團(tuán)隊(duì)來(lái)保護(hù)數(shù)據(jù)和隱私安全。

作為3D建模、仿真、協(xié)作、創(chuàng)新和業(yè)務(wù)智能軟件的全球領(lǐng)先者，3DEXPERIENCE質(zhì)量管理體系(QMS)中整合了安全標(biāo)準(zhǔn)的驗(yàn)證和核實(shí)，平臺(tái)的信息安全策略基于行業(yè)領(lǐng)先的業(yè)務(wù)實(shí)踐和OWASP、NIST和ISO標(biāo)準(zhǔn),通過(guò)安全軟件開(kāi)發(fā)生命周期（安全SDLC）落實(shí)多因子身份認(rèn)證 (MFA)、審計(jì)追蹤、加密等必備控制措施，不僅能為開(kāi)發(fā)商確立最佳實(shí)踐、需求、測(cè)試和其他工具，還能幫助了解企業(yè)軟件和IT系統(tǒng)內(nèi)的薄弱環(huán)節(jié)并予以防范。

• OWASP: 開(kāi)放Web應(yīng)用安全項(xiàng)目

• NIST：國(guó)家標(biāo)準(zhǔn)技術(shù)研究院

• ISO/IEC：國(guó)際標(biāo)準(zhǔn)化組織和國(guó)際電工委員會(huì)

以下將介紹構(gòu)成3DEXPERIENCE平臺(tái)應(yīng)用安全方案的指南、流程、工具和控制措施。

02應(yīng)用安全方案的五大支柱

通過(guò)正式的管理戰(zhàn)略，即3DEXPERIENCE平臺(tái)應(yīng)用安全方案，落實(shí)了OWASP、NIST、ISO/IEC和其他組織認(rèn)可的安全實(shí)踐，并追加了我們自定的規(guī)程。

以行業(yè)標(biāo)準(zhǔn)、安全SDLC流程和持續(xù)改進(jìn)為基礎(chǔ)，3DEXPERIENCE平臺(tái)應(yīng)用安全方案由五大支柱構(gòu)成：

支柱1：培訓(xùn)與安全文化

作為達(dá)索系統(tǒng)入職流程的一個(gè)環(huán)節(jié)，全體員工都需要接受行為準(zhǔn)則、安全和合規(guī)規(guī)定與持續(xù)改進(jìn)準(zhǔn)則的培訓(xùn)。達(dá)索系統(tǒng)為全體員工持續(xù)推行的意識(shí)培養(yǎng)與溝通計(jì)劃，可幫助全體員工適應(yīng)不斷變化的安全環(huán)境。此外，我們也積極與各地區(qū)的本地OWASP分會(huì)協(xié)作，深入交流當(dāng)前的最新風(fēng)險(xiǎn)緩解戰(zhàn)略。

支柱2：安全需求與安全設(shè)計(jì)

從需求階段起直至部署階段和維護(hù)階段，安全控制措施嵌入在整個(gè)SDLC中。安全規(guī)范從一開(kāi)始就確定為軟件開(kāi)發(fā)項(xiàng)目的組成部分。平臺(tái)在保密性、完整性和可用性(CIA)模型，也就是所謂的CIA三要素基礎(chǔ)上建立我們的信息安全流程與控制。

支柱3：實(shí)施安全控制措施

根據(jù)NIST 800-53號(hào)特刊和ISO/IEC 27001的標(biāo)準(zhǔn)交付關(guān)鍵的安全功能，包括鑒權(quán)、訪問(wèn)控制、加密、注入檢測(cè)與防范、審計(jì)和服務(wù)器硬化。

3DEXPERIENCE平臺(tái)提供的主要安全控制包括：鑒權(quán)；基于角色的訪問(wèn)控制；加密；監(jiān)控與審計(jì)；基礎(chǔ)設(shè)施安全。

支柱4：驗(yàn)證安全控制措施

在部署前首先驗(yàn)證軟件，以免引出新的安全隱患或削弱現(xiàn)有的安全控制。經(jīng)過(guò)運(yùn)行的多次模擬，測(cè)試功能和安全措施的質(zhì)量。主要的應(yīng)用安全分析工具包括：靜態(tài)應(yīng)用安全測(cè)試(SAST)；動(dòng)態(tài)應(yīng)用安全測(cè)試(DAST)；手動(dòng)滲透測(cè)試；跨部門(mén)質(zhì)量保障測(cè)試。

支柱5：第三方安全審計(jì)與滲透測(cè)試

達(dá)索系統(tǒng)聘請(qǐng)通過(guò)了行業(yè)頂級(jí)安全認(rèn)證的獨(dú)立機(jī)構(gòu)，開(kāi)展綜合全面的審計(jì)和滲透測(cè)試。這些保密合作方被允許訪問(wèn)后臺(tái)源代碼和端到端通信，以便用透明的白盒方法測(cè)試平臺(tái)直至其內(nèi)部結(jié)構(gòu) ；每年安排多次隨機(jī)測(cè)試和定期測(cè)試（基本上每次向客戶發(fā)布服務(wù)包時(shí)會(huì)測(cè)試一次），以支持服務(wù)持續(xù)交付戰(zhàn)略。

03結(jié)論

對(duì)當(dāng)今任何連接互聯(lián)網(wǎng)的應(yīng)用，安全的重要性絕對(duì)不容置疑。OWASP、NIST和ISO等獨(dú)立機(jī)構(gòu)提供的安全行業(yè)最佳實(shí)踐構(gòu)成我們防御體系的基礎(chǔ)。通過(guò)培訓(xùn)、設(shè)計(jì)需求、實(shí)施安全控制措施、驗(yàn)證安全控制措施和第三方審計(jì)與滲透測(cè)試，這些準(zhǔn)則和框架被系統(tǒng)性地應(yīng)用到我們的安全SDLC。

3DEXPERIENCE平臺(tái)應(yīng)用安全方案可系統(tǒng)性地緩解現(xiàn)有和未來(lái)威脅造成的風(fēng)險(xiǎn)，保障數(shù)據(jù)安全，為客戶和用戶提供最高水平的保護(hù)。