系统上线安全测评需要做哪些内容?

这篇具有很好参考价值的文章主要介绍了系统上线安全测评需要做哪些内容?。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

系统上线安全测评需要做哪些内容?,安全,网络,服务器电力信息系统、航空航天、交通运输、银行金融、地图绘画、政府官网等系统再正式上线前需要做安全测试。避免造成数据泄露从而引起的各种严重问题。

 

那么系统上线前需要做哪些测试内容呢?下面由我给大家介绍

1、安全机制检测-应用安全

身份鉴别

登录控制模块

应提供专用的登录控制模块对登录用户进行身份标识和鉴别

鉴别信息复杂度

应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用

登录失败处理

应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施

安全策略配置参数

应启用身份鉴别、 用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数

访问控制

访问控制策略

应提供访问控制功能, 依据安全策略控制用户对文件、数据库表等客体的访问

访问控制范围

访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作

授权主体配置

应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限

最小权限

应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系

安全审计

安全审计覆盖范围

应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计

审计记录保护

应保证无法删除、修改或覆盖审计记录

审计内容

审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等

通信完整性

通信完整性

应采用校验码技术保证通信过程中数据的完整性

通信保密性

会话初始化

在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证

敏感信息加密

应对通信过程中的敏感信息字段进行加密

软件容错

数据有效性校验

保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求

故障恢复

在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施

资源控制

自动结束会话

当通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话

会话连接数

应能够对应用系统的最大并发会话连接数进行限制

多重并发限制

应能够对单个帐户的多重并发会话进行限制

2、漏洞扫描

漏洞扫描通过 Ping 扫描、端口扫描、OS 探测、脆弱点探测、防火墙扫描五种主要技术,每种技术实现的目标和运用的原理各不相同。Ping 扫描确定目标主机的 IP 地址,端口扫描探测目标主机所开放的端口,然后基于端口扫描的结果,进行 OS 探测和脆弱点扫描。

漏洞扫描主要覆盖以下漏洞:远程和本地输入验证错误;远程和本地代码注入漏洞;跨站脚本攻击(XSS);跨站请求伪造(CSRF);不安全的直接对象引用;错误的认证和会话管理;安全配置错误;代码问题安全漏洞;文件包含漏洞;文件上传漏洞;业务逻辑漏洞;其他的注入问题(LDAP注入、PHP注入、MySQL注入等);其他通用弱点(如上传漏洞、路径遍历等)。

3、代码审计

代码审计是针对系统开发的源代码进行安全性检查,通过工具扫描件加人工验证的形式是从代码层面审计发掘,系统在开发的过程中,代码逻辑是否合理,是否存在后门等漏洞。

源代码静态分析是一种在不运行程序的情况下分析程序代码的方法,目的是检测代码中的潜在问题,如安全漏洞、性能问题、代码质量问题等。以下是一些常用的源代码静态分析方法:

词法分析:将源代码分解成一个个单词或标记,以便后续分析。

语法分析:将源代码转换为抽象语法树,以便后续分析。

数据流分析:分析程序中的变量和函数调用,以确定变量的生命周期和值的变化情况。

控制流分析:分析程序中的控制流语句,以确定程序的执行路径。

符号执行:在执行程序的同时跟踪变量值,以确定程序的执行路径和结果。

路径敏感分析:分析程序中的每一条执行路径,以确定程序在不同路径下的行为。

模型检查:通过建立程序的形式化模型,自动验证模型是否满足安全性和正确性等属性。

源代码静态分析工具可以根据编程语言的特定规则和标准进行开发,以识别潜在的问题和漏洞,并提供修复建议。

4、渗透测试

渗透测试是一种授权模拟攻击,旨在对其安全性进行评估,目的是证明网络防御按照预期计划正常运行而提供的一种机制。它是一种安全评估方法,通过对目标系统进行模拟攻击,发现系统可能存在的漏洞、弱点及其它安全问题,从而评估系统的安全性能。

渗透测试是为了证明网络防御按照预期计划正常运行而提供的一种机制,具体流程阶段如下:

前期交互阶段。该阶段通常是用来确定渗透测试的范围和目标。

情报收集阶段。该阶段需要采用各种方法来收集目标主机的信息。

威胁建模阶段。该阶段主要是使用信息搜集阶段所获得的信息,来标识目标系统有存在可能存在的安全漏洞与弱点的方法之一。

漏洞分析阶段。该阶段将综合从前面几个环节中获取到的信息,从中分析理解那些攻击和用途径是可行的,特别是需要重点分析端口和漏扫描结果,截获到服务的重要信息,以及在信息收集环节中得到其他关键性的位置信息。

渗透攻击阶段。该阶段可能是存在渗透测试过程中最吸引人的地方,然后在这种情况下,往往没有用户所预想的那么一帆风顺,而是曲径通幽,在攻击目标系统主机时,一定要清晰的了解在目标系统存在这个漏洞,否则,根本无法启动攻击成功的步骤。

