返回
银行软件安全测试技术建议方案

银行软件安全测试技术建议方案

ID:18497133

大小:2.26 MB

页数:40页

时间:2018-09-18

银行软件安全测试技术建议方案_第1页
银行软件安全测试技术建议方案_第2页
银行软件安全测试技术建议方案_第3页
银行软件安全测试技术建议方案_第4页
银行软件安全测试技术建议方案_第5页
资源描述:

《银行软件安全测试技术建议方案》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、目录1金融业信息安全的现状52银行业源代码检测的相关标准和要求72.1《信息安全等级保护基本要求》72.2信息安全管理体系要求(IDTISO/IEC27001:2005)72.3支付卡行业数据库安全标准(PCIDSS)82.4网上银行系统信息安全通用规范82.5电子银行业务管理办法及电子银行安全评估指引83中国XXXX银行的软件安全现状94软件源代码安全扫描、审计和管理方案104.1解决方案组成114.2FortifySCA源代码安全测试方法124.3输出结果145实施建议155.1方案概要165.2方案目的165.3

2、使用模式165.4产品配置建议176FORTIFYSOFTWARE应用软件安全方案给XXXX银行带来的价值177FORTIFY案例及业内位置187.1公司产品背景187.2部分中国客户名单197.3Gartner权威机构最新排名198附件一:OWASP应用安全TOP10安全漏洞及控制措施示例208.1应用开发弱点的原始清单208.2跨站脚本攻击(CrossSiteScripting-XSS)228.2.1描述228.2.2控制措施238.3注入缺陷238.3.1描述238.3.1.1SQL注入攻击248.3.2控制措施

3、258.4恶意文件执行278.4.1描述278.4.2控制措施298.5直接对象引用298.5.1描述298.5.2控制措施308.6跨站请求伪造(CSRF)308.6.1描述308.6.1.1CSRF攻击328.6.2控制措施338.7错误处理不当338.7.1描述338.7.2控制措施348.8失效的账户和线程管理类的威胁358.8.1描述358.8.2控制措施358.8.2.1密码存储358.8.2.2保护传输凭证368.8.2.3保护线程IDs368.8.2.4保护帐号列表378.8.2.5管理程序组件的信任关

4、系378.9加密存储不安全378.9.1描述378.9.2确认存在加密存储不安全脆弱性388.9.3控制措施388.10通信不安全388.10.1描述388.10.2控制措施398.11无法限制URL访问398.11.1描述398.11.2控制措施401金融业信息安全的现状从光大证券“乌龙指”到财付通多起账户被盗事件,互联网信息系统安全成为社会关注的重点。作为我国信息化前沿的核心行业,银行业的信息安全形势和自主可控体系一直是行业建设的重点。保障金融信息安全也更符合十八届三中全会《决定》“加强金融基础设施建设,保障金融市

5、场安全高效运行和整体稳定”要求。因此建立银行业自主可控信息技术创新战略联盟机制,推动落实信息科技外包风险联合监督平台和外包合作组织机制,并进一步加强统筹和引导,着力解决一些关乎全局、影响长远的问题提上了更好的议程。“要牢牢守住信息安全底线。”中国银监会副主席郭利根在会议上强调,银行业信息科技工作要牢牢守住信息安全底线,切实开展科技顶层设计,深入落实“创新驱动”发展战略,深化银行科技工作体制机制改革,全面激发自主创新活力,以科技创新推动银行业发展转型,以科技引领提升银行业核心竞争力,不断增强风险抵御能力。确保计算机系统和

6、应用免受侵入和破坏是管理商业风险最为重要的一部分,每年企业都花了数百万美元的成本在计算机软件,硬件和服务方面去保护他们的IT系统,数据免受诸如病毒.worms,,黑客攻击,我们期望花更多的预算去减轻我们商业应用系统的信息安全,但是结果并不是我们想象的那样,现目前我们的信息系统仍然处在不安全的境地,据IDC的统计,至少有75%的企业发现他们的系统被黑客成功地攻击过。我们已经建立了非常完善的认证系统、网络安全系统、入侵检测的防范措施,为什么我们的系统还是处在不安全的境地呢?通过全球的一些信息安全专家的调查和分析,他们得出这

7、样一个结论:目前我们信息安全的主要问题:是应用软件安全问题,而不是我们通常所认为的网络问题,操作系统问题…….。这下面是来自GartnerGroup和NIST的分析报告。“Over75%ofsecurityvulnerabilitiesexistattheapplicationlayer,notthenetworklayer.It’snotjustoperatingsystemsorwebbrowsers,butalltypesofapplications-particularlyapplicationsthataut

8、omatekeybusinessprocesses.”----GartnerGroup2008 对于应用安全性的检测目前大多数是通过测试的方式来实现。测试大体上分为黑盒测试和白盒测试两种。黑盒测试一般使用的是渗透的方法,这种方法仍然带有明显的黑盒测试本身的不足,需要大量的测试用例来进行覆盖,且测试完成后仍无法保证软件是否仍然存在风

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。