电子政务业务应用系统安全检测技术.pptx

;;01 CHAPER;;;;;;;;;需求分析;;;;;;;;01 CHAPER;源 代 码 安 全 检 测 / 审 计 是 依 据 CVE(Common Vulnerabilities Exposures) 公共漏洞字典表、 OWASP 十大Web 漏洞 （Open Web Application Security Project） 2013，以及设备、软件厂商公布的漏洞库， 结合专业源代码安全检测工具对各种程序语言 编写的源代码进行检测，并对结果进行安全审 计。能够为客户提供包括安全编码规范咨询、 源代码安全检测、源代码安全审计、定位源代 码中存在的安全漏洞、分析漏洞风险、给出修 改建议等一系列服务。;;;源代码分析过程;;;;;01 CHAPER;主要标准 《信息安全技术 网络安全等级保护定级指南》 (GA/T 1389—2017) 《信息安全技术网络安全等级保护基本要求》 （GB/T22239-2019） 《信息安全技术网络安全等级保护测评要求》 （GB/T28448-2019） 《信息安全风险评估规范》(GB/T20984) 《信息系统安全保障评估框架》(GB/T20274) 《信息安全管理体系要求》(ISO/IEC 27001) 等;;调研项目;;;采用合规性检测的方法分析信息 系统中存在的安全问题和隐患，通过 综合的检测分析，找出信息系统面临 的风险，及合规性差异。 合规性检测过程共分四个部分， 首先要确定合规性检测的范围和内容 ，然后确定合规指标，按照合规指标 的要求进行合规性检测和分析，最后 得出合规报告并提出整改的建议。;帮助准确了解信息系统安全现状； 帮助全面了解信息安全管理现状； 在安全事故爆发之前避免、减少或转移风险； 为系统建设及网络安全决策和管理提供依据； 满足相关政策法规（如：等级保护）要求。;01 CHAPER;;;数据收集;;;;;帮助用户识别信息系统被入侵的可能性； 查找并封堵信息系统潜在的安全风险与漏洞； 验证信息系统目前安全措施的防护强度； 在入侵者发起攻击前封堵可能被利用的攻击途径； 为信息系统安全整改提供数据依据。;01 CHAPER;《信息技术 安全技术 信息技术安全性评估准则 第1部分：简介和一般模型》（GB/T 18336.1-2008 ） 《安全技术 信息技术 信息技术安全性评估准则 第2部分：安全功能要求》（GB/T 18336.2-2008 ） 《信息技术 安全技术 信息技术安全性评估准则 第3部分：安全保证要求》（GB/T 18336.3-2008 ）;;;;;;;;;01 CHAPER;;;;;