欢迎访问吉林农业大学信息化中心
网络安全
当前位置: 中心首页 > 网络安全 > 正文

关于新版等级保护基本要求应用和数据安全的建议

发布时间:2018/09/04 14:30    浏览次数:

最近在研究OWASP应用安全问题的TOP 10 2017版本,根据已发布的前10类安全问题原理,与新版等级保护基本要求中的“应用和数据安全”进行了对应:


发现“A9使用了含有已知漏洞的组件”类问题,在基本要求中没有找到合适的对应点,而这类问题在现实中经常出现而且危害很严重,比如近年来导致大量网页被黑、服务器被控制的Struts 2漏洞、前几年编辑器Fckeditor上传webshell木马控制服务器等,我认为都属于应用系统组件的漏洞。所以建议是否考虑在“应用和数据安全”中的“软件容错”部分增加一条针对软件组件的升级与补丁更新的基本要求,比如“应及时升级应用系统组件补丁,修补存在的已知安全漏洞”。

注解:

A9使用了含有已知漏洞的组件:

如果使用含有已知漏洞的组件(例如:库、框架和其他软件模块),这样的攻击可以造成严重的数据丢失或服务器接管。使用含有已知漏洞的组件的应用程序和API,可能会破坏应用程序防御、造成各种攻击并产生严重影响。

OWASP组织最具权威的就是其"十大安全漏洞列表OWASP Top 10"。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞,可以帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性。

来源:信息产业信息安全测评中心



上一篇:【漏洞预警】CNNVD 关于福昕阅读器多个安全漏洞的通报
下一篇:《公安机关信息安全等级保护检查工作规范(试行)》解析

帮助热线:0431-84533276

  

去百度地图》


  • 首页
  • 电话
  • 留言