@
2年前 提问
1个回答

新技术新业务信息安全评估包括什么

Ann
2年前
  • 深入业务,分析流程

深入业务,分析流程,目的是为了了解业务信息系统承载的业务使命、业务功能、业务流程等,客观准确的把握业务信息系统的体系特征。最后出具评估报告,落实整改责任并跟踪风险整改。

  • 业务威胁分析、业务脆弱性识别和人工渗透分析

业务威胁包含了WEB应用安全、客户端安全、业务逻辑安全。因为业务的特性是“个性化”,那么就很难用一个或多个工具发现所有的问题。且业务的个性化,在业务使用、业务逻辑、接口等安全测评中,必须要有人工参与验证。利用业务流程分析、威胁分析和脆弱性分析的相关数据,可以实现保障能力验证和渗透测试。

  • 风险分析和处置

通过威胁得分和脆弱性得分的与运算,得出业务系统安全和数据安全的总体风险值,结合匹配性分析的评估结果,制定出风险清单,列出风险等级,出具评估报告。针对高/中级别的风险,新业务要全部得到整改后才能通过评估上线,存量业务要在开展风险整改的同时,采取限制发展用户、限制功能升级等措施控制风险影响范围,对于遗留风险较多的业务,要制定更有针对性的应急预案。