第四章  化工检测技术应用




              石化信息安全管理办法》《中国石化信息安全监督检查实施细则》，特制定《信
              息系统上线 / 验收安全检查工作规范》，此工作规范为应用系统安全的红线或者
              底线，结合信息安全“三同步”要求，实现应用的生命周期安全管控。
                  信息系统上线 / 验收安全检查工作由各单位信息化管理部门负责组织实施。

              信息化管理部门组织成立信息系统上线 / 验收信息安全检查组，检查组严格执行
              有关管理规范和技术标准对信息系统进行全面、细致的检查工作。信息系统上线
              / 验收安全检查工作共分为五个阶段，分别是准备阶段、调研阶段、现场检查阶段、
              整改阶段以及检查收尾阶段。

                  在这 5 个阶段中，一些是管理控制相关内容，比如申请表，自查表，系统定
              级情况等，一些是技术检查相关内容，比如安全基线，系统漏洞检查，应用漏洞
              检查，对于重要应用，多类型的应用安全检测成为必查项目。现场检查是应用系
              统安全重点阶段，其工作包括人员访谈、配置核查、资料查阅、漏洞扫描、渗透

              测试等方式。检查内容包括但不限于以下内容：安全配置检查、渗透性安全测试
              和漏洞扫描
                  安全配置检查是指检查系统各项配置是否符合等级保护或基线的要求，即各
              安全策略是否得到实现。其检查范围包括网络层面、主机层面、应用层面及数据

              层面。
                  渗透性安全测试是从信息系统的外部或内部进行模拟渗透性攻击测试，主要
              测试信息系统对内外部风险暴露的脆弱性。
                  漏洞扫描是指利用扫描工具对信息系统的安全脆弱性进行自动化检查。漏洞

              扫描包含主机扫描和应用扫描。各项技术性检测就需要依靠系统平台支撑完成相
              应的检测和闭环管理工作。
                  （三）应用程序安全检测技术分类
                  随着基础网络安全防护体系的日益完善，直接通过网络层或者系统层漏洞完

              成攻击操作愈发困难，而应用面向交易和面向用户的属性，无法采用网络的方式
              屏蔽暴露面，因此攻击者可以通过合法和开放界面实现攻击目的，尤其云计算、
              大数据和基于软件定义技术的发展，基于 API 接口方式的应用广泛，应用层攻击
              更加普遍，据 Gartner 预测，到 2023 年，90% 的 Web 应用程序将以 API 而非用

              户界面（UI）的形式受到更多的攻击，而这一数据在 2020 年是 50%。到 2022 年，
              API 滥用将从不常见的攻击转变为最常见的攻击，从而导致企业 Web 应用程序


                                                                                  ·107·