關(guān)于新版等級保護(hù)基本要求應(yīng)用和數(shù)據(jù)安全的建議

關(guān)于新版等級保護(hù)基本要求應(yīng)用和數(shù)據(jù)安全的建議

最近在研究OWASP應(yīng)用安全問題的TOP 10 2017版本，根據(jù)已發(fā)布的前10類安全問題原理，與新版等級保護(hù)基本要求中的“應(yīng)用和數(shù)據(jù)安全”進(jìn)行了對應(yīng)：

發(fā)現(xiàn)“A9使用了含有已知漏洞的組件”類問題，在基本要求中沒有找到合適的對應(yīng)點(diǎn)，而這類問題在現(xiàn)實(shí)中經(jīng)常出現(xiàn)而且危害很嚴(yán)重，比如近年來導(dǎo)致大量網(wǎng)頁被黑、服務(wù)器被控制的Struts 2漏洞、前幾年編輯器Fckeditor上傳webshell木馬控制服務(wù)器等，我認(rèn)為都屬于應(yīng)用系統(tǒng)組件的漏洞。所以建議是否考慮在“應(yīng)用和數(shù)據(jù)安全”中的“軟件容錯(cuò)”部分增加一條針對軟件組件的升級與補(bǔ)丁更新的基本要求，比如“應(yīng)及時(shí)升級應(yīng)用系統(tǒng)組件補(bǔ)丁，修補(bǔ)存在的已知安全漏洞”。

注解：

A9使用了含有已知漏洞的組件：

如果使用含有已知漏洞的組件（例如：庫、框架和其他軟件模塊），這樣的攻擊可以造成嚴(yán)重的數(shù)據(jù)丟失或服務(wù)器接管。使用含有已知漏洞的組件的應(yīng)用程序和API，可能會破壞應(yīng)用程序防御、造成各種攻擊并產(chǎn)生嚴(yán)重影響。

OWASP組織最具權(quán)威的就是其"十大安全漏洞列表OWASP Top 10"。這個(gè)列表總結(jié)了Web應(yīng)用程序最可能、最常見、最危險(xiǎn)的十大漏洞，可以幫助IT公司和開發(fā)團(tuán)隊(duì)規(guī)范應(yīng)用程序開發(fā)流程和測試流程，提高Web產(chǎn)品的安全性。

網(wǎng)絡(luò)信息安全等級保護(hù)三級認(rèn)證：http://m.cctvsxt.cn/dengbao/