近日，由中国机械工业联合会、中国电力发展促进会网络安全专委会主办的2022中国能源信息与网络安全技术交流大会在贵阳顺利召开，大会期间同时举行了“闪电杯”能源行业网络安全实践案例与应用场景大赛颁奖典礼，默安科技凭借“某电网研发测试环境全生命周期SDL安全防护案例”荣获三等奖。

右一为默安科技代表

本次大会汇聚了政府主管部门、各能源企业、行业机构、科研院校和信息技术企业的领导和专家，着重探讨在当前技术背景和行业发展形势下，能源企业信息安全、网络安全的实践经验、政策趋势和技术方案。会上，默安科技SDL技术专家刘传兴就“某电网研发测试环境全生命周期SDL安全防护案例”进行了分享。

默安科技SDL技术专家 刘传兴

案例分享

近几年，以勒索病毒事件为例的各类电力行业网络安全事故频发，给企业带来了巨大的损失。除了这些“外患”，电力行业也面临着“内忧”，如系统漏洞、远程弱口令、钓鱼攻击、Web安全漏洞、数据库弱口令等，这些安全风险主要来源于应用，而常规安全测试手段不足、开源组件带来安全漏洞、安全研究流程自动化程度低等问题，往往让企业陷入危机之中。

针对以上安全问题，默安科技将安全左移理念充分嵌入某电网公司的研发测试环境中，提供体系建设咨询、陪伴式技术运营服务和全流程支撑工具，通过威胁建模分析、静态应用安全检测、软件成分分析、交互式应用安全检测、研发安全一体化管理等，将安全能力赋予开发测试的每个阶段，帮助某电网公司将应用安全开发流程从线下转移到线上自动化，提高开发过程中安全工作的效率与质量，解决应用开发流程中的安全问题。

图 默安科技SDL体系框架

最终，从试点项目到全面推广，默安科技为该公司建立起完善的应用全生命周期SDL体系，涵盖多个项目，发现两百多个漏洞，其中高危漏洞五十多个，更值得一提的是，这些系统大多数做过等保合规，可见合规只能算安全的及格线，要想做好应用安全，还是需要系统的落地安全开发。

图 默安科技SDL体系落地实践步骤

案例价值

本案例帮助某电网公司完善并落实其开发安全管理规范，提升企业成员安全意识及安全开发能力，高效闭环内部管理安全漏洞，有效降低安全风险，实现了自动化、高覆盖度和高频率的安全扫描和资产监控、推动该公司更好地进行数字化转型。同时由于该案例中方案具备全面性和灵活性，在节省成本的同时能够有效提升经济效益和安全效益，这对整个电力行业有着很好的示范和推广价值。

关于默安科技

默安科技从2017年开始打磨开发安全体系，目前已经拥有业内领先的完整DevSecOps方案，形成具备强大竞争力的产品矩阵，其中的SCA、IAST等核心能力获得国际权威机构Gartner和国内相关机构的多次认可，达到国际领先水准。在完整工具链的基础上，默安科技自研的安全一体化管理平台能够实现开发安全工具的一体化管理，打造坚实的“研发安全中台”；推出的“一站式”开发安全解决方案在提升安全开发成熟度方面能力卓越，受到能源、银行、证券、保险、运营商、交通、制造、IT等行业头部客户的认可。