系统上线安全测评需要做哪些内容?

电力信息系统、航空航天、交通运输、银行金融、地图绘画、政府官网等系统再正式上线前需要做安全测试。避免造成数据泄露从而引起的各种严重问题。

 

那么系统上线前需要做哪些测试内容呢?下面由我给大家介绍

1、安全机制检测-应用安全

身份鉴别

登录控制模块

应提供专用的登录控制模块对登录用户进行身份标识和鉴别

鉴别信息复杂度

应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用

登录失败处理

应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施

安全策略配置参数

应启用身份鉴别、 用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数

访问控制

访问控制策略

应提供访问控制功能, 依据安全策略控制用户对文件、数据库表等客体的访问

访问控制范围

访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作

授权主体配置

应由授权主体配置访问控制策略,并严格限制默认帐户的访问权限

最小权限

应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系

安全审计

安全审计覆盖范围

应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计

审计记录保护

应保证无法删除、修改或覆盖审计记录

审计内容

审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等

通信完整性

通信完整性

应采用校验码技术保证通信过程中数据的完整性

通信保密性

会话初始化

在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证

敏感信息加密

应对通信过程中的敏感信息字段进行加密

软件容错

数据有效性校验

保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求

故障恢复

在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施

资源控制

自动结束会话

当通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话

会话连接数

应能够对应用系统的最大并发会话连接数进行限制

多重并发限制

应能够对单个帐户的多重并发会话进行限制

2、漏洞扫描

漏洞扫描通过 Ping 扫描、端口扫描、OS 探测、脆弱点探测、防火墙扫描五种主要技术,每种技术实现的目标和运用的原理各不相同。Ping 扫描确定目标主机的 IP 地址,端口扫描探测目标主机所开放的端口,然后基于端口扫描的结果,进行 OS 探测和脆弱点扫描。

漏洞扫描主要覆盖以下漏洞:远程和本地输入验证错误;远程和本地代码注入漏洞;跨站脚本攻击(XSS);跨站请求伪造(CSRF);不安全的直接对象引用;错误的认证和会话管理;安全配置错误;代码问题安全漏洞;文件包含漏洞;文件上传漏洞;业务逻辑漏洞;其他的注入问题(LDAP注入、PHP注入、MySQL注入等);其他通用弱点(如上传漏洞、路径遍历等)。

3、代码审计

代码审计是针对系统开发的源代码进行安全性检查,通过工具扫描件加人工验证的形式是从代码层面审计发掘,系统在开发的过程中,代码逻辑是否合理,是否存在后门等漏洞。

源代码静态分析是一种在不运行程序的情况下分析程序代码的方法,目的是检测代码中的潜在问题,如安全漏洞、性能问题、代码质量问题等。以下是一些常用的源代码静态分析方法:

词法分析:将源代码分解成一个个单词或标记,以便后续分析。

语法分析:将源代码转换为抽象语法树,以便后续分析。

数据流分析:分析程序中的变量和函数调用,以确定变量的生命周期和值的变化情况。

控制流分析:分析程序中的控制流语句,以确定程序的执行路径。

符号执行:在执行程序的同时跟踪变量值,以确定程序的执行路径和结果。

路径敏感分析:分析程序中的每一条执行路径,以确定程序在不同路径下的行为。

模型检查:通过建立程序的形式化模型,自动验证模型是否满足安全性和正确性等属性。

源代码静态分析工具可以根据编程语言的特定规则和标准进行开发,以识别潜在的问题和漏洞,并提供修复建议。

4、渗透测试

渗透测试是一种授权模拟攻击,旨在对其安全性进行评估,目的是证明网络防御按照预期计划正常运行而提供的一种机制。它是一种安全评估方法,通过对目标系统进行模拟攻击,发现系统可能存在的漏洞、弱点及其它安全问题,从而评估系统的安全性能。

渗透测试是为了证明网络防御按照预期计划正常运行而提供的一种机制,具体流程阶段如下:

前期交互阶段。该阶段通常是用来确定渗透测试的范围和目标。

情报收集阶段。该阶段需要采用各种方法来收集目标主机的信息。

威胁建模阶段。该阶段主要是使用信息搜集阶段所获得的信息,来标识目标系统有存在可能存在的安全漏洞与弱点的方法之一。

漏洞分析阶段。该阶段将综合从前面几个环节中获取到的信息,从中分析理解那些攻击和用途径是可行的,特别是需要重点分析端口和漏扫描结果,截获到服务的重要信息,以及在信息收集环节中得到其他关键性的位置信息。

