系統(tǒng)上線安全測評需要做哪些內容？

安全測試報告

電力信息系統(tǒng)、航空航天、交通運輸、銀行金融、地圖繪畫、政府官網等系統(tǒng)再正式上線前需要做安全測試。避免造成數(shù)據(jù)泄露從而引起的各種嚴重問題。

那么系統(tǒng)上線前需要做哪些測試內容呢？下面由我給大家介紹

1、安全機制檢測-應用安全

2、漏洞掃描

漏洞掃描通過 Ping 掃描、端口掃描、OS 探測、脆弱點探測、防火墻掃描五種主要技術，每種技術實現(xiàn)的目標和運用的原理各不相同。Ping 掃描確定目標主機的 IP 地址，端口掃描探測目標主機所開放的端口，然后基于端口掃描的結果，進行 OS 探測和脆弱點掃描。

漏洞掃描主要覆蓋以下漏洞：遠程和本地輸入驗證錯誤；遠程和本地代碼注入漏洞；跨站腳本攻擊（XSS）；跨站請求偽造（CSRF）；不安全的直接對象引用；錯誤的認證和會話管理；安全配置錯誤；代碼問題安全漏洞；文件包含漏洞；文件上傳漏洞；業(yè)務邏輯漏洞；其他的注入問題（LDAP注入、PHP注入、MySQL注入等）；其他通用弱點（如上傳漏洞、路徑遍歷等）。

3、代碼審計

代碼審計是針對系統(tǒng)開發(fā)的源代碼進行安全性檢查，通過工具掃描件加人工驗證的形式是從代碼層面審計發(fā)掘，系統(tǒng)在開發(fā)的過程中，代碼邏輯是否合理，是否存在后門等漏洞。

源代碼靜態(tài)分析是一種在不運行程序的情況下分析程序代碼的方法，目的是檢測代碼中的潛在問題，如安全漏洞、性能問題、代碼質量問題等。以下是一些常用的源代碼靜態(tài)分析方法：

詞法分析：將源代碼分解成一個個單詞或標記，以便后續(xù)分析。

語法分析：將源代碼轉換為抽象語法樹，以便后續(xù)分析。

數(shù)據(jù)流分析：分析程序中的變量和函數(shù)調用，以確定變量的生命周期和值的變化情況。

控制流分析：分析程序中的控制流語句，以確定程序的執(zhí)行路徑。

符號執(zhí)行：在執(zhí)行程序的同時跟蹤變量值，以確定程序的執(zhí)行路徑和結果。

路徑敏感分析：分析程序中的每一條執(zhí)行路徑，以確定程序在不同路徑下的行為。

模型檢查：通過建立程序的形式化模型，自動驗證模型是否滿足安全性和正確性等屬性。

源代碼靜態(tài)分析工具可以根據(jù)編程語言的特定規(guī)則和標準進行開發(fā)，以識別潛在的問題和漏洞，并提供修復建議。

4、滲透測試

滲透測試是一種授權模擬攻擊，旨在對其安全性進行評估，目的是證明網絡防御按照預期計劃正常運行而提供的一種機制。它是一種安全評估方法，通過對目標系統(tǒng)進行模擬攻擊，發(fā)現(xiàn)系統(tǒng)可能存在的漏洞、弱點及其它安全問題，從而評估系統(tǒng)的安全性能。

滲透測試是為了證明網絡防御按照預期計劃正常運行而提供的一種機制，具體流程階段如下：

前期交互階段。該階段通常是用來確定滲透測試的范圍和目標。

情報收集階段。該階段需要采用各種方法來收集目標主機的信息。

威脅建模階段。該階段主要是使用信息搜集階段所獲得的信息，來標識目標系統(tǒng)有存在可能存在的安全漏洞與弱點的方法之一。

漏洞分析階段。該階段將綜合從前面幾個環(huán)節(jié)中獲取到的信息，從中分析理解那些攻擊和用途徑是可行的，特別是需要重點分析端口和漏掃描結果，截獲到服務的重要信息，以及在信息收集環(huán)節(jié)中得到其他關鍵性的位置信息。

滲透攻擊階段。該階段可能是存在滲透測試過程中最吸引人的地方，然后在這種情況下，往往沒有用戶所預想的那么一帆風順，而是曲徑通幽，在攻擊目標系統(tǒng)主機時，一定要清晰的了解在目標系統(tǒng)存在這個漏洞，否則，根本無法啟動攻擊成功的步驟。

后滲透測試階段。該階段在任何一次滲透過程中都是一個關鍵環(huán)節(jié)，該階段將以特定的業(yè)務系統(tǒng)作為目標，識別出關鍵的基礎設施，并尋找客戶組織罪具有價值和嘗試進行安全保護的信息和資產。

滲透測試報告。報告是滲透測試過程中最重要的因素，使用該報告文檔可以交流滲透測試過程中國做了什么，如何做的以及最為重要的安全漏洞和弱點。

標簽：安全測試，安全測評