3-4_应用安全测评--数据库安全测评.docVIP

应用系统安全测评 信息安全等级测评师培训--公安部信息安全等级保护评估中心--黄洪 内容目录 1.背景介绍 2.应用测评的特点和方法 3.主要测评内容 4.结果整理和分析 应用安全的形势 如今，越来越多的企业用户已将核心业务系统转移到网络上，Web浏览器成为业务系统的窗口，应用系统面临更多的安全威胁；并且由于各种原因使得其存在较多的安全漏洞。在此背景下，如何保障企业的应用安全，尤其是Web应用安全成为新形势下信息安全保障的关键所在。 应用系统存在漏洞较多：NIST的报告显示，超过90%的安全漏洞是应用层漏洞，它已经远远超过网络、操作系统和浏览器的漏洞数量，这个比例还有上升的趋势。 针对应用系统的攻击手段越来越多： 常见攻击手段：如口令破解、信息窃听、绕过访问控制、后门攻击等 针对WEB应用的攻击：如跨站脚本攻击、SQL注入、缓冲区溢出、拒绝服务攻击等 应用测评的特点 测评范围较广：和数据库、操作系统等成熟产品不同，应用系统现场测评除检查安全配置外，还需验证其安全功能是否正确 测评中不确定因素较多，测评较为困难：需根据业务和数据流程确定测评重点和范围应用系统安全漏洞发现困难，很难消除代码级的安全隐患 测评结果分析较为困难：应用系统与平台软件，如Web平台、操作系统、数据库系统、网络等都存在关联关系 应用测评的方法 通过访谈，了解安全措施的实施情况：和其他成熟产品不同，应用系统只有