新服务和新功能上线安全评估制度
一、制定目的
对上线的新服务和新功能进行安全评估,避免携带病毒,木马或者捆绑安装其他无关程序,从而保护用户的账户安全,避免泄露用户的隐私信息,对用户的生活造成影响,也减少网络犯罪行为的发生。
二、安全审计
  1、记录用户活动、异常情况、故障和安全事件的日志。
  2、审计日志内容包括:
(1)用户注册相关信息,包括:
1)用户唯一标识;
2)用户名称及修改记录;
3)身份信息,如姓名、证件类型、证件号码等;
4)注册时间、IP地址及端口号;
5)地址和于机号码;
6)用户备注信息;
7)用户其他信息。
(2)组、频道相关信息,包括:
  1)创建时间、创建人、创建人IP地址及端口号;
  2)删除时间、删除人、删除人IP地址及端口号;
app模板网站  3)组组织结构;
  4)组成员列表。
(3)用户登录信息,包括:
  1)用户唯一标识;
  2)登录时间;
  3)退出时间;
  4)IP地址及端口号。
(4)用户信息发布日志,包括:
  1)用户唯一标识;
  2)信息标识;
  3)信息发布时间;
  4)IP地址及端口号;
  5)信息标题或摘要,包括图片摘要。
(5)用户行为,包括:
1)进出组或频道;
2)修改、删除所发信息;
  3)上传、下载文件。
3、确保审计日志内容的可溯源性,即可追溯到真实的用户ID、网络地址和协议。
、短信息、网络电话、即时消息、网络聊天等网络消息服务提供者应能防范伪造、隐匿发送者真实标记的消息的措施;涉及地址转换技术的服务,如移动上网、网络代理、内容分发等应审计转换前后的地址与端口信息;涉及短网址服务的,应审计原始URL与短URL之间的映射关系。
4、保护审计日志,保证无法单独中断审计进程,防止删除、修改或覆盖审计日志。
5、能够根据公安机关要求留存具备指定信息访问日志的留存功能。
6、审计日志保存周期:
  1)永久保留用户注册信息、好友列表及历史变更记录,永久记录聊天室(频道、组)注册信息、成员列表以及历史变更记录;
  2)系统维护日志信息保存12个月以上;
  3)留存用户日志信息12个月以上;
  4)对用户发布的信息内容保存6个月以上;
  5)已下线的系统的日志保存周期也应符合以上规定。
三、新服务和新功能上线安全评估制度
1、代码安全审计
采用专业代码安全扫描工具,对软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则库进行全面地匹配和查,从而将源代码中存在的安全漏洞扫描出来,并给出测试报告。扫描的结果中不但包括详细的安全漏洞的信息,还有相关的安全漏洞说明,以及修复意见等等。依据源代码安全测评结果,对源代码安全漏洞进行人工审计,并
依据安全漏洞问题给出相应修改建议,协助系统开发人员对源代码进行修改。
2安全漏洞扫描
对上线前的信息系统进行漏洞扫描,及时发现并查系统漏洞并及时进行修复。
应用漏洞扫描发现信息系统中存在的严重漏洞,针对 扫描结果并结合人工验证,将发现的应用系统漏洞、主机操 作系统漏洞、数据库漏洞、逻辑缺陷.弱口令、信息泄露等 脆弱性问题,形成应用漏洞扫描报告,通过对漏洞的修补完 善,避免对信息系统造成严重影响。
3安全配置核查
利用专业的安全配置核查工具进行基准评测,使得面对种类繁杂、数量众多的应用系统、操作系统及网络设备,可以进行快速、有效的配置核查,识别与安全配置和操作规范 不符合的项目,以便进行整改并达到配置合规性的要求。安 全配置核查工具,具有完善的安全配置专家库,涵盖了操作系统、网络设备、数据库、中间件、应用服务器等多类设备 及系统的安全配置信息及加固建议。
安全配置核查工具执行计算机的机器语言,自动进行安全配置检查,大大节省 传统的手工安全配置检查的时间,并避免人工检查所带来的失误风险,同时能够出具详细的检测报告,提高检查结果的准确性和合规性,对信息系统是否符合上线运行条件提供技术支持。
4渗透性测试
渗透性测试,整体防御层面的评测手段,信息安全专家根据已掌握的安全漏洞,模拟黑客攻击方法,对信息系统进行非破坏性的攻击性测试,用来发现信息系统防御体系漏洞的一种常用方法。所有的渗透性测试,必须在书面明确授权和签署保密协议下进行。
渗透性测试的目的在于充分挖掘和暴露信息系统的弱点,从而了解信息系统所面临的威胁。渗透性测试工作是信息系统上线前安全评测工作的重要环节,同时也为风险评估提供重要的始参考数据。
渗透测试不同于其他三个评测层面,不是在已知系统上,对已知弱点进行排查,而是测试者模拟黑客,在未知系统 中发现弱点,而且还要验证弱点,甚至还会挖掘出一些未知的弱点。渗透测试是其他三项评测内容的一种最好的补充。
另外,渗透测试的攻击路径及手段不同于常见的安全产品,所以它往往能暴露出一条甚至多条被人们所忽视的威 胁路径,从而暴露整个信息系统的威胁所在。最重要的是,渗透测试最终的成功一般不是因为某一个信息系统的某项单 一问题所直接引起的,而是由一系列看似没有关联而且又不严重的缺陷组合而导致的。在日常工作中,无论对信息系统 进行怎样的传统安全检查工作,对于没有相关经验和技能的人员都无法将这些缺陷进行如此的排列组合从而引发安全漏 洞,但安全专家却可以靠其丰富的经验和技能将它们进行串联并展示出来。所以,渗透性测试的结果对信息系统是否符合上线运行条件,可以提供决策支持。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。