关于新版等级保护基本要求应用和数据安全的建议
2018-11-05 18:10:08
GDIDC
关于新版等级保护基本要求应用和数据安全的建议
最近在研究OWASP应用安全问题的TOP 10 2017版本,根据已发布的前10类安全问题原理,与新版等级保护基本要求中的“应用和数据安全”进行了对应:
发现“A9使用了含有已知漏洞的组件”类问题,在基本要求中没有找到合适的对应点,而这类问题在现实中经常出现而且危害很严重,比如近年来导致大量网页被黑、服务器被控制的Struts 2漏洞、前几年编辑器Fckeditor上传webshell木马控制服务器等,我认为都属于应用系统组件的漏洞。所以建议是否考虑在“应用和数据安全”中的“软件容错”部分增加一条针对软件组件的升级与补丁更新的基本要求,比如“应及时升级应用系统组件补丁,修补存在的已知安全漏洞”。
注解:
A9使用了含有已知漏洞的组件:
如果使用含有已知漏洞的组件(例如:库、框架和其他软件模块),这样的攻击可以造成严重的数据丢失或服务器接管。使用含有已知漏洞的组件的应用程序和API,可能会破坏应用程序防御、造成各种攻击并产生严重影响。
OWASP组织最具权威的就是其"十大安全漏洞列表OWASP Top 10"。这个列表总结了Web应用程序最可能、最常见、最危险的十大漏洞,可以帮助IT公司和开发团队规范应用程序开发流程和测试流程,提高Web产品的安全性。
网络信息安全等级保护三级认证:https://www.gdidc.com.cn/dengbao/