应用系统安全评估指南

应用系统安全评估指南目的是规范应用系统上线前安全评估工作，确保信息系统安全评估的充分性。

▼▼检查过程

应用系统上线前应进行全面的安全评估，确保应用系统符合相关安全要求，主要活动包括：配置检查、工具扫描和渗透测试。

▼▼配置检查

配置检查是指根据安全配置基线要求，通过工具或手工检查的方式，对应用系统运行环境进行安全配置检查，范围包括：操作系统、中间件、数据库、网络设备等。

检查人员应根据各安全配置基线要求，逐项进行检查。对于安全配置基线中，标示“可选”字样的配置项，各系统管理员可视实际需求酌情遵从；未标示“可选”字样的配置项，均为对此类系统的基本安全配置要求无特殊情况应遵从。

配置检查中发现的未能满足基本安全配置要求的设备，须立即整改。

▼▼工具扫描

工具扫描是指利用扫描工具，检查应用系统、主机系统、数据库系统、中间件、网络设备和防火墙等存在的弱点，从而识别可能被入侵者用来非法进入网络的漏洞。

生成扫描评估报告，提交检测到的漏洞信息，包括位置和详细描述。通过扫描能获取到的系统内容包括：

工具扫描工作应由有经验的技术人员或外部专家实施，未经许可任何人员不得在内部网络使用安全扫描工具。

扫描完成后，应出具相应安全扫描报告，指导相关人员进行问题整改，报告内容应包括：扫描范围、问题总结、修复建议等内容。

主机、网络类工具扫描发现的极高和高风险内容、WEB工具扫描发现的高风险内容为立即整改，须在上线前完成整改。

▼▼渗透测试

渗透测试是指安全工程师尽可能地模拟黑客使用的漏洞技术与攻击手段，对目标应用系统的安全性进行深入的探测，发现系统可能存在的脆弱环节的过程，渗透测试能够直接地发现系统所面临的问题。渗透测试的一般过程：

渗透测试完成后，应出具相应的渗透测试报告，指导相关人员进行问题整改，报告内容应包括：测试范围、测试过程、问题总结、修复建议等内容。

渗透测试发现的高风险内容，为立即整改项，须在上线前完成整改。

▼▼整改原则

配置检查、工具扫描和渗透测试发现的立即整改项问题，须在上线前完成整改，完成整改后经信息安全管理人员确认后，系统方可执行上线。

对于非立即整改事项，应采取相应的补偿措施，同时制定整改计划，在后续的运维阶段逐步完成整改。

扩展 · 本文相关链接

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。