应用系统安全评估实战培训教程47讲.pptxVIP

信息安全等级测评师培训;;应用安全的形势（一）;应用安全的形势（二）;指标选用;应用系统的指标选用;;应用测评的特点;应用测评的方法（1）;应用测评的方法（2）;;身份鉴别;身份鉴别;身份鉴别;身份鉴别;身份鉴别;访问控制;以审计员身份进行删除/增长顾客、设定顾客权限的操作（也可进行某些其它管理员进行的操作），查看是否成功。

--右图是一种手机支付系统的流程示意图，通过网页和手机能够完毕冲值、查询等业务。

为了预防SQL注入等攻击，软件应对顾客输入数据的长度和格式等进行限制。

对于通过网络访问控制、隔离等办法限定在特定区域（物理和网络）范围内才能访问的应用程序，能够合适降低身份鉴别等安全控制的要求【网络安全与应用安全】。

应采用加密或其它保护办法实现系统管理数据、鉴别信息和主要业务数据存放保密性。

在《基本要求》中的位置

应启用身份鉴别、顾客身份标识唯一性检查、顾客身份鉴别信息复杂度检查以及登录失败处理功效，并依据安全方略配备相关参数。

敏感标识表示主体/客体安全级别和安全范围的一组信息，通过比较标识来控制是否允许主体对客体的访问，标识不允许其它顾客进行修改，涉及资源的拥有者，在可信计算基中把敏感标识作为强制访问控制决议的依据；

以审计员身份进行删除/增长顾客、设定顾客权限的操作（也可进行某些其它管理员进行的操作），查看是否成功。

同步，为了增长非授权顾客使用暴力猜测等手段破解顾客