安全编码培训.pdfVIP

安全编码培训

2021-06

1信息系统的主要安全问题

信息系统的主要安全问题都有哪些？

•随着网络技术和应用的飞速发展，信息系统安全正面临着前所未有的挑战。近几年重大信息安全事件

的频繁发生，信息泄露，网站篡改，地下黑产等显示了当前信息系统安全形势的严峻性。

•在信息化建设过程中，软件系统的安全是一个复杂体系，软件系统的安全问题，如果处理不当或者不

加防范，可能会给整个系统带来巨大的灾难。软件系统的安全问题主要体现在以下几个方面。

01020304

业务逻辑漏洞不安全编码导致的开源组件安全漏洞部署环境安全问题

软件在需求设计及业务安全漏洞目前软件开发过程中，业务系统的部署环境出

逻辑开发阶段，可能会程序开发阶段，由于程都会使用到开源组件，现安全漏洞，也会影响

引入一些安全问题，如序员不安全的编码，可开源组件漏洞会影响到到业务系统，如操作系

账号安全、权限提升等。能会引入一些安全问题，业务系统，如Struts2远程统漏洞、数据库漏洞、

如SQL注入、路径遍历、代码执行，Openssl心脏服务器中间件漏洞等。

跨站脚本等。流血等。

软件自身安全问题遇到前所未有的挑战

•漏洞已经成为了国家的战略资源，漏洞攻击已经影响到人们工作、生活的方方面面，漏洞攻防

的本质是与黑客赛跑，早于黑客找到漏洞并修复它。

•Gartner的报告显示75%的安全攻击都是由于软件自身的漏洞引起的

•NIST报告显示92%的漏洞都是应用的自身弱点，而非网络原因。

来自奇安信代码安全实验室的数据统计：

序号组织类型缺陷密度（个/千行代码）

1普通软件工程师50~250

2普通软件开发公司4~40

3高水平软件开发公司2~4

4美国NASA0.1

5国内软件公司6

监管要求

监管要求

•《中华人民共和国网络安全法》第三十三条规定，建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证

安全技术措施同步规划、同步建设、同步使用。该条规定，明确了关键信息基础设施的安全工作应该前移，在信息系统的规划阶段

就应该保证安全技术措施的介入。

•信息安全技术网络安全等级保护基本要求【GBT22239-2019】中要求企业自行软件开发应制定代码编写安全规范，要求开发人员

参照规范编写代码，在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意代码进行检测；对外包软件开发应在软

件交付前检测其中可能存在的恶意代码。

•金融行业信息系统信息安全等级保护实施指引：对自行软件开发要求：制定软件开发管理制度和代码编写安全规范，明确说明开发

过程的控制方法和人员行为准则，要求开发人员参照规范编写代码，不得在程序中设置后门或恶意代码程序；对外包软件开发要求：

要求银行及金融机构对外包开发的程序进行源代码审计检查。

•中国人民银行发布的《网上银行系统信息安全