返回
应用安全培训讲稿

应用安全培训讲稿

ID:5386336

大小:520.88 KB

页数:40页

时间:2017-12-08

应用安全培训讲稿_第1页
应用安全培训讲稿_第2页
应用安全培训讲稿_第3页
应用安全培训讲稿_第4页
应用安全培训讲稿_第5页
资源描述:

《应用安全培训讲稿》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、信息安全等级测评师培训应用系统安全测评公安部信息安全等级保护评估中心黄洪1内容目录1.背介绍背景介绍2.应用测评的特点和方法3.主要测评内容4.结果整理和分析2应用安全的形势(一)如今,越来越多的企业用户已将核心业务系统转移到网络上,Web浏览器成为业务系统的窗口,应用系统面临更多的安全威胁;并且由于各种原因使得其存在较多的安全漏洞。在此背景下,如何保障企业的应用安全,尤其是Web应用安全成为新形势下信息安全保障的关键所在。应用系统存在漏洞较多92%ofreportedvulnerabilitiesarei

2、napplications,notnetworksNIST的报告显示,超过90%的安EncryptionModule0%1%2%2%3%NetworkProtocolStack全漏洞是应用层漏洞,它已经远15%Other41%远超过网络、操作系统和浏览器CiCommunicatiionPlProtocolHardware的漏洞数量,这个比例还有上升OperatingSystem的趋势。Non-ServerApplicationsServerApplications36%SNSource:NISTIST3应用安

3、全的形势(二)针对应用系统的攻击手段越来越多常攻击常见攻击手段,如口令破解、信息窃听、绕过访问控制、后门攻击等针对WEB应用的攻击,如跨站脚本攻击、SQL注入、缓冲区溢出、拒绝服务攻击等4内容目录1.背介绍背景介绍2.应用测评的特点和方法3.主要测评内容4.结果整理和分析5应用测评的特点测评范围较广和数库数据库、操作系统等成熟产品不同,应统场应用系统现场测评评除检查安全配置外,还需验证其安全功能是否正确测评中不确定因素较多,测评较为困难需根据业务和数据流程确定测评重点和范围应用系统安全漏洞发现

4、困难,很难消除代码级的安全隐患测评结果分析较为困难应用系统与平台软件,如Web平台、操作系统、数据库系统、网络等都存在关联关系6应用测评的方法(1)通过访谈,了解安全措施的实施情况和其他成熟产品不同,应用系统只有在充分了解其部署情况和业务流程后,才能明确测评的范围和对象,分析其系统的脆弱性和面临的主要安全威胁,有针对性的进行测评。--右图是一个手机支付系统的流程示意图,通过网页和手机可以完成冲值、查询等业务。7应用测评的方法(2)通过检查,查看其是否进行了正确的配置有的安全功能(如口令长度限制、错

5、误登录尝试次数等)需要在应用系统上进行配置,则查看其是否进行了正确的配置,与安全策略是否一致。无需进行配置的,则应查看其部署情况是否与访谈一致。如果条件允许,需进行测试可通过测试验证安全功能是否正确,配置是否生效。代码级的安全漏洞在现场查验比较困难,则可进行漏洞扫描和渗透测试,如果条件允许,则可进行代码白盒测试。8内容目录1.背介绍背景介绍2.应用测评的特点和方法3.主要测评内容4.结果整理和分析9身份鉴别要求项应提供专用的登录控制模块对登录用户进行身份标识和鉴别;应对同一用户采用两种或两种以上

6、组合的鉴别技术实现用户身份鉴别;应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;10身份鉴别要求项应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。11身份鉴别条款理解三级或三级以上系统要求必须提供两种(两次口令鉴别不属于两种鉴别技术)或两种以上组合的鉴别技术进行身份鉴别,在身份鉴别强度上有了更大的

7、提高。检查方法询问系统管理员,了解身份鉴别措施的部署和实施情况。根据了解的情况,检查应用系统是否按照策略要求进行了相应的配置,在条件允许的情况下,验证功能(包括应用口令暴力破解等测试手段)是否正确。12访问控制要求项应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作;应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;13访问控制要求项应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成

8、相互制约的关系;应具有对重要信息资源设置敏感标记的功能;应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。14访问控制条款理解三级系统要求访问控制的粒度达到文件、数据库表级,权限之间具有制约关系(如三权分离,管理、审计和操作权限),并利用敏感标记控制用户对重要信息资源的操作。检查方法询问系统管理员,了解访问控制措施的部署和实施情况。根据了解的情况,检查应用系统是否按照策略要求进

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。