《信息安全技術開原始碼安全審計規範》是2019年12月17日發布的一項行業標準。
基本介紹
- 中文名:信息安全技術開原始碼安全審計規範
- 標椎編號:T/CFAS 0003—2019
- 國民經濟分類:I651 軟體開發
- 發布日期:2019年12月17日
- 實施日期:2020年01月01日
《信息安全技術開原始碼安全審計規範》是2019年12月17日發布的一項行業標準。
《信息安全技術開原始碼安全審計規範》是2019年12月17日發布的一項行業標準。適用範圍 開原始碼安全不同於對開源軟體使用和開源環境的安全監控,開原始碼安全審計和漏洞評估屬於代碼級漏洞掃描的套用,主要是對於開原始碼自身存在的缺陷以及該代碼所使用和涉及到的開源原始碼包等,進行全方位的安全漏洞掃描,在該代碼未成為...
顧名思義就是檢查原始碼中的安全缺陷,檢查程式原始碼是否存在安全隱患,或者有編碼不規範的地方,通過自動化工具或者人工審查的方式,對程式原始碼逐條進行檢查和分析,發現這些原始碼缺陷引發的安全漏洞,並提供代碼修訂措施和建議。簡介 代碼審計(Code audit)是一種以發現程式錯誤,安全漏洞和違反程式規範為目標的源...
信息系統安全審計是信息系統審計全過程的組成部分,主要依據標準包括COBIT、CC、ITIL等信息安全管理標準。定義 信息系統安全審計是評判一個信息系統是否真正安全的重要標準之一。通過安全審計收集、分析、評估安全信息、掌握安全狀態,制定安全策略,確保整個安全體系的完備性、合理性和適用性,才能將系統調整到“最安全”和...
信息系統安全性審計是信息系統審計的一種,它與信息系統真實性審計、信息系統績效審計等組成了信息系統審計。 信息系統安全性審計的主要目標是審查企業信息系統和電子數據的安全性、可靠性、可用性、保密性等。一是預防來自網際網路對信息系統的威脅,二是預防來自企業內部對信息系統的危害。涵義 信息技術對企業發展的作用...
《信息技術服務—治理—安全審計》(T/CESA 1101-2020)是2020年9月1日實施的一項中華人民共和國團體標準,歸口於中國電子技術標準化研究院、中國電子工業標準化技術協會。團體標準《信息技術服務—治理—安全審計》(T/CESA 1101-2020)規定了信息技術相關的安全審計總則、安全審計組織管理、安全審計人員、安全內部控制...
《網路安全技術—軟體產品開原始碼安全評價方法》(GB/T 43848-2024)是2024年11月1日實施的一項中華人民共和國國家標準,歸口於全國網路安全標準化技術委員會,主管部門為國家標準化管理委員會。編制進程 2024年4月25日,《網路安全技術—軟體產品開原始碼安全評價方法》(GB/T 43848-2024)發布。2024年11月1日,《...
《信息安全技術—移動網際網路安全審計指南》是2022年10月1日實施的一項中國國家標準 。編制進程 2022年3月9日,《信息安全技術—移動網際網路安全審計指南》發布。2022年10月1日,《信息安全技術—移動網際網路安全審計指南》實施 。起草工作 主要起草單位:北京交通大學、北京思福迪信息技術有限公司、北京信息科技大學、中國...
本標準適用於軟體開發者和管理者對軟體代碼中開源成分信息及其安全風險的檢測活動。 本標準不涉及源代碼安全的傳統測試方案如靜態掃描、模糊測試、代碼審計;不涉及在開原始碼(成分)中挖掘新的安全漏洞;不涉及檢測標準的評價體系。主要內容 本標準規定了軟體代碼開源成分及其安全性檢測的檢測過程及方法,描述了代碼中...
新時期的網路安全審計 2005年11月,公安部令第82號,即《網際網路安全保護技術措施規定》,對網際網路服務單位和聯網單位落實安全保護技術措施提出了明確、具體和可操作性的要求,保證了安全保護技術措施的科學、合理和有效的實施,有利於加強和規範網際網路安全保護工作,提高網際網路服務單位和聯網單位的安全防範能力和水平,...
全書內容分為9章,主要介紹了代碼審計的基礎知識、代碼審計的環境搭建、輔助工具簡介、Java EE基礎知識補充、OWASP Top10 2017內外的代碼審計經驗介紹、JSPXCMS代碼審計實戰以及IAST與RASP技術的介紹等內容,另外,本書還對Java安全編碼規範索引進行了簡單的介紹。本書由淺入深、全面、系統地介紹了Java代碼審計的流程、...
作業系統維護技術:作業系統作為一切操作的平台,在進行相應的計算機信息安全處理前必須對操作平台有一個系統全面的了解。培養目標 培養掌握系統與網路安全的基本理論與病毒防範、黑客攻擊手段分析與防範技術。能熟練套用信息安全產品,熟悉信息安全管理規範。具有開發、維護和管理信息安全系統能力的高等技術套用性人才。主要...
b) 應制定符合安全規範的用戶身份鑑別方式、用戶許可權設定、操作規範、安全審計等相關措施;c) 應實時監控中間件運行狀態和通過中間件的數據。8.6 惡意代碼防範 惡意代碼防範要求如下:a) 應制定軟體使用規定,遵守軟體許可協定,不應使用非法軟體;b) 通過網際網路或不明來源獲取的檔案和軟體,應採取防護措施;c) 應...
《網路安全眾測平台第三方安全審計技術要求》是2024年04月01日實施的一項中國行業標準。編制進程 2023年12月20日,《網路安全眾測平台第三方安全審計技術要求》發布。2024年04月01日,《網路安全眾測平台第三方安全審計技術要求》實施。起草工作 起草單位:國家計算機網路應急技術處理協調中心、上海斗象信息科技有限公司、...
俞優、顧建新、林燕、彭勇、鄒春明。內容簡介 《信息安全技術 信息安全產品類別與代碼(GB/T 25066-2010)》由中國標準出版社出版。圖書目錄 前言 1範圍 2規範性引用檔案 3術語和定義 4類別與代碼 附錄A(規範性附錄)分類描述 參考文獻 起草單位 中華人民共和國國家質量監督檢驗檢疫總局 中國國家標準化管理委員會 ...
主機加固技術:作業系統或者資料庫的實現會不可避免地出現某些漏洞,從而使信息網路系統遭受嚴重的威脅。主機加固技術對作業系統、資料庫等進行漏洞加固和保護,提高系統的抗攻擊能力。安全審計技術:包含日誌審計和行為審計,通過日誌審計協助管理員在受到攻擊後察看網路日誌,從而評估網路配置的合理性、安全策略的有效性,...