现在,信息安全问题日益突出,安全事件屡屡发生。信息安全问题已经成为事关国家政治、经济、社会和国防安全的重大问题。对企业来说,软件产品设计是否全面、是否提供了足够的保密措施、保障文档是否完善显得至关重要。
在安全方面,结合自身的设计、实现以及功能都遵从行业标准和政府法规,如ISO/IEC 15408、信息安全等级保护(GB 17859)、信息技术安全性评估准则(GB/T 18336)、OWASP ASVS(应用安全验证标准)安全要求,并采用基于微软的安全开发生命周期作为UAP开发安全保证过程,以此保证软件产品安全质量。
安全测试评估是依据GB/T 18336-2008《信息技术安全技术 信息技术安全性评估准则》,评估的内容主要包括:访问控制、身份认证、日志审计、数据传输保护、数据存储保护和安全管理等方面。通过评估开发者对开发环境所采取的控制措施,开发者使用的配置管理工具以及安全交付程序的证据,来确认开发者是否对TOE开发过程进行了必要的控制,能够有效的保护TOE及其他相关信息,防止信息外泄,同时减少因人为错误或疏忽对TOE造成的影响。
本文详述了信息安全的重要性,遵循的安全标准和流程,包括ISO/IEC 15408、GB 17859等,并介绍了EAL3+级别的安全测试评估内容,涉及访问控制、身份认证等多个方面。同时,文章探讨了横向和纵向越权、慢速HTTP DoS攻击、跨域漏洞、信息泄露、XSS和SQL注入等常见安全问题及其防范措施。
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
