1樓:
web應用安全不是到最後才進行的。在前期方案設計階段就需要介入,貫穿軟體系統的整個生命週期。在測試階段進行的安全檢測包括sql注入、跨站指令碼、越權訪問、敏感資料是否加密等,內容相當多。
可使用自動化漏洞掃描工具結合人工的方式。資訊保安等級較高的企業有自己的資訊保安團隊,比如銀行。資訊保安等級一般的企業為了節約成本,採用外包或眾包的方式。
啟明星辰、360、烏雲、漏洞盒子這些可以看看。
2樓:匿名使用者
上線後發現漏洞後再去修復的成本要比開發環節中就發現漏洞的修復成本要高很多。比如,上線後發現漏洞修復成本可能需要3萬甚至更多,開發環節就發現並修復漏洞,成本可能也就幾百塊。但很多公司,特別是業務部門覺得安全的引入是絆腳石,影響專案的正常上線,但上線後發現業務邏輯漏洞對公司帶來影響時,這個時候安全又是鏟屎官的角色,導致安全人員處於非常尷尬的地步。
如何解決這樣的問題呢?
2023年美國rsa大會提出devsecops, 「devsecops」,一種全新的安全理念與模式,從devops的概念延伸和演變而來,其核心理念為安全是整個it團隊(包括開發、運維及安全團隊)每個人的責任,需要貫穿從開發到運營整個業務生命週期的每一個環節。
devsecops核心要求是:透明和自動化。devsecops的出現是為了改變和優化之前安全工作的一些現狀,比如安全測試的孤立性、滯後性、隨機性、覆蓋性、變更一致性等問題;通過固化流程、加強不同人員協作,通過工具、技術手段將可以自動化、重複性的安全工作融入到研發體系內,讓安全屬性嵌入到整條流水線。
懸鏡安全實驗室自主研發了一款針對安全開發環節的「靈脈自動化滲透測試系統」,將安全前置開發環節,賦能研發,讓安全小白,普通測試人員也會使用進行安全測試。
資訊系統安全等級保護測評流程是什麼?
3樓:匿名使用者
資訊系統安全等級保護測評準備活動的工作流程:
資訊系統安全等級保護測評準備活動的目標是順利啟動測評專案,準備測評所需的相關資料,為順利編制測評方案打下良好的基礎。
資訊系統安全等級保護測評準備活動包括專案啟動、資訊收集和分析、工具和表單準備三項主要任務。這三項任務的基本工作流程見下圖:
一、專案啟動
在專案啟動任務中,測評機構組建等級測評專案組,獲取測評委託單位及被測系統的基本情況,從基本資料、人員、計劃安排等方面為整個等級測評專案的實施做基本準備。
輸入:委託測評協議書。
任務描述:
a) 根據測評雙方簽訂的委託測評協議書和系統規模,測評機構組建測評專案組,從人員方面做好準備,並編制專案計劃書。專案計劃書應包含專案概述、工作依據、技術思路、工作內容和專案組織等。
b) 測評機構要求測評委託單位提供基本資料,包括:被測系統總體描述檔案,詳細描述檔案,安全保護等級定級報告,系統驗收報告,安全需求分析報告,安全總體方案,自查或上次等級測評報告(如果有),測評委託單位的資訊化建設狀況與發展以及聯絡方式等。
輸出/產品:專案計劃書。
二、 資訊收集和分析
測評機構通過查閱被測系統已有資料或使用調查**的方式,瞭解整個系統的構成和保護情況,為編寫測評方案和開展現場測評工作奠定基礎。
輸入:調查**,被測系統總體描述檔案,詳細描述檔案,安全保護等級定級報告,系統驗收報告,安全需求分析報告,安全總體方案,自查或上次等級測評報告(如果有)。
任務描述:
a) 測評機構收集等級測評需要的各種資料,包括測評委託單位的各種方針檔案、規章制度及相關過程管理記錄、被測系統總體描述檔案、詳細描述檔案、安全保護等級定級報告、安全需求分析報告、安全總體方案、安全現狀評價報告、安全詳細設計方案、使用者指南、執行步驟、網路圖表、配置管理文件等。
b) 測評機構將調查**提交給測評委託單位,督促被測系統相關人員準確填寫調查**。
