信息安全等级保护(简称等保)是对整个系统的安全测评,不仅仅是程序安全。但程序安全是整个等保工作中,重点中的重点!
在整个等保测试中,不仅“应用安全”需要使用到程序安全,在“安全计算环境”、“安全管理中心”、“安全管理制度”中同样离不开程序上的支持。
等保2.0需求与方案:
【物理安全】
需求:机房物理访问控制、防火,防雷击,温湿度控制、电力供应,电磁防护。
方案:选择具备相关条件的机房。
【应用安全】
需求:应用具备身份鉴别、访问控制、安全审计、剩余信息保护、软件容错、资源控制和代码安全。
方案:应用程序开发时需具备以上功能,进行应用安全检测。
【通信安全】
需求:包括网络架构,通信传输,可信验证。
方案:需配备SSL证书、云防火墙。
【边界安全】
需求:包括边界防护,访问控制,入侵防范,恶意代码防护等。
方案:需配备Web应用防火墙、云安全中心、DDos防火墙。
【环境安全】
需求:入侵防范,恶意代码防范,身份鉴别,访问控制,数据完整性、保密性,个人信息保护。
方案:需配备堡垒机、漏洞扫描、数据异地备份,同时程序需具备自动审计导出、数据自动备份功能。
【管理安全】
需求:系统管理,审计管理,安全管理,集中管控。
方案:需执行安全管理制度,同时程序需具备安全管理与权限的功能。
即使抛开等保,在普通非等保网站中,95%以上的入侵事件,均是基于程序代码不安全引起的。事实上,即使不做等保,也强烈建议在正式布署前也要进行一次安全测试!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
