软件安全风险评估报告.pdfVIP

软件安全风险评估报告--第1页

XXX系统

安全风险评估报告

.

软件安全风险评估报告--第1页

软件安全风险评估报告--第2页

目录

目录I

第一章概述2

1.1安全评估目的2

1.2安全评估要求2

第二章软件安全评估具体需求3

2.1安全评估指导原则3

2.2安全评估主要任务3

2.2.1软件需求分析3

2.2.2软件结构设计安全性分析3

2.2.3软件编程安全性分析4

2.2.4软件详细设计安全性分析4

2.2.5软件编码安全性分析5

2.2.6软件测试安全性分析5

2.2.7软件安全性测试5

第三章相关注意事项7

I

软件安全风险评估报告--第2页

软件安全风险评估报告--第3页

第一章概述

1.1安全评估目的

随着信息化的发展，政府部门、金融机构、企事业单位等对信息系统依赖程

度的日益增强，信息安全问题受到普遍关注。对信息系统软件进行安全测评，综

合分析系统测试过程中有关现场核查、技术测试以及安全管理体系评估的结果，

对其软件系统安全要求符合性和安全保障能力作出综合评价，提出相关改进建

议，并在系统整改后进行复测确认。以确保信息系统的安全保护措施符合相应安

全等级的基本安全要求。

根据最新的统计结果，超过70%的安全漏洞出现在应用层而不是网络层。而

且不只发生在操作系统或者web浏览器，而发生在各种应用程序中特别是关键的

业务系统中。因此，有必要针对贵州省林业科技成果库系统应用软件进行安全风

险评估，根据评估结果，预先采取防范措施，预防或缓解各种可能出现的信息数

据安全风险。

1.2安全评估要求

针对贵州省林业科技成果库系统应用软件进行安全风险评估，包括软件结构

设计安全、软件编程安全、软件详细设计安全、软件编码安全、软件测试安全、

安全性测试等等进行评估。

2

软件安全风险评估报告--第3页

软件安全风险评估报告--第4页

第二章软件安全评估具体需求

2.1安全评估指导原则

软件安全风险评估作为一项目标明确的项目，应分为以下五个阶段，每个阶

段有不同的任务需要完成。

1、启动和范围确定：在安全相关软件的合同或任务书中应提出软件安全性

分析的范围和要求。实施方明确责任，管理者检查必备的资源（包括人员、

技术、基础设施和时间安排），确保软件安全性分析的开展；

2、策划：软件安全性分析管理者应制定安全性分析计划，该计划可作为所

属软件过程或活动的计划的一部分。

3、执行和控制：管理者应监控由软件安全性分析计划规定的任务的执行。

管理者应控制安全性分析进展并对发现的问题进行调查、分析和解决（解决方案

有可能导致计划变更）。

4、评审和评价：管理者应对安全性分析及其输出的软件产品进行评价，