NAV CANADA использует программу IBM Rational AppScan для обеспечения безопасности Web-приложений и их соответствия нормативным требованиям.
Задача
Чтобы подготовиться к появлению новых рисков и обеспечить безопасную передачу критичной для бизнеса информации между заинтересованными лицами внутри организации и клиентами авиакомпаний, корпорации NAV CANADA необходимо было внедрить новейшую технологию обеспечения безопасности Web-приложений.
Решение
NAV CANADA использует универсальное решение на базе IBM Rational® AppScan®, которое автоматизирует тестирование безопасности основных Web-приложений и проверку их соответствия нормативным требованиям, в то же время легко интегрируясь в жизненный цикл разработки ПО.
Преимущества
Оптимальные методы работы, например, регулярное сканирование и тестирование для выявления уязвимых участков на протяжении всего жизненного цикла разработки ПО, позволили корпорации NAV CANADA повысить уровень безопасности Web-приложений. Новая система была воспринята с большим энтузиазмом, и производительность труда специалистов, ответственных за разработку приложений, обеспечение безопасности и контроль качества, заметно возросла.
Описание проекта
Корпорация NAV CANADA предлагает услуги в сфере аэронавигации для гражданского воздушного транспорта Канады. Действуя по всей стране, она обеспечивает управление воздушным движением, предоставляет полетную и аэронавигационную информацию, сводки погоды и электронные средства навигации, а также поддерживает консультационные службы аэропортов. Обширная инфраструктура – 7 центров управления, 42 диспетчерские башни, 60 станций службы обеспечения полетов, 7 центров полетной информации и более 1000 наземных навигационных средств по всей стране – помогает NAV CANADA следить за безопасностью и рациональностью полетов. NAV CANADA все чаще использует технологию Web-порталов, чтобы консолидировать огромные объемы информации, связанной с воздушными путешествиями, для клиентов и сотрудников.
Безопасная работа в онлайновом режиме
Для координации обмена информацией между внутренними группами и заказчиками, корпорация NAV CANADA внедрила панель управления информацией для клиентов – авиакомпаний, авиадиспетчеров и руководства аэропортов – на базе технологии Web-портала. Портал NAV CANADA содержит несколько Web-приложений, позволяющих организации проводить важнейшую для ее бизнеса работу, например:
- отслеживать наземное передвижение воздушного транспорта в некоторых канадских аэропортах и анализировать наземное передвижение в аэропорту;
- анализировать плотность движения на основе планов полетов, отчетов о местоположении, данных о погоде и расписаний, а также публиковать в Интернете списки маршрутов, данные об их загруженности и другую информацию;
- прогнозировать каждодневную загрузку канадских аэропортов;
- управлять воздушным движением и составлять отчеты.
Значимость обеспечения безопасности работы в онлайновом режиме для NAV CANADA беспрецедентно возросла. Технология Web 2.0 делает приложения динамичнее и удобнее для пользователей, но в то же время повышает риск недобросовестного использования. «Новые методы атак в Интернете постоянно развиваются, становятся все более замысловатыми, и контролировать приложения без автоматизированного процесса становится чрезвычайно сложно», – объясняет Андре Иоти, директор по безопасности технологических систем, NAV CANADA.
Чтобы противостоять этой все более выраженной тенденции и предвосхищать потенциальные угрозы, отдел технологической безопасности NAV CANADA должен был принять превентивные меры для управления безопасностью Web-приложений. Кроме того, организации требовалось оптимизировать обеспечение соответствия нормативным требованиям в отношении приложений для составления финансовой отчетности, которые, согласно законодательству о рынке ценных бумаг, подлежат сертификации руководством корпорации NAV CANADA.
Прокладка маршрута к усовершенствованной защите бизнес-приложений в Интернете
Изучив и оценив продукты для анализа уязвимостей, в частности, сетевые приложения, БД и Web-приложения, отдел технологической безопасности NAV CANADA пришел к выводу, что корпорации необходимо простое в использовании решение, способное:
- выявлять все слабые места;
- эффективно генерировать отчеты и рекомендации по усовершенствованию;
- эффективно анализировать программы на предмет соответствия нормативным требованиям;
- поддерживать протоколы и технологии Web-приложений.
Кроме того, компании нужна была возможность интегрировать новое решение в прежний жизненный цикл разработки ПО, чтобы им могли пользоваться специалисты по безопасности, разработке и контролю качества.
По словам Иоти, тщательно изучив доступные варианты, компания выбрала решение на базе технологии AppScan. «Мы провели конкурентный анализ продуктов для обеспечения безопасности Web-приложений, и выяснилось, что технология AppScan лучше всего соответствует общим критериям в нашей среде», – рассказывает Иоти. В процессе оценки он пользовался данными исследований отраслевых аналитиков. В итоге ключевым фактором оказалась простота использования AppScan, ведь это позволило разработчикам тестировать приложения без дополнительных усилий. К тому же, при необходимости сотрудники могут воспользоваться и другими функциями для контроля безопасности и соблюдения нормативных требований.
Новые горизонты: улучшение производительности за счет автоматизации
До внедрения AppScan корпорация NAV CANADA предельно тщательно тестировала функциональность своих приложений. Тестирование безопасности и выявление слабых мест было приоритетным направлением работы, но занимало много времени и истощало ресурсы. По словам Иоти, новое решение помогло решить эти проблемы. «Программа AppScan повысила производительность труда нашей команды, позволив нам автоматизировать очень сложные и длительные операции и значительно повысить уровень качества, безопасности и соблюдения нормативных требований», – поясняет Иоти.
Отличные перспективы благодаря оптимальным методам и заинтересованности в них разработчиков
Внедрив AppScan, корпорация NAV CANADA стала регулярно сканировать Web-приложения в ходе разработки, чтобы выявить слабые места в системе безопасности до запуска нового решения в эксплуатацию.
Кроме того, отдел технологической безопасности NAV CANADA создал на основе AppScan внутреннюю службу тестирования. Отдел получает от разработчиков приложения, проводит тесты, составляет отчеты о мелких, умеренно выраженных и очень серьезных рисках и рекомендует пути их устранения. Поскольку программа позволяет работать быстро, отдел безопасности советует проводить тесты перед повторным выпуском, даже когда вносятся лишь очень незначительные изменения.
Более того, Иоти отмечает, что разработчики восприняли нововведение с энтузиазмом и просят теперь предоставить им собственные экземпляры программы AppScan. «Их заинтересованность отчасти объясняется простотой использования AppScan и четкостью рекомендаций по устранению неполадок, – объясняет Иоти. – Они понимают, что сканирование, в конечном счете, снимает с них часть нагрузки, дает определенную уверенность и позволяет избежать многочасовой коррекции механизмов безопасности после завершения создания приложений».
