欢迎来到天天文库
浏览记录
ID:36011286
大小:42.55 KB
页数:12页
时间:2019-04-28
《安全风险评估-应用系统评估new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、安全风险评估之应用系统评估2021年9月目录1.应用系统评估概述41.1评估的概念41.2评估手段42.评估前的准备52.1确定用户配合人员52.2确定评估的范围52.3获得应用系统组件的清单52.4应用系统评估启动会62.5签署应用系统评估申请63.具体评估步骤63.1认证和鉴别63.1.1是否启用了PKI73.1.2是否启用了组织统一要求的PKI73.1.3认证进程是否适当73.2用户账户管理73.2.1用户ID唯一性检查73.2.2不活动用户是否禁用83.2.3不必要的内置用户是否禁用83.2.4用户ID是否
2、有默认的或者弱口令83.3数据保护83.3.1敏感数据不适当地存储83.3.2敏感数据传输中没有适当的保护93.3.3使用未经验证的加密算法93.4安全审核93.4.1安全相关事件记录93.4.2日志将满没有警告103.4.3日志存在未授权删除、修改、泄露等漏洞103.5应用操作103.5.1基于角色的访问控制没有加强责任分离103.5.2应用在执行操作之前没有进行授权103.5.3进程运行的权限过高103.5.4应用没有对session的限制113.5.5应用修改在应用的范围之外的文件113.5.6用户绕过用户界
3、面直接修改资源113.6影响控制113.6.1网络架构不适当113.6.2没有灾难恢复计划113.6.3备份或者备份程序不完备123.6.4没有确保应用日志可以长时间保存的流程123.6.5敏感数据未经修改地直接导入测试环境123.7代码安全123.7.1应用的进程在终止前没有从内存或者磁盘中删除临时对象123.7.2应用没有充分验证用户输入123.7.3应用直接暴露出错信息133.7.4应用失败能够导致不安全的状态131.应用系统评估概述1.1评估的概念应用系统评估,是风险评估中必须的一个子项。它是指将应用系统作
4、为一个单位,对该应用系统所面临的脆弱性、安全隐患进行检查的过程。应用系统评估和网络架构评估、网络访问控制评估、数据流评估等不同,它关注的是应用系统的自身的安全,主要从“应用代码或程序”层面进行评估。111.2评估手段在应用系统安全评估中,应尽可能采用以下多种方式,对应用系统进行全面的安全检测。如果某些情况下,有些方式不能采用或无法实现,比如源代码审核、配置文件检查等,可考虑通过其他方式来进行验证其现状,比如渗透测试。1)应用系统文档检查检查应用系统的开发和维护文档,特别注意其中的和安全相关的部分。2)评估访谈和应用
5、系统的开发人员、系统管理员、普通用户(抽查)进行访谈,了解系统的在开发和使用过程中的详细信息。如果回答否,则结果为否;若回答是,则应尽可能实际上机验证。访谈前,评估人员需根据系统的情况,准备对应的访谈表。3)Checklist检查根据应用系统的操作系统,对应相应的checklist检查项,对应用系统进行安全检查。检查时,可以手工逐项检查,也可以过脚本的方式快速检查。4)渗透测试对于某些应用系统,在授权的情况下可以适当采用的渗透测试,来检验系统的安全性。比如针对Web网站,可以进行SQL注入、XSS、数据库、暴力破解
6、等渗透测试攻击手段。1)系统配置状况检查登陆系统,对系统配置进行安全检查。1.评估前的准备为保证在用户现场的工作效率,评估前应作好以下准备工作。1.1确定用户配合人员和用户确定能够配合评估工作的人员,需要具有以下能力:l了解应用系统,能够有效回答评估者的询问;l能够提供对源代码的访问,并协助分析源代码;l能够提供应用系统相关的开发、维护文档;l能够提供超级用户权限的访问界面;l能够提供普通用户权限的访问界面;最终确定的配合人员,一般包括:系统开发人员、系统管理员、普通用户。1.2确定评估的范围和用户确定本次应用系统
7、评估的范围,需落实到具体的服务器、应用、软件等。1.3获得应用系统组件的清单获得应用系统架构范围内的所有组件清单,包括网络拓扑图、IP地址、OS版本、数据库、APP版本、第三方中间件版本、库文件或者其他组件等。1.4应用系统评估启动会可以考虑召开应用系统评估的启动会,会上由系统开发人员、系统管理员介绍应用系统的基本情况,包括应用系统的基本功能、组件架构、部署情况、使用对象、安全设计思想、业务流程等。同时,通过启动会,也可能获得更多与该应用系统相关的各种技术文档。1.1签署应用系统评估申请在应用系统评估实施之前,应向
8、用户提交并签署应用系统安全评估申请,以确保用户认可以下问题:l接受评估过程中可能带来的操作风险;l对物理、逻辑访问用户应用系统的授权。2.具体评估步骤通常情况下,对应用系统的评估,应从以下7个方面进行。1)认证和鉴别2)用户账户管理3)数据保护4)安全审核5)应用操作6)影响控制7)代码安全2.1认证和鉴别这部分主要测试用户或者进程如何进行身份认证。首先应该
此文档下载收益归作者所有