应用系统安全评估指南

应用系统安全评估指南目的是规范应用系统上线前安全评估工作,确保信息系统安全评估的充分性。
▼检查过程
应用系统上线前应进行全面的安全评估,确保应用系统符合相关安全要求,主要活动包括:配置检查、工具扫描和渗透测试。
▼▼配置检查
配置检查是指根据安全配置基线要求,通过工具或手工检查的方式,对应用系统运行环境进行安全配置检查,范围包括:操作系统、中间件、数据库、网络设备等。
检查人员应根据各安全配置基线要求,逐项进行检查。对于安全配置基线中,标示“可选”字样的配置项,各系统管理员可视实际需求酌情遵从;未标示“可选”字样的配置项,均为对此类系统的基本安全配置要求无特殊情况应遵从。
配置检查中发现的未能满足基本安全配置要求的设备,须立即整改。

▼工具扫描

工具扫描是指利用扫描工具,检查应用系统、主机系统、数据库系统、中间件、网络设备和防火墙等存在的弱点,从而识别可能被入侵者用来非法进入网络的漏洞。
生成扫描评估报告,提交检测到的漏洞信息,包括位置和详细描述。通过扫描能获取到的系统内容包括:
  • 系统中存在的安全漏洞。
  • 系统开放的端口号。
  • 是否存在弱口令。
  • 是否能够获得目标系统的指纹信息

工具扫描工作应由有经验的技术人员或外部专家实施,未经许可任何人员不得在内部网络使用安全扫描工具。
扫描完成后,应出具相应安全扫描报告,指导相关人员进行问题整改,报告内容应包括:扫描范围、问题总结、修复建议等内容。
主机、网络类工具扫描发现的极高和高风险内容、WEB工具扫描发现的高风险内容为立即整改,须在上线前完成整改。
▼▼渗透测试
渗透测试是指安全工程师尽可能地模拟黑客使用的漏洞技术与攻击手段,对目标应用系统的安全性进行深入的探测,发现系统可能存在的脆弱环节的过程,渗透测试能够直接地发现系统所面临的问题。渗透测试的一般过程:
渗透测试完成后,应出具相应的渗透测试报告,指导相关人员进行问题整改,报告内容应包括:测试范围、测试过程、问题总结、修复建议等内容。
渗透测试发现的高风险内容,为立即整改项,须在上线前完成整改。

▼▼整改原则

配置检查、工具扫描和渗透测试发现的立即整改项问题,须在上线前完成整改,完成整改后经信息安全管理人员确认后,系统方可执行上线。
对于非立即整改事项,应采取相应的补偿措施,同时制定整改计划,在后续的运维阶段逐步完成整改。

扩展  ·  本文相关链接

· 应用系统安全测试指南

· 应用系统安全设计指南

· 应用系统安全需求分析指南

· 系统开发安全管理规范

· 系统开发中安全控制要求落地(下)

· 系统开发中安全控制要求落地(中)

· 系统开发中安全控制要求落地(上)

(0)

相关推荐

  • 消防整改的检查内容

    虽然企业已安装整套消防系统,但由于企业安装消防工程间隔时间长,安装的消防器材已不满足当前的消防安全条件,或消防通道路线设计不合理,造成消防安全隐患.为确保"消防安全检查不留死角", ...

  • 厦门大学:让二级学院也拥有漏洞扫描能力

    厦门大学通过安全服务外包和采购漏洞扫描设备并开放给二级学院管理员使用的方法,探索全民参与网络安全的道路. 为提高高校网站和应用系统的安全性,高校会对已经存在和即将上线的网站和应用系统定期进行扫描,评估 ...

  • 应用系统安全设计指南

    应用系统安全设计指南目的是指导应用系统安全设计工作,确保设计的合理性和准确性,符合应用系统的安全需求. ▼▼应用系统安全设计原则 应用系统安全设计应满足系统的安全需求,并能够直接指导系统安全功能的编码 ...

  • 『心血管系统』微循环 : 微循环系统(导医指南)

    微循环是微动脉与微静脉之间的毛细血管中的血液循环,是循环系统中最基层的结构和功能单位.它包括微动脉.微静脉.毛细淋巴管和组织管道内的体液循环.是直接参与组织细胞的物质交换的.人体每个器官,每个组织细胞 ...

  • 万字干货:亏损20万总结出来的抖音系统运营指南 | 人人都是产品经理

    编辑导读:抖音作为当下最火的短视频产品之一,其蕴含的巨大流量让每个品牌和个人都为之兴奋.但是,短视频账号千千万,用户为什么会关注你的账号并且为你消费呢?本文作者曾经在抖音上不断试错,终于总结出了一套抖 ...

  • 嵌入式系统学习指南

    嵌入式系统无疑是当前最热门最有发展前途的IT应用领域之一.嵌入式系统用在一些特定专用设备上,通常这些设备的硬件资源(如处理器.存储器等)非常有限,并且对成本很敏感,有时对实时响应要求很高等. 特别是随 ...

  • 从2013年的梅赛德斯-奔驰(Mercedes-Benz)驾驶辅助系统技术指南来看中国汽车技术落后多少年?!

    行车系统功能配置 1. 盲点辅助/主动式盲点辅助系统 功能描述: 由梅赛德斯-奔驰开发的盲点辅助系统利用雷达技术监测车辆侧面3米和后方3米的区域.该系统在时速30公里/小时时开始生效,随后外后视镜中的 ...

  • 2021考研线上复试,注意事项,远程面试系统使用指南

    如果需要线上复试,应做好哪些准备? 1.提前确认视频设备和环境可用 ●保证设备电量充足 ●存储空间充足 ●建议连接优质Wi-Fi ●关闭移动设备通话.录屏.锁屏.闹钟等可能影响面试的应用程序 2.若使 ...

  • Linux 调度系统全景指南(上篇)

    本文主要是讲Linux的调度系统, 由于全部内容太多,分三部分来讲,调度可以说是操作系统的灵魂,为了让CPU资源利用最大化,Linux设计了一套非常精细的调度系统,对大多数场景都进行了很多优化,系统扩 ...

  • 系统调理脾胃指南

    亲爱的朋友们,所谓温故而知新,小编整理了过去一年所发布的脾胃调理类文章,以便大家查阅. 脾胃篇 1.脾胃不好,你怎么养生也没用! 2.大脑简单点,多思伤脾胃 3.有胃病了怎么办?治+养!胃病治疗篇 4 ...

  • 国内首部针对粉尘爆炸重大事故隐患验收的地方技术标准和隔爆系统技术指南9月1日实施

    <工贸企业粉尘防爆安全规定>(中华人民共和国应急管理部令 第6号 )即将于2021年9月1日起施行.上海市化工研究院有限公司起草的<粉尘爆炸重大事故隐患治理工程验收规范>(DB ...