我整理了一份系统安全测试的文件，没细整，比较乱。请大家指点还欠缺哪些，或如何分类更合理

• 运行环境
  

    OS安全、系统补丁
    服务器管理漏洞（OS安全机制、管理员密码、远程访问等）
    病毒防护能力
    网络安全（网络类型、防火墙配置）
    机房设备的安全

• 应用系统
  

    系统登录（密码规则、复杂程度、大小写敏感、空密码检测、登录失败提示信息）
    授权检测（注意信息的归属关系检测）
    默认用户、过期用户、禁止用户、试用用户的认证和授权
    用户访问区域限制
    SQL注入
    XSS漏洞
    数据加密传输
    敏感数据加密存储
    服务器端数据合法性验证（客户端不可信、尤其是客户端正常操作不能修改的字段）
    应用系统提供的目录列表、文件访问能力
    上传接口数据上传的安全（篡改现有数据、上传木马、垃圾数据等）
    大运算量模块的安全控制、恶意访问导致崩溃（类似拒绝服务）
    操作日志（记录有效、日志保存、删除限制）
    HTTPs协议、CA认证

• 系统实施
  

    应用服务器漏洞、补丁
    应用服务器控制台的安全、管理员的口令安全
    应用服务器中的示例应用安全性和屏蔽
    应用的目录列表
    敏感目录、文件访问安全（要考虑服务器集成的后果）
    数据库服务器安全、对应用系统数据库用户的适当授权

• 仿篡改防护
  

    仿篡改系统安装、配置、检测
    备份恢复
    备份周期、备份数据存储（异地、安全保管）、可恢复能力。

• 运营管理
  

    检查提警（系统安全、资源利用情况的定期检查、预警提示）
    人的因素，制定完善的安全运行管理制度、安全管理培训、社会学知识。

没有绝对和永久的安全，制定安全有效的安全防护方案，真正落实执行，并定期安全评估和改进。

[ 本帖最后由 uniwin 于 2008-9-4 11:15 编辑 ]

"应用系统"  中是否要有:
1. 应用系统所用的数据如(sql server,oracle安全,数据库用户权限分配是否合理\数据库是否做了访问控制),
2. 应用系统涉及到的应用服务如 iis  tomcat  weblogic 等服务的安全设置;
3.系统运行环境的安全(网络安全);  等~~~  个人意见

我写的条理不是很清晰，有些内容可能需要细分，谢谢版主的意见，有想法后再修改

呵呵,相互学习~~,继续努力~~  问下你们也做安全测试

也写几个吧，
机房的物理环境（布线、防火、水，防静电、温湿度等相关）；
合理的网络拓扑结构；
操作系统不安全的服务；
备份策略（全备份、增量备份）
运营管理中定期安全演练
AIX等的安全配置
最后进行内网渗透检测
脑袋很晕，就想了这么几个了

引用:

原帖由 zqsdy 于 2008-9-5 01:04 发表
机房的物理环境（布线、防火、水，防静电、温湿度等相关）；
...

不错,很实用,尤其是"防静电",经常被电击中,呵呵呵呵

超级版主经常被电击中，是自身防静电安全性不够强大, 呵呵

彼此彼此