c) 測評機構收回填寫完成的調查**,並分析調查結果,瞭解和熟悉被測系統的實際情況。分析的內容包括被測系統的基本資訊、物理位置、行業特徵、管理框架、管理策略、網路及裝置部署、軟硬體重要性及部署情況、範圍及邊界、業務種類及重要性、業務流程、業務資料及重要性、業務安全保護等級、使用者範圍、使用者型別、被測系統所處的執行環境及面臨的威脅等。這些資訊可以重用自查或上次等級測評報告中的可信結果。
d) 如果調查**填寫不準確或不完善或存在相互矛盾的地方較多,測評機構應安排現場調查,與被測系統相關人員進行面對面的溝通和了解。
輸出/產品:填好的調查**。
三、工具和表單準備
測評專案組成員在進行現場測評之前,應熟悉與被測系統相關的各種元件、除錯測評工具、準備各種表單等。
任務描述:
a) 測評人員除錯本次測評過程中將用到的測評工具,包括漏洞掃描工具、滲透性測試工具、效能測試工具和協議分析工具等。
b) 測評人員模擬被測系統搭建測評環境。
c) 準備和列印表單,主要包括:現場測評授權書、文件交接單、會議記錄表單、會議簽到表單等。
輸出/產品:選用的測評工具清單,列印的各類表單。
4樓:天磊諮詢
等級保護測評流程是:定級備案
準備:合格的定級備案材料
調研梳理
準備:①全套管理制度文件(包含記錄文件)②《基礎環境調研表》③《漏洞掃描報告》④《滲透測試報告》。
初步測評
準備:整改全套:包涵高、中、底危整改記錄及其他整改過程記錄。
整改建設
準備:①《差距性分析報告》②《整改意見書》(在問題彙總清單後撰寫落地解決方案)。
正式測評
準備:測評機構執行:根據整改結果複測達到目標分數。
5樓:匿名使用者
這個連結進去後,右下角有一個測評流程圖,你可以看一下。
正下方還有各地的測評機構連結,你打**過去問一下就可以了。
上海這邊的測評機構負責人,還是很好說話的,上回問他們問答,也很耐心解答。
6樓:匿名使用者
應該要評估,可以去當地質檢部門諮詢下
您可以登入 中國認證認可資訊 網 - 專家專欄 ,諮詢上面的專家,這些專家都具有各行各業的豐富經驗,可以幫助到您。
系統上線後還做功能測試嗎?
7樓:車速10碼
先低調上線,問題不多的話就高調正式宣佈……懂?有問題,必須先低調改完!
8樓:匿名使用者
需求跟蹤沒有做好。迴歸測試沒有做好,bug跟蹤沒有做好
9樓:匿名使用者
軟體版本控制估計有問題,不是最新修復了bug的**
10樓:匿名使用者
原因可能很多……你後來的測試是在自己系統中還是上線的系統中?
計算機資訊系統安全包括什麼計算機資訊系統安全包括哪幾個方面?
計算機資訊系統安全包括四個方面 一 實體 安全二 執行安全 系統的執行安全是計算機資訊系統安全的重要環節,因為只有計算機資訊系統的執行過程中的安全得到保證,才能完成對資訊的正確處理,達到發揮系統各項功能的目的。三 資訊保安 計算機資訊系統的資訊保安是核心,是指防止資訊財產被故意或偶然的洩漏 更改 破...
什麼是資訊系統?資訊系統的功能有哪些
管理資訊系統 management information system,簡bai稱dumis 是一個以人為主zhi 導,利用計算機硬體 dao軟體 網路通訊裝置以及其版他辦公裝置,權進行資訊的收集 傳輸 加工 儲存 更新 拓展和維護的系統。管理資訊由資訊的採集 資訊的傳遞 資訊的儲存 資訊的加工 ...
資訊系統名詞解釋,管理資訊系統名詞解釋?
管理資訊系統 managementinformationsystem,簡稱mis 是乙個以人為主導,利用計算機硬體 軟體 網路通訊裝置以及其他辦公裝置,進行資訊的收集 傳輸 加工 儲存 更新 拓展和維護的系統。管理資訊系統是乙個不斷發展的新型學科,mis的定義隨著計算機技術和通訊技術的進步也在不斷更...