04-应用安全测评培训资料(DOC41页).pdf

信息安全等级测评师培训 应用系统安 全测评 1 内容目录 1. 背景介绍 2. 应用测评 的特点和方法 3. 主 要 测 评 内 容 4. 结果整理 和分析 2 应用安全 的形势 （一） 开发商和用户对应用安全 重视程度不够 开发商安全意识普遍淡 薄，开发中留有安全隐患 用户普遍对应用安全不重 视，系统上线前把关不严 应用系统存在的漏 洞较多 的报告显示，超过NIST 92% of reported vulnerabilities are in applications, not networks 90%的安全漏洞是应用层 Encryption Module 2% 2% 1% 0% 3% Network Protocol Stack 漏洞，它已经远远超过网 15% Other 41% 络、操作系统和浏览器的 Communication Protocol Hardware 漏洞数量，这个比例还有 Operating System Non-ServerApplications 上升的趋势。 ServerApplications 36% Source: NIST 3 应用安全 的形势 （二） 针对应用系统的攻 击手段越来越多，面临 的 威胁在不断增大 针对口令的攻击，如口令 破解等 非授权获取敏感信息，如 信息窃听、系统管理员非授权 获 取敏感业务数据 （如用户的 密码等信息）等 针对WEB 应用的攻击，如 SQL 跨站脚本攻击、 注入、缓 冲区溢出、拒绝服务攻击、 改变网页内容等 4 指标选取 在 《基本要求》中的 位置 数据库安全是主机安全 的 一个部分，数据库的测 评 指标是从“主机安全”和 “数据安全及备份恢复” 中根据数据库的特点映 射 得到的。 5 应用系统的指标选 取 在 《基本要求》中 的位置 “ ” 应用安全 的所有指标， 对于应用平台软件等则从中选 择部分指标； “ ” 数据安全及备份恢复 中 的部分指标，对于三级信息系 统，在应用安全中，主要检 “ ” “ 查 数据完整性 、 数据保 ” “ ” 密性 和 备份和恢复 第一和 第二项； “ 应结合管理的要求，如 应 根据开发需求检测软件质量” “ 、 应要求开发单位提供软件 源代码，并审查软件中可能 ” 存在的后门 ，加强应用系统 的源代码安全性。 6 内容目录 1. 背景介绍 2. 应用测评 的特点和方法 3. 主 要