渗透攻击阶段。该阶段可能是存在渗透测试过程中最吸引人的地方,然后在这种情况下,往往没有用户所预想的那么一帆风顺,而是曲径通幽,在攻击目标系统主机时,一定要清晰的了解在目标系统存在这个漏洞,否则,根本无法启动攻击成功的步骤。

后渗透测试阶段。该阶段在任何一次渗透过程中都是一个关键环节,该阶段将以特定的业务系统作为目标,识别出关键的基础设施,并寻找客户组织罪具有价值和尝试进行安全保护的信息和资产。

渗透测试报告。报告是渗透测试过程中最重要的因素,使用该报告文档可以交流渗透测试过程中国做了什么,如何做的以及最为重要的安全漏洞和弱点。

标签:安全测试,安全测评

文章来源:系统上线安全测评需要做哪些内容? - 成都柯信优创信息技术服务有限公司

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/53239.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux:权限

目录 一、shell运行原理 二、权限 1.权限的概念 2.文件访问权限的相关设置方法 三、常见的权限问题 1.目录权限 2.umsk(权限掩码) 3.粘滞位 一、shell运行原理 1.为什么我们不是直接访问操作系统? ”人“不善于直接使用操作系统如果让人直接访问操作系统&a…

数据通信——TCP(三次握手及基础特性)

引言 TCP(传输控制协议),不像之前的UDP那样,因为这个协议要将很多复杂的东西,所以这次的特性是简单的特性,后续会讲一些复杂难懂的知识,这次先说一些TCP明显的特性 面向连接 TCP提供了对连接的管…

构建高性能云原生大数据处理平台:融合人工智能优化数据分析流程

文章目录 架构要点优势与应用案例研究:基于云原生大数据平台的智能营销分析未来展望:大数据与人工智能的融合结论 🎈个人主页:程序员 小侯 🎐CSDN新晋作者 🎉欢迎 👍点赞✍评论⭐收藏 ✨收录专栏…

【STM32RT-Thread零基础入门】 6. 线程创建应用(线程挂起与恢复)

硬件:STM32F103ZET6、ST-LINK、usb转串口工具、4个LED灯、1个蜂鸣器、4个1k电阻、2个按键、面包板、杜邦线 文章目录 前言一、RT-Thread相关接口函数1. 挂起线程2. 恢复线程 二、程序设计1. car_led.c2.car_led.h3. main.c 三、程序测试总结 前言 在上一个任务中&a…

Linux操作系统--常用指令(文件目录类指令)

(1).pwd指令 功能:显示当前工作目录的绝对路径。 如果你使用cd命令进行切换的时候不知道到了哪里,就可以使用该指令输出路径查看。 (2).cd命令 功能:用于切换路径 语法: cd + 路径(路径可以指绝对路径,也可以是相对路径)

URL中传递JSON字符串

今天遇见了一个需求,从post请求中在url里传递json字符串, 就是路径?参数11那种情况 最后怎么解决的呢? 需要使用前端方法,先用JSON.stringify格式化成字符串,再用encodeURIComponent把JSON里面的符号转转为url支持的…

ppt如何转pdf文档?用这个方法可将ppt转pdf

在现代社会中,PPT(幻灯片)已成为一种常见的演示工具,被广泛应用于学术、商务、培训等领域。然而,PPT文件的使用和分享存在一些问题,例如文件格式不兼容、内容修改易被篡改等。为了解决这些问题,将PPT转换为PDF格式已成…

AI夏令营第三期用户新增挑战赛学习笔记

1、数据可视化 1.数据探索和理解:数据可视化可以帮助我们更好地理解数据集的特征、分布和关系。通过可视化数据,我们可以发现数据中的模式、异常值、缺失值等信息,从而更好地了解数据的特点和结构。2.特征工程:数据可视化可以帮助…

TinyVue - 华为云 OpenTiny 出品的企业级前端 UI 组件库,免费开源,同时支持 Vue2 / Vue3,自带 TinyPro 中后台管理系统

华为最新发布的前端 UI 组件库,支持 PC 和移动端,自带了 admin 后台系统,完成度很高,web 项目开发又多一个选择。 关于 OpenTiny 和 TinyVue 在上个月结束的华为开发者大会2023上,官方正式进行发布了 OpenTiny&#…