后渗透测试阶段。该阶段在任何一次渗透过程中都是一个关键环节,该阶段将以特定的业务系统作为目标,识别出关键的基础设施,并寻找客户组织罪具有价值和尝试进行安全保护的信息和资产。

渗透测试报告。报告是渗透测试过程中最重要的因素,使用该报告文档可以交流渗透测试过程中国做了什么,如何做的以及最为重要的安全漏洞和弱点。

标签:安全测试,安全测评

文章来源:系统上线安全测评需要做哪些内容? - 成都柯信优创信息技术服务有限公司文章来源地址https://www.toymoban.com/news/detail-672964.html

到了这里,关于系统上线安全测评需要做哪些内容?的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 软件测评单位需要哪些资质?

    软件测评资质 在进行软件测试或其他项目检测需要选择软件测评公司时,我们常常会把该公司有无资质认证考虑进去。那么软件测评公司在为企业出软件测试报告过程中,需要有什么资质才是合法合规的? 软件测评公司需要什么资质? 国内第三方软件检测机构为企业提供软

    2024年02月11日
    浏览(48)
  • 网络安全行业需要考的证书有哪些?

    网络安全这个圈子里,资质证书绝对是高薪资的保障。 趁年轻,少玩游戏,少刷手机,多了学点东西吧! 一、CISP(国家注册信息安全专业人员) CISP在信息安全圈众所周知,属国内第一大认证。 是国内目前最为主流,最被业内认可的专业信息安全技术与管理人员资质培训,

    2024年02月13日
    浏览(50)
  • 计划学习网络安全,需要学习哪些知识,应该怎么学习?

    虽然现在的网络安全大都是指渗透测试,但是并不代表只有渗透测试这一个方向,除此之外还有二进制逆向这个方向。以下会对这两个方向分别对您进行详解。 1、学习编程语言 (1)网站如何搭建的?HTML、CSS、JavaScript等。 (2)Python语言,方便以后自己写爬虫等。 (3)数据

    2024年02月07日
    浏览(50)
  • 什么叫做信息安全?包含哪些内容?与网络安全有什么区别?

    生活中我们经常会听到要保障自己的或者企业的信息安全。那到底什么是信息安全呢?信息安全包含哪些内容?与网络安全又有什么区别呢?今天我们就一起来详细了解一下。 什么叫做信息安全? 信息安全定义如下:为数据处理系统建立和采用的技术、管理上的安全保护,

    2024年02月05日
    浏览(52)
  • 黑龙江等保测评安全计算环境之应用系统测评项,保护网络安全。

    安全计算环境之应用系统 1. 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 “1)询问系统管理员,用户在登录时是否采用了身份鉴别措施 2)在未登录状态下直接访问任一操作页面或操作功能 3)核查用户身份标识

    2024年04月11日
    浏览(46)
  • 服务器网络安全防护措施有哪些?

    由于服务器发挥着至关重要的作用,因此存储在服务器上的机密数据和信息非常具有价值。如今有一种流行的说法,“数据就是新的石油”。 如果不确定如何保护服务器安全,或者不确定是否已涵盖所有基础知识,那么可以了解下面提供一些可用于保护服务器的安全提示。

    2024年01月20日
    浏览(40)
  • 大数据需要学习哪些内容

    Python+ 已成利器 在大数据领域中大放异彩 Python,成为职场人追求效率的利器,因为不管什么工作,数据都会是工作的一部分,有数据的地方,就有Python! 我们知道,随着互联网的发展,线上数据是以量级增长的,在巨大的数据中暗藏着很多有价值的信息,而Python可用于发现

    2024年02月07日
    浏览(42)
  • 公司创建百度百科需要哪些内容?

    一个公司或是一个品牌想要让自己更有身份,更有知名度,更有含金量,百度百科词条是必不可少的。通过百度百科展示公司的详细信息,有助于增强用户对公司的信任感,提高企业形象。通过百度百科展示公司的发展历程、领导团队、企业荣誉等,可以彰显公司的实力和行

    2024年02月03日
    浏览(39)
  • 开展自动化方案时,需要考虑哪些内容,开展实施前需要做哪些准备呢?

    选择合适的自动化测试工具 :根据项目的需求和技术栈选择适合的自动化测试工具,如Selenium、Appium、Jenkins等。 确定自动化测试范围 :明确需要自动化的功能模块和业务场景,确定哪些功能需要进行自动化测试,以及测试的重点和优先级。 制定自动化测试计划 :确定测试

    2024年02月10日
    浏览(38)
  • 大数据是什么?需要学习哪些内容

    现在大数据发展的如火如荼,也有不少小伙伴对于什么是大数据比较感兴趣,那么大数据在比较官方的定义是指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率

    2024年02月09日
    浏览(55)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包