当前位置: 首页 > 等保建设

联系我们

  • 地址:哈尔滨市南岗区一曼街3号49所B区202室
  • 邮编:150088
  • 电话:18945009993
  • 传真:0451 55518860
  • 邮箱:work@hljcsa.cn

等保建设

关于新版等级保护基本要求应用和数据安全的建议

发表时间: 2018年11月15日

      最近在研究OWASP应用安全问题的TOP 10 2017版本,根据已发布的前10类安全问题原理,与新版等级保护基本要求中的“应用和数据安全”进行了对应:

 

201876155823.jpg


发现“A9使用了含有已知漏洞的组件”类问题,在基本要求中没有找到合适的对应点,而这类问题在现实中经常出现而且危害很严重,比如近年来导致大量网页被黑、服务器被控制的Struts 2漏洞、前几年编辑器Fckeditor上传********木马控制服务器等,我认为都属于应用系统组件的漏洞。所以建议是否考虑在“应用和数据安全”中的“软件容错”部分增加一条针对软件组件的升级与补丁更新的基本要求,比如“应及时升级应用系统组件补丁,修补存在的已知安全漏洞”。

注解:

A9使用了含有已知漏洞的组件:

如果使用含有已知漏洞的组件(例如:库、框架和其他软件模块),这样的攻击可以造成严重的数据丢失或服务器接管。使用含有已知漏洞的组件的应用程序和API,可能会破坏应用程序防御、造成各种攻击并产生严重影响。

OWASP组织最具权威的就是其"十大安全漏洞列表OWASP Top 10"。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞,可以帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性。