通过设置这两个相互依赖的维,SSE-CMM在各个能力级别上覆盖了整个安全活动范围。 给每个PA赋予一个能力级别评分,所得到的两维图形便形象地反映一个工程组织整体上的系统安全工程能力成熟度,也间接的反映其工作结果的质量及其安全上的可信度。
2018-05-29 阅读全文>>过程能力(Process Capability) 对过程控制程度的衡量方法,采用成熟度级别划分 过程能力的作用 衡量组织达到过程目标的能力 成熟度低,成本、进度、功能和质量都不稳定 成熟度高,达到预定的成本、进度、功能和质量目标的就越有把握
2018-05-29 阅读全文>>过程区域(PA,Process Area)
2018-05-29 阅读全文>>“域维” 由所有定义的安全工程过程区构成 “能力维”代表组织实施这一过程的能力
2018-05-29 阅读全文>>帮助选择合格的投标者,以统一的标准对安全工程过程进行监管提高工程实施质量,减少争议
2018-05-29 阅读全文>>识别风险是发掘信息保护需求阶段工作的关键 一切工程皆有需求,需求与风险的一致性越强,则需求越准确 信息安全工程的需求应从风险评估结果分析中得出 识别风险工作方式 与客户进行沟通,并结合安全工程师专业知识 为每一个信息域指定信息受到的危害的度量准则和可能的危害事件 服务的强度要与信息......
2018-05-29 阅读全文>>界定范围 分析业务、使命 识别约束 法律 法规 政策 合同 识别风险 记录需求 获得客户对需求的认可
2018-05-29 阅读全文>>了解组织机构的业务和使命 确定信息系统面临的风险 识别适用的保护策略
2018-05-29 阅读全文>>工程实施组织的能力成熟度等级越高,系统的风险越低 CMM为工程的过程能力提供了一个阶梯式的改进框架
2018-05-29 阅读全文>>失效的验证和会话管理 不安全的对象直接引用 跨站请求伪造 不安全的配置管理 不安全的密码存储 错误的访问控制 传输保护不足 未经验证的网址重定向 不恰当的异常处理 拒绝服务攻击
2018-05-28 阅读全文>>原理 由于程序没有对用户提交的变量中的HTML代码进行过滤或转换,使得脚本可被执行,攻击者可以利用用户和服务器之间的信任关系实现恶意攻击 危害 敏感信息泄露、账号劫持、Cookie欺骗、拒绝服务、钓鱼等 防范 不允许HTML中脚本运行 对所有脚本进行严格过滤
2018-05-28 阅读全文>>防御的对象:所有外部传入数据 用户的输入 提交的URL请求中的参数部分 从cookie中得到的数据 其他系统传入的数据 防御的方法 白名单:限制传递数据的格式 黑名单:过滤 过滤特殊字串:update、insert、delete等 开发时过滤特殊字符:单引号、双引号、斜杠、反斜杠、冒号、空字符等的字符 ......
2018-05-28 阅读全文>>数据库信息收集 数据检索 操作数据库 增加数据 删除数据 更改数据 操作系统 借助数据库某些功能(例如:SQLServer的内置存储过程XP_CMDShell)
2018-05-28 阅读全文>>可以传递到数据库的数据都是攻击对象 示例 http: www zpedu com showdetail asp?id=49’ And (update user set passwd=‘123’ where username=‘admin’);-- Select * from 表名 where 字段=’49’ And (update user set passwd=‘123’ where username=‘admin’);
2018-05-28 阅读全文>>原理:程序没有对用户输入数据的合法性进行判断,使攻击者可以绕过应用程序限制,构造一段SQL语句并传递到数据库中,实现对数据库的操作 示例
2018-05-28 阅读全文>>1921条 上一页 1.. 27 28 29 30 31 ..129 下一页