1. 当前位置:
  2. 首页 >
  3. 行业标准 >
  4. MH/T 0067-2018

MH/T 0067-2018 民航Web应用系统安全检测指南

MH/T 0067-2018 Civil aviation Web application system security testing guidelines

行业标准-民航 简体中文 现行 页数:13页 | 格式:PDF

基本信息

标准号
MH/T 0067-2018
标准类型
行业标准-民航
标准状态
现行
中国标准分类号(CCS)
L08 标志、包装、运输、贮存
国际标准分类号(ICS)
35.020 信息技术(IT)综合
发布日期
2018-12-14
实施日期
2019-04-01
发布单位/组织
中国民用航空局
归口单位
中国民航科学技术研究院
适用范围
本标准适用于指导对Web应用系统进行安全检测。

发布历史

文前页预览

MH/T 0067-2018 民航Web应用系统安全检测指南-第1页
MH/T 0067-2018 民航Web应用系统安全检测指南-第2页
MH/T 0067-2018 民航Web应用系统安全检测指南-第3页

研制信息

起草单位:
中国民航大学
起草人:
马勇、顾兆军、刘春波、周景贤、王双、张礼哲、钟友兵。
出版信息:
页数:13页 | 字数:- | 开本: -

内容描述

ICS35.020

V07

MH

中华人民共和国民用航空行业标准

MH/T0067—2018

民航Web应用系统安全检查指南

SecuritytestingguideforWebapplicationsystemofcivilaviation

2018-12-14发布2019-04-01实施

中国民用航空局发布

MH/T0067—2018

前言

本标准按照GB/T1.1-2009给出的规则起草。

本标准由中国民用航空局人事科教司提出。

本标准由中国民航科学技术研究院归口。

本标准起草单位:中国民航大学。

本标准主要起草人:马勇、顾兆军、刘春波、周景贤、王双、张礼哲、钟友兵。

MH

I

MH/T0067—2018

民航Web应用系统安全检查指南

1范围

本标准规定了针对民航Web应用系统检测的基本原则、工作方式。

本标准适用于指导对Web应用系统进行安全检测。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。

凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T28448信息安全技术信息系统安全等级保护测评要求

GB/T22239信息安全技术信息系统安全等级保护基本要求

GB/T20984信息安全技术信息安全风险评估规范

GB/T31509信息安全技术信息安全风险评估实施指南

GB/T25058信息安全技术信息系统安全等级保护实施指南术语和定义

3术语和定义

下列术语和定义适用于本文件。

3.1

软件容错softwarefault-tolerance

软件在一定程度上能从错误状态自动恢复到正常状态的功能。

4民航Web应用系统安全检测基本原则和方式

4.1检测的基本原则

4.1.1标准性原则

民航Web应用系统安全检测应符合GB/T31509和GB/T25058中的检测流程的相关要求。

4.1.2可控性原则

在安全检测项目实施过程中,应严格按照标准的项目管理方法对服务过程、人员和工具等进行控制,

以保证检测实施过程的可控和安全,具体措施如下:MH

a)人员与信息可控性:参与检测的人员应该签署保密协议,以保证检测项目信息的安全;对测试

过程中产生的数据应严格管理,防止数据泄露;

1

MH/T0067—2018

b)过程可控性:应按照项目管理要求,成立项目实施团队,项目组长负责制,以便使项目过程可

控;进行安全测试前,测试人员应与被测试方进行充分的沟通,并且在测试前告知被测试方测

试时间和测试策略;

c)工具可控性:检测过程中应使用经过国家或民航部门检测认可的相关工具。

4.1.3最小影响原则

对于正在运行的民航Web应用系统,测试前应与被测试方确定合适的测试时间窗口,避开业务高峰

期,同时做好业务系统的应急预案。

4.2检测的工作方式

4.2.1人工访谈

专业的信息安全人员与Web应用系统管理、运维和使用人员进行沟通、交流,全面地掌握Web应用系

统的业务流程、数据流程、网络架构、主机系统、运维情况、管理机构以及管理制度等各个方面的信息,

对Web应用系统的安全现状进行全面的了解。

4.2.2人工检查

利用专业人员的技术和经验对民航Web应用系统进行安全测试。

4.2.3工具测试

采用自动化Web扫描工具对检测目标进行安全测试,可以充分了解Web系统当前的安全现状、具有的

脆弱性、面临的潜在威胁、可能的影响和风险等信息。

4.2.4渗透测试

模拟黑客的攻击手段对民航Web应用系统进行安全测试。

5民航Web应用系统安全检测阶段性工作

5.1检测流程

民航Web应用系统安全检测应分为四个阶段:

——检测准备阶段;

——检测方案编制阶段;

——检测具体实施阶段;

——检测报告编写阶段。

5.2检测准备阶段

5.2.1检测准备阶段工作

检测准备阶段的主要任务是确定检测的目标、范围,成立检测团队以及掌握被检测的民航Web应用

系统的相关信息。

5.2.2确定检测目的

2

MH/T0067—2018

对民航Web应用系统检测的目标是了解Web应用系统存在的安全风险,并对发现的安全风险提出相应

的安全加固建议。

5.2.3确定检测范围

对民航Web应用系统进行检测,应掌握系统运行的业务特点,并根据其特点确定其业务逻辑边界。

5.2.4组建检测团队

应针对检测项目组建检测团队,由检测方和被检测方共同组成项目组,并明确项目组成员的职责。

5.2.5系统调研

应对要检测的民航Web应用系统进行调研,掌握被检测目标采用的编写语言、中间件、调用的第三

方库文件等信息。

5.2.6确定检测依据

检测依据为:

a)GB/T28448

b)GB/T20984

5.2.7确定检测工具原则

检测工具的选择和使用应遵循以下原则:

a)

推荐标准

相似标准推荐

更多>