软件安全知识题库.docxVIP

软件安全相关知识 目录  TOC \o 1-3 \h \z \u  HYPERLINK \l _Toc339369358 一、前言  PAGEREF _Toc339369358 \h 2  HYPERLINK \l _Toc339369359 二、术语解释  PAGEREF _Toc339369359 \h 2  HYPERLINK \l _Toc339369360 三、安全性基础知识介绍  PAGEREF _Toc339369360 \h 3  HYPERLINK \l _Toc339369361 1、了解信息系统的安全空间  PAGEREF _Toc339369361 \h 3  HYPERLINK \l _Toc339369362 2、安全保障体系  PAGEREF _Toc339369362 \h 4  HYPERLINK \l _Toc339369363 3、安全风险评估及安全策略  PAGEREF _Toc339369363 \h 4  HYPERLINK \l _Toc339369364 4、信息安全技术与安全产品管理  PAGEREF _Toc339369364 \h 5  HYPERLINK \l _Toc339369365 5、软件安全测试工具  PAGEREF _Toc339369365 \h 5  HYPERLINK \l _Toc339369366 四、软件安全性测试主要内容及测试方法  PAGEREF _Toc339369366 \h 6  HYPERLINK \l _Toc339369367 1、安全性测试主要内容  PAGEREF _Toc339369367 \h 6  HYPERLINK \l _Toc339369368 2、安全性测试方法  PAGEREF _Toc339369368 \h 9  HYPERLINK \l _Toc339369369 3、常见产品安全性缺陷  PAGEREF _Toc339369369 \h 9  HYPERLINK \l _Toc339369370 五、公司产品安全性现状  PAGEREF _Toc339369370 \h 10  HYPERLINK \l _Toc339369371 六、软件安全性常见问题处理方法  PAGEREF _Toc339369371 \h 11  HYPERLINK \l _Toc339369372 七、其他关于软件安全性方面工作改进  PAGEREF _Toc339369372 \h 12  一、前言 许多项目在上线前，用户会要求提供产品安全性检测报告，或者用户方（或请第三方）对产品进行安全性测试后，给出产品安全性评测报告提出产品整改要求，在碰到这类问题时，由于前后台业务人员对软件安全方面的知识不够了解，往往不知道如何处理。 由于计算机安全性方面的知识体系非常庞杂，平时接触较少，且在需求了解、产品研发阶段常常被忽略，当遇到客户方信息化建设比较健全，对产品提出安全性要求时，才临时采取策略。 软件安全性是产品质量评估的一个重要方面，测试中心在跟进一些项目的过程中，接触了一些相关知识，本文档总结了关于安全性方面的基础知识，软件安全评测的方法、内容，以及针对软件安全性方面遇到的问题的一些建议处理方法，供大家学习了解。 二、术语解释 信息系统安全等级保护：是根据信息系统重要性不同对其进行分级别保护，不同级别有不同的安全措施及标准。建设单位应该根据系统的安全等级评估结果，对系统实施相应安全保护措施。参考公安部信息安全等级保护评估中心编制的《信息系统安全等级保护政策》。 信息安全服务资质认证：信息安全服务资质是对信息安全服务提供者的资格状况、技术实力和实施安全工程过程的质量保证能力等方面的具体衡量和评价。资质等级的评定，是在其基本能力水平、安全工程项目的组织管理水平、安全工程基本过程的控制能力等方面的单项评估结果的基础上，针对不同的服务种类，采用一定的权值综合考虑后确定的，并由国家认证机构授予相应的资质级别。 信息安全保障系统：是一个在网络上，集成各种硬件、软件和密码设备，以保护其他业务应用信息系统正常运行的专用的信息应用系统，以及与之相关的岗位、人员、策略、制度和规范的总和。 软件安全性评测：对软件系统进行安全性评测，确保软件满足其相应级别的安全性标准要求。依据的软件安全评测标准有：国际标准ISO/IEC 15408 国家标准 GB 18336 信息技术安全性评测准则；主要的评测中心有：中国信息安全测评中心、国家计算机网络与信息安全管理中心；其他第三方安恒信