- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
软件安全相关知识
目录
一、前言 2
二、术语解释 2
三、安全性基础知识介绍 3
1、了解信息系统的安全空间 3
2、安全保障体系 4
3、安全风险评估及安全策略 4
4、信息安全技术与安全产品管理 5
5、软件安全测试工具 5
四、软件安全性测试主要内容及测试方法 6
1、安全性测试主要内容 6
2、安全性测试方法 9
3、常见产品安全性缺陷 9
五、公司产品安全性现状 10
六、软件安全性常见问题处理方法 11
七、其他关于软件安全性方面工作改进 12
一、前言
许多项目在上线前,用户会要求提供产品安全性检测报告,或者用户方(或请第三方)对产品进行安全性测试后,给出产品安全性评测报告提出产品整改要求,在碰到这类问题时,由于前后台业务人员对软件安全方面的知识不够了解,往往不知道如何处理。
由于计算机安全性方面的知识体系非常庞杂,平时接触较少,且在需求了解、产品研发阶段常常被忽略,当遇到客户方信息化建设比较健全,对产品提出安全性要求时,才临时采取策略。
软件安全性是产品质量评估的一个重要方面,测试中心在跟进一些项目的过程中,接触了一些相关知识,本文档总结了关于安全性方面的基础知识,软件安全评测的方法、内容,以及针对软件安全性方面遇到的问题的一些建议处理方法,供大家学习了解。
二、术语解释
? 信息系统安全等级保护:是根据信息系统重要性不同对其进行分级别保护,不同级别有不同的安全措施及标准。建设单位应该根据系统的安全等级评估结果,对系统实施相应安全保护措施。参考公安部信息安全等级保护评估中心编制的《信息系统安全等级保护政策》。
? 信息安全服务资质认证:信息安全服务资质是对信息安全服务提供者的资格状况、技术实力和实施安全工程过程的质量保证能力等方面的具体衡量和评价。资质等级的评定,是在其基本能力水平、安全工程项目的组织管理水平、安全工程基本过程的控制能力等方面的单项评估结果的基础上,针对不同的服务种类,采用一定的权值综合考虑后确定的,并由国家认证机构授予相应的资质级别。
? 信息安全保障系统:是一个在网络上,集成各种硬件、软件和密码设备,以保护其他业务应用信息系统正常运行的专用的信息应用系统,以及与之相关的岗位、人员、策略、制度和规范的总和。
? 软件安全性评测:对软件系统进行安全性评测,确保软件满足其相应级别的安全性标准要求。依据的软件安全评测标准有:国际标准ISO/IEC 15408 国家标准 GB 18336 信息技术安全性评测准则;主要的评测中心有:中国信息安全测评中心、国家计算机网络与信息安全管理中心;其他第三方安恒信息、三零卫士信息技术公司;企业信息中心自己的安全评估检验部门
? 安全漏洞:是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统
? 入侵检测:入侵检测(Intrusion Detection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
? 渗透测试:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
? PKI(Public Key Infrastructure)公共密钥基础设施:它是以不对称密钥加密技术为基础,以数据机密性、安全性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。其内容包括数字证书、不对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间戳服务、相关信息标准、操作规范等。
? 数字证书:是由认证机构经过数字签名后发给网上信息交易主体(企业或个人、设备或程序)的一段电子文档。
? CA(Certification Authority)认证中心:,PKI的核心。它是公正、权威、可信的第三方网上认证机构,负责数字证书的签发、撤销和生命周期管理。
? https:安全超文本传输协议,它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作的。
? SDL:安全开发周期(Security Development Lifecycle)是微软提出的从安全角度指导软件开发过程的管理模式。
三、安全性基础知识介绍
1、了解信息系统的安全空间
信息系统的安全与网络息息相关,只有基于网络的信息系统才需要考虑安全性问题。信息系统安全空间的五大属性包括:认证、权限、完整、加密、不可否认,主要有安全机制、安全服务与安全技术三个维度组成。
1) 安全机制包括:
? 基础设施实体
您可能关注的文档
- 荣乌高速山区路基施工解说.pptx
- 思想道德教育与成才_05遵守社会公德维护公共秩序解说.pptx
- 思想品德新标准(2011年版)(最新)解说.doc
- 前命题组成员考前冲刺题预案.ppt
- 前模油缸抽芯滑块防后退机构预案.ppt
- 斯坦福柴油发电机组解说.doc
- 溶洞处理(初)解说.doc
- 牛津模块unit1GrammarandWriting预案.ppt
- 斯维尔安装算量标准培训-电气专业解说.pptx
- 熔接机、光功率、PDA技术规范书解说.docx
- 2026届高考数学总复习(第1轮)基础版第50讲 直线的方程.pptx
- 《关于组织开展能源领域氢能试点工作的通知》解读及对策.docx
- 二年级数学奇妙的动物世界跨学科项目化学习设计.docx
- 高一美术传承与创新中国近现代美术思政融合课教学设计.docx
- 2025年湖北省省直辖行政单位选调生考试(行政职业能力测验)综合能力测试题带答案.docx
- 2025年温州医科大学仁济学院单招语文测试模拟题库附答案.docx
- 2025年清远职业技术学院单招(语文)测试模拟题库附答案.docx
- 2025年湖北省咸宁市事业单位招聘考试(职业能力倾向测验)题库及答案1套.docx
- 2025年温州大学单招语文测试题库有答案.docx
- 2025年湖北省荆州市单招语文测试模拟题库a4版.docx
文档评论(0)