關于新版等級保護基本要求應用和數據安全的建議

最近在研究OWASP應用安全問題的TOP 10 2017版本，根據已發布的前10類安全問題原理，與新版等級保護基本要求中的“應用和數據安全”進行了對應：

發現“A9使用了含有已知漏洞的組件”類問題，在基本要求中沒有找到合適的對應點，而這類問題在現實中經常出現而且危害很嚴重，比如近年來導致大量網頁被黑、服務器被控制的Struts 2漏洞、前幾年編輯器Fckeditor上傳webshell木馬控制服務器等，我認為都屬于應用系統組件的漏洞。所以建議是否考慮在“應用和數據安全”中的“軟件容錯”部分增加一條針對軟件組件的升級與補丁更新的基本要求，比如“應及時升級應用系統組件補丁，修補存在的已知安全漏洞”。

注解：

A9使用了含有已知漏洞的組件：

如果使用含有已知漏洞的組件（例如：庫、框架和其他軟件模塊），這樣的攻擊可以造成嚴重的數據丟失或服務器接管。使用含有已知漏洞的組件的應用程序和API，可能會破壞應用程序防御、造成各種攻擊并產生嚴重影響。

OWASP組織最具權威的就是其"十大安全漏洞列表OWASP Top 10"。這個列表總結了Web應用程序最可能、最常見、最危險的十大漏洞，可以幫助IT公司和開發團隊規范應用程序開發流程和測試流程，提高Web產品的安全性。

廣東IDC網可做：三級信息等保測評認證：http://m.cctvsxt.cn/dengbao/ 測評認證流程介紹