信息安全等级测评师培训之应用系统安全测评(ppt 48页)

信息安全等级测评师培训之应用系统安全测评目录：
一、 背景介绍
二、 应用测评的特点和方法
三、 主要测评内容
四、 结果整理和分析

 

信息安全等级测评师培训之应用系统安全测评内容提要：
在《基本要求》中的位置
“应用安全”的所有指标，对于应用平台软件等则从中选择部分指标；
“数据安全及备份恢复”中的部分指标，对于三级信息系统，在应用安全中，主要检查“数据完整性”、“数据保密性”和“备份和恢复”第一和第二项；
应结合管理的要求，如“应根据开发需求检测软件质量”、“应要求开发单位提供软件源代码，并审查软件中可能存在的后门”，加强应用系统的源代码安全性。
应用测评的特点：
安全功能和配置检查并重
和数据库、操作系统等成熟产品不同，应用系统现场测评除检查安全配置外，还需验证相关安全功能是否正确
应用测评中不确定因素较多
业务和数据流程不同，需根据业务和数据特点确定范围
应用系统安全漏洞发现困难，很难消除代码级的安全隐患
测评范围较广，分析较为困难
应用系统测评包括应用平台（如IIS等）的测评，且和其他层面关联较大

..............................