基于等级保护的Web应用安全测评分析
应用安全测评是等级保护测评中的重要一环,文章对Web应用安全测评关键点身份鉴定、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖测评进行了深入剖析,结合现有的安全技术给出了增强Web应用安全性的实用性建议,身份鉴别安全控制点主要关注用户身份鉴别的功能,主要包括专用的登录控制模块、采用两种或两种以上组合的鉴别技术、身份标识唯一和鉴别信息复杂度检查功能、登录失败处理功能、安全策略配置相关参数。访问控制安全功能主要关注用户权限管理、对重要信息资源设置敏感标记的强制访问控制功能。安全审计功能主要关注覆盖所有用户的行为审计、审计进程的安全、审计记录的完整性、审计报表的功能。对应用软件,用户信息的形式较为多样化。绝大部分是以数据库记录的方式存在,也有文件方式独立存在的。通信完整性主要关注通信过程中数据的完整性,要求采用加密技术来实现。通信保密性主要关注通信过程中会话,要求采用加密技术来实现初始化会话验证以及对整个通信报文或会话进行加密。抗抵赖性主要关注通信双方之间的数据发送和接受双方的数据的真实性。
网络应用系统 应用层面 安全测评 等级保护
吕波 梁世伟 彭浩
西安尚易安华信息科技有限责任公司,陕西西安710000
国内会议
合肥
中文
537-539
2013-06-01(万方平台首次上网日期,不代表论文的发表时间)