3DEXPERIENCE平台应用安全方案系统，SOLIDWORKS代理商提供

01、执行概要

基于Web的技术和云服务正在迅速发展，相伴而来的是安全责任的转移。企业与个人越来越倚重应用开发团队来保护数据和隐私安全。

作为3D建模、仿真、协作、创新和业务智能软件的全球领先者，3DEXPERIENCE质量管理体系(QMS)中整合了安全标准的验证和核实，平台的信息安全策略基于行业领先的业务实践和OWASP、NIST和ISO标准,通过安全软件开发生命周期（安全SDLC）落实多因子身份认证 (MFA)、审计追踪、加密等必备控制措施，不仅能为开发商确立******实践、需求、测试和其他工具，还能帮助了解企业软件和IT系统内的薄弱环节并予以防范。

• OWASP: 开放Web应用安全项目

• NIST：国家标准技术研究院

• ISO/IEC：国际标准化组织和国际电工委员会

以下将介绍构成3DEXPERIENCE平台应用安全方案的指南、流程、工具和控制措施。

通过正式的管理战略，即3DEXPERIENCE平台应用安全方案，落实了OWASP、NIST、ISO/IEC和其他组织认可的安全实践，并追加了我们自定的规程。

以行业标准、安全SDLC流程和持续改进为基础，3DEXPERIENCE平台应用安全方案由五大支柱构成：

作为达索系统入职流程的一个环节，全体员工都需要接受行为准则、安全和合规规定与持续改进准则的培训。达索系统为全体员工持续推行的意识培养与沟通计划，可帮助全体员工适应不断变化的安全环境。此外，我们也积极与各地区的本地OWASP分会协作，深入交流当前的新风险缓解战略。

从需求阶段起直至部署阶段和维护阶段，安全控制措施嵌入在整个SDLC中。安全规范从一开始就确定为软件开发项目的组成部分。平台在保密性、完整性和可用性(CIA)模型，也就是所谓的CIA三要素基础上建立我们的信息安全流程与控制。

根据NIST 800-53号特刊和ISO/IEC 27001的标准交付关键的安全功能，包括鉴权、访问控制、加密、注入检测与防范、审计和服务器硬化。 

3DEXPERIENCE平台提供的主要安全控制包括：鉴权；基于角色的访问控制；加密；监控与审计；基础设施安全。

在部署前首先验证软件，以免引出新的安全隐患或削弱现有的安全控制。经过运行的多次模拟，测试功能和安全措施的质量。主要的应用安全分析工具包括：静态应用安全测试(SAST)；动态应用安全测试(DAST)；手动渗透测试；跨部门质量保障测试。

达索系统聘请通过了行业顶级安全认证的独立机构，开展综合全面的审计和渗透测试。这些保密合作方被允许访问后台源代码和端到端通信，以便用透明的白盒方法测试平台直至其内部结构 ；每年安排多次随机测试和定期测试（基本上每次向客户发布服务包时会测试一次），以支持服务持续交付战略。

对当今任何连接互联网的应用，安全的重要性绝对不容置疑。OWASP、NIST和ISO等独立机构提供的安全行业******实践构成我们防御体系的基础。通过培训、设计需求、实施安全控制措施、验证安全控制措施和第三方审计与渗透测试，这些准则和框架被系统性地应用到我们的安全SDLC。 

3DEXPERIENCE平台应用安全方案可系统性地缓解现有和未来威胁造成的风险，保障数据安全，为客户和用户提供高水平的保护。厦门智网科技有限公司是达索公司授权SOLIDWORKS福建省内代理商，以及是华南区的SOLIDWORKS经销商，为企业提供正版软件，一直秉承着服务好，服务到位的理念来要求自己，致力为更多客户提供本地化的产品研发设计与咨询服务，很多企业都有对SOLIDWORKS软件不同的需求包括二次开发等。SOLIDWORKS购买的途径也有很多，可以在智网科技的SOLIDWORKS官网上进行浏览解决方案需求。另外咨询SOLIDWORKS购买渠道也有很多，可拨打我们的服务热线：400-859-0592/181 2076 1282【微信同号】进行咨询或是在我们的官网上留下您的姓名和联系方式。可以咨询我们SOLIDWORKS价格，以及不同版本的SOLIDWORKS软件报价。