成都睿趣科技:抖音开网店前期的流程是什么

随着互联网的快速发展,电子商务成为了商业领域中的一大利器,而在电商领域中,抖音作为一个强大的平台,也吸引了众多商家的目光。然而,要在抖音上开设一家成功的网店,并不是一件简单的事情,需要经…

研磨设计模式day12命令模式

目录 定义 几个参数 场景描述 代码示例 参数化设置 命令模式的优点 本质 何时选用 定义 几个参数 Command:定义命令的接口。 ConcreteCommand:命令接口的实现对象。但不是真正实现,是通过接收者的功能来完成命令要执行的操作 Receiver&#x…

无涯教程-进程 - 信号(Signals)

信号是对进程的通知,指示事件的发生。信号也称为软件中断,无法预知其发生,因此也称为异步事件。 可以用数字或名称指定信号,通常信号名称以SIG开头。可用信号kill –l(列出信号名称为l)检查可用信号,如下所示- 无论何…

骨传导耳机和普通耳机哪个危害大?一文读懂骨传导耳机!

作为一个5年重度运动爱好者,常年跑步、爬山、骑行,入手过的各类耳机超30款,用真实体验告诉大家,骨传导耳机和普通耳机哪个危害大! 首先大家要知道的是,不管什么类型的耳机,如说说音量过大&…

SpringBoot生成和解析二维码完整工具类分享(提供Gitee源码)

前言:在日常的开发工作当中可能需要实现一个二维码小功能,我参考了网上很多关于SpringBoot生成二维码的教程,最终还是自己封装了一套完整生成二维码的工具类,可以支持基础的黑白二维码、带颜色的二维码、带Logo的二维码、带颜色和…

Spring Cloud Alibaba-Sentinel-Sentinel入门

1 什么是Sentinel Sentinel (分布式系统的流量防卫兵) 是阿里开源的一套用于服务容错的综合性解决方案。它以流量为切入点, 从流量控制、熔断降级、系统负载保护等多个维度来保护服务的稳定性。Sentinel 具有以下特征: 丰富的应用场景:Sentinel 承接了阿里…

【深度学习】实验02 鸢尾花数据集分析

文章目录 鸢尾花数据集分析决策树K-means 鸢尾花数据集分析 决策树 # 导入机器学习相关库 from sklearn import datasets from sklearn import treeimport matplotlib.pyplot as plt import numpy as np# Iris数据集是常用的分类实验数据集, # 由Fisher, 1936收集…

JetBrains 2023.2全新发布!IDEA、PyCharm等支持AI辅助

日前JetBrains官方正式宣布旗下IDE系列今年第二个重要版本——v2023.2全新发布,涵盖了 IntelliJ IDEA、PyCharm、WebStorm等一众知名产品,接下来我们一起详细了解一下他们的更新重点吧~ IntelliJ IDEA v2023.2——引入AI辅助开发 IntelliJ IDEA 2023.2…

动捕设备助力打造沉浸式虚拟现实体验

在纪录片《超时空寻找》中,借助了实时动捕设备,基于三维数字人技术进行老战士与历史场景还原,让抗美援朝老战士可以通过虚拟现实技术,跨越时空与战友实现隔空对话。 随着动捕设备的不断发展,虚拟现实技术越来越成熟&a…

WGS84地球坐标系,GCJ02火星坐标系,BD09百度坐标系简介与转换 资料收集

野火 ATGM332D简介 高性能、低功耗 GPS、北斗双模定位模块 STM32 GPS定位_为了维护世界和平_的博客-CSDN博客 秉火多功能调试助手上位机开源!共六款软件,学到你吐... , - 电脑上位机 - 野火电子论坛 - Powered by Discuz! https://www.firebbs.cn/for…

M1 Pro 利用docker 搭建pytho2的开发环境,以vscode连接开发为例

使用 M1 Pro (不支持python2的安装)开发,需要使用 Python 2.7 的环境,在使用 pyenv 安装 Python 2 时遇到了各种奇怪的问题。最终,我决定使用 Docker 搭建开发环境,并使用 VS Code 连接到本地容器。以下是详…