网站安全性评估内容要求
平台的安全评估
按照甲方公司政策,需要对其进行一次安全评估,需要得到开发人员的支持和回复。
以下是进行安全评估的一些问题和需要的文档材料,希望能够尽快得到乙方回复。谢谢!
1. 架构:提供 : 网络拓扑图,系统架构图,软件架构图,接口规范(尤其是交易接口),数据流程图
2. 系统: 1)请问平台是甲方独有平台还是和其他商户公用平台?(服务器,前台,数据库)
2)web服务端,数据库端的名称和版本? 任何中间件的名称和版本?任何第三方插件的名称和版本?开发语言,框架的名称和版本?
3. 网络 : 1)此平台是否置于任何waf的保护之下?如有,请提供waf的型号或名称
2)对此平台的管理如何进行?是否共用admin账号?是否有堡垒机平台进行运维安全审计?
3)对系统和应用程式的日志策略是什么?保存多少时间?
4. 端点安全 : 1)对此平台及任何服务的版本管理和补丁管理如何进行?是否所有组件都应用了最新的补丁?
2) 系统配置项是否都遵从某一个最佳安全实践?(或者服务器系统和组件的基线配置是什么样子的?)
5. 关键数据保护 : 1)在数据库中存放何种敏感数据?(例如个人信息,信用卡号)
2)此数据库中数据所有者是甲方还是乙方?
3)如确实有前述敏感数据且属于甲方,乙方提供何种保护?(数据库加密,列加密等等)
4)如确实有前述敏感数据且属于甲方,乙方提供何种数据库审计?
6. 灾备和业务连续性 : 1) 乙方如遇到机房火灾等意外事故导致机房设备全部损坏,可以在多少时间内恢复我方平台的使用?可以确保将我方数据恢复到何种程度?(例如24小时前,72小时前,等等)
7. 应用程序安全: 1) 乙方平台经过等保评测吗?
2) 乙方平台是否有任何安全认证?例如27001
3) 乙方平台是否置于一个周期性的自动化安全扫描之下?如果是,那么使用的扫描平台名称和版本是什么?并请提供最后一次扫描的报告
4) 乙方平台是否置于一个周期性的渗透测试计划着下?如果是,请提供最后一次的渗透测试报告。
5)乙方所有交易如何保证其 安全性?请提供交易指令的格式说明。如有验证交易来源的功能,也请一并提示如何实现。
附件是通过第三方平台对网站https安全性的评估,也请一并转发给乙方运维和开发人员。此评估报告提示乙方交易网站仍旧使用不安全的https协议和配置并暴露于多种针对https的漏洞攻击之下。
网站安全性评估内容要求相关推荐
- 密码学读书笔记系列(三):《商用密码应用与安全性评估》
密码学读书笔记系列(三):<商用密码应用与安全性评估> 思考/前言 第1章 密码基础知识 1.1 密码应用概述 1.2 密码应用安全性评估(密评)的基本原理 1.3 密码技术发展 1.4 ...
- 商用密码应用与安全性评估要点笔记(FAQ)
5 商用密码应用安全性评估FAQ汇编 词条 内容 密钥应用基本要求的等级 一般按照信息系统网络安全等级保护的级别确定.对于未完成网络安全等级保护定级的重要信息系统,其密码应用等级至少为第三级. [宜] ...
- 能力建设指南_客户指南创建网站实际需要的内容
能力建设指南 Web developers: Email potential or current clients to this article for help clarifying your p ...
- 【国内首家!】阿里云专有云通过商用密码应用安全性评估
简介:阿里云凭借自研飞天云操作系统的全方位安全能力,成为国内首家通过云平台密评的云厂商. 近日,国内首个针对云平台的商用密码应用安全性评估(以下简称密评)结果出炉.阿里云凭借自研飞天云操作系统的全方位 ...
- 《商用密码应用与安全性评估》第四章 密码应用安全性评估实施要点-小结
密码应用安全性评估包括:信息系统规划阶段对密码应用方案的评审/评估.建设完成后对信息系统开展的实际测评. 总体要求.物理和环境安全.网络与通信安全.设备与计算安全.应用与数据安全.密钥管理.安全管理 ...
- 商用密码应用安全性评估(密评)六大基础问题解答
2021年3月9日,国家市场监管总局.国家标准化管理委员会发布公告,正式发布国家标准GB/T39786-2021<信息安全技术 信息系统密码应用基本要求>,该标准将于2021年10月1日起 ...
- 商用密码应用与安全性评估之(四)密码应用安全性评估实施要点
商用密码应用与安全性评估之(四)密码应用安全性评估实施要点 商用密码应用安全性评估的主要内容 1. 评估依据和基本原则 2. 评估主要内容 1) 商用密码应用合规性评估 2) 商用密码应用正确性评估 ...
- 密评(商用密码应用安全性评估)
密评的全称,商用密码应用安全性评估,是指在采用商用密码技术.产品和服务集成建设的网络和信息系统中,对其密码应用的合规性.正确性和有效性进行评估. 即按照有关法律法规和标准规范,对网络与信息系统使用商用 ...
- 《密码法》之商用密码应用安全性评估----六问
密评六大基础问题解答 商用密码应用安全性评估,以下简称密评: Q1:运营单位怎么判定是否需要开展商用密码应用安全性评估? 1)<密码法>第二十七条 法律.行政法规和国家有关规定要求使用商用 ...
最新文章
- Kafka原理和实践--云平台技术栈13
- 点滴积累【JS】---JS小功能(setInterval实现图片效果显示时间)
- ATMEGA8 DIP-28面包板实验
- 爬虫9-淘宝商品信息定向爬虫
- Cookie的利弊以及与web storage的区别
- 在Ubuntu桌面上显示我的电脑等图标
- Visual Web Developer 中的网站类型
- Objective -C-2
- layUI使用table.reload时出现了两次请求问题
- 博客园的第一篇文章-----述学习编程的开始与经历
- iOS APP产品流水线----- 模块化开发及组件化模块化的讨论(解耦、面向接口调用、面向页面调用、封装SDK)
- 黑马程序员-python笔记-从入门到入职
- 记一次坑爹的RSA旅程____快哭了555555555(来自实验吧的warmup的wp和感想)
- C++学习(一七八)Android的arm64-v8a、armeabi-v7a、armeabi、x86
- 修改ubuntu键盘布局
- 流行的权限管理 gem devise的定制
- [总结]蓝牙各个版本的关系和区别
- Android实现一个可以移动,删除,保存,自定义样式的便签app
- Swift 语言之父 Chris Lattner 宣布离开苹果
- 【Python】某商店T恤的价格为35元/件(2件9折,3件以上8折)裤子的价格为120元/条(2条以上9折).小明在该店买了3件T恤和2条裤子,请计算并显示小明应该付多少钱?
热门文章
- 【JAVA秘籍功法篇-SpringBoot】初识SpringBoot
- Map.putall()方法
- 计算机程序著作权保护,计算机程序著作权保护问题研究
- postfix支持mysql_Postfix与MySQL的虚拟域配置
- c盘哪些文件可以删除?正确答案在这里!
- 基于Java+Swing+mysql物业收费管理系统
- spuer和this关键字
- C语言经典100例(10)——打印楼梯,同时在楼梯上方打印两个笑脸。
- 学计算机电脑屏幕小可以吗,电脑屏幕大小怎么调好 设置桌面大小时要注意哪些要点...
- 计算机硕士生招聘,国泰君安招聘计算机硕士实习生