返回
应用安全测评培训资料(DOC页).docx

应用安全测评培训资料(DOC页).docx

ID:53879750

大小:14.05 KB

页数:63页

时间:2020-04-10

应用安全测评培训资料(DOC页).docx_第1页
应用安全测评培训资料(DOC页).docx_第2页
应用安全测评培训资料(DOC页).docx_第3页
应用安全测评培训资料(DOC页).docx_第4页
应用安全测评培训资料(DOC页).docx_第5页
资源描述:

《应用安全测评培训资料(DOC页).docx》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全等级测评师培训 应用系统安全测评 1 内容目录 1.背景介绍 2.应用测评的特点和方法 3.主要测评内容 4.结果整理和分析 2 应用安全的形势(一) o开发商和用户对应用安全重视程度不够 n开发商安全意识普遍淡薄,开发中留有安全隐患 n用户普遍对应用安全不重视,系统上线前把关不严 o应用系统存在的漏洞较多 的报告显示,超过NIST 92%ofreportedvulnerabilitiesarein applications,notnetworks 90%的安全漏洞是应用层 Encryptio

2、nModule 2% 2% 1% 0% 3% NetworkProtocolStack 漏洞,它已经远远超过网 15% Other 41% 络、操作系统和浏览器的 CommunicationProtocol Hardware 漏洞数量,这个比例还有 OperatingSystem Non-ServerApplications 上升的趋势。 ServerApplications 36% Source:NIST 3 应用安全的形势(二) o针对应用系统的攻击手段越来越多,面临的 威胁在不断增大 n针对口令

3、的攻击,如口令破解等 n非授权获取敏感信息,如信息窃听、系统管理员非授权获 取敏感业务数据(如用户的密码等信息)等 n针对WEB应用的攻击,如跨站脚本攻击、SQL注入、缓 冲区溢出、拒绝服务攻击、改变网页内容等 4 指标选取 o在《基本要求》中的位置 数据库安全是主机安全的 一个部分,数据库的测评 指标是从“主机安全”和 “数据安全及备份恢复” 中根据数据库的特点映射 得到的。 5 应用系统的指标选取 o在《基本要求》中的位置 n“应用安全”的所有指标,对于应用平台软件等则从中选 择部分指标; n“数

4、据安全及备份恢复”中的部分指标,对于三级信息系 统,在应用安全中,主要检查“数据完整性”、“数据保 密性”和“备份和恢复”第一和第二项; n应结合管理的要求,如“应根据开发需求检测软件质量” 、“应要求开发单位提供软件源代码,并审查软件中可能 存在的后门”,加强应用系统的源代码安全性。 6 内容目录 1.背景介绍 2.应用测评的特点和方法 3.主要测评内容 4.结果整理和分析 7 应用测评的特点 o安全功能和配置检查并重 n和数据库、操作系统等成熟产品不同,应用系统现场测评 除检查安全配置外,还需验证

5、相关安全功能是否正确 o应用测评中不确定因素较多 n业务和数据流程不同,需根据业务和数据特点确定范围 n应用系统安全漏洞发现困难,很难消除代码级的安全隐患 o测评范围较广,分析较为困难 n应用系统测评包括应用平台(如IIS等)的测评,且和其 他层面关联较大 8 应用测评的方法(1) o通过访谈,了解安全措施的实施情况 后台处理系统 n和其他成熟产品不同,应用系统只有在 充分了解其部署情况后,才能明确测评 C-Switch 的范围和对象,分析其系统的脆弱性和 面临的主要安全威胁,有针对性的进行 移动内部

6、接 门户网站 入网关 右图是一个手机支付系 检查和测试。-- 统的流程示意图,通过网页和手机可以 完成冲值、查询等业务。 9 应用测评的方法(2) o通过检查,查看其是否进行了正确的配置 n有的安全功能(如口令长度限制、错误登录尝试次数等)需要 在应用系统上进行配置,则查看其是否进行了正确的配置,与 安全策略是否一致。 n无需进行配置的,则应查看其部署情况是否与访谈一致。 o如果条件允许,需进行测试 n可通过测试验证安全功能是否正确,配置是否生效。 n代码级的安全漏洞在现场查验比较困难,则可进行漏洞扫

7、描和 渗透测试。 10 内容目录 1.背景介绍 2.应用测评的特点和方法 3.主要测评内容 4.结果整理和分析 11 身份鉴别 o要求项(一) n应提供专用的登录控制模块对登录用户进行身份标识和鉴 别; n应对同一用户采用两种或两种以上组合的鉴别技术实现用 户身份鉴别; n应提供用户身份标识唯一和鉴别信息复杂度检查功能,保 证应用系统中不存在重复用户身份标识,身份鉴别信息不 易被冒用; 12 身份鉴别 o要求项(二) n应提供登录失败处理功能,可采取结束会话、限制非法登 录次数和自动退出等措施; n应

8、启用身份鉴别、用户身份标识唯一性检查、用户身份鉴 别信息复杂度检查以及登录失败处理功能,并根据安全策 略配置相关参数。 13 身份鉴别 o条款理解 n提供专用的登录控制模块对用户身份的合法性进行核实, 只有通过验证的用户才能在系统规定的权限内进行操作, 这是防止非法入侵最基本的一种保护措施; n三级或三级以上系统要求必须提供两种(两次口令鉴别不 属于这种情况)或两种以上组合的鉴别技术进行身份鉴别 (口令+CA证书),在身份鉴别强度上有了更大的提高; 14

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。