自动化Web安全测试的局限及手工测试方法

如今Web安全已受到企业的极大关注,市面上的自动化Web安全测试工具也层出不穷。由于自动化工具在检测过程中存在漏报现象,故完全信任自动化工具的检测结果往往会造成测试不全面、严重漏洞未检出等情况,给企业带来风险。文章探讨自动化Web安全测试工具漏报情况及其原理,并给出相关的手工测试方案。     

基于Web服务生命周期的测试技术研究进展

Web服务是一种新的分布式计算范型--面向服务的体系结构的具体实现之一.然而,Web服务的松耦合、动态性和可组合性等特点给Web服务测试带来了极大的挑战.如何寻求高效的Web服务测试技术和开发实用的测试工具,是当今软件业界一个亟待解决的课题.当前Web服务的测试方法已经贯穿于服务的开发、预发布、运行以及演化的整个生命周期.提出了从Web服务生命周期的角度分析Web服务测试的重要参数,在此基础之上归纳和比较了近年来出现的一些典型的测试方法和技术,最后展望并探讨了Web服务测试今后的研究方向.     

Web应用程序的安全问题及对策

Web页面是所有互联网应用的主要界面和入口,各行业信息化过程中的应用几乎都架设在Web平台上,关键业务也通过Web应用程序来实现,Web应用程序的安全性变得越来越重要。Web应用本身具有一些的安全弱点,其安全漏洞常被利用来攻击。Web应用程序的安全问题是一个复杂的综合问题,在Web应用程序开发阶段就应予以重视,分别从数据库设计、程序设计、Web服务器等三个层面去考虑如何加强Web应用程序的安全性。     

Web应用安全的集成风险评估方法

针对Web应用的安全风险,提出模糊综合评价与信息熵相结合的集成风险评估方法。对于Web应用的技术维度,采用层次分析法确定评估指标的权重;为更好地反映安全漏洞的潜在风险,在多级模糊评价的过程中引入峰值评判的准则。对于Web应用的管理维度,采用信息熵挖掘评估指标的权重和专家意见的权重,获取专家群体的一致性评判意见。通过应用实例证明了评估方法的可行性和有效性。该集成评估方法吸收了当前网络安全众测的理念,体现了网络安全等级保护和信息安全体系建设的要求,有利于组织快速评估Web应用安全风险并进行持续的改进。     

Web前端常见安全问题及对策

介绍了近些年在Web安全方面常见的一些案例,然后介绍了Web前端安全方面常见的几种漏洞,以及在开发过程中采用何种策略规避这些Web漏洞,降低和避免Web网站受到攻击。     

Web安全中的信任管理研究与进展

信任管理是当前Web安全研究的热点.介绍了信任管理思想的出现,给出了信任管理的概念和模型,并概述了几个典型的信任管理系统和信任度评估模型.讨论了当前研究存在的问题以及今后的研究方向.     

Web数据库系统的安全管理策略

随着Web技术的广泛应用,基于Web的信息系统越来越多,Web数据库应用也越来越广泛,而面临的数据安全也日益突出。该文就ASP SQL Server系统的安全管理策略进行探讨和研究,从多方面保证了Microsoft SQL Server中数据的完整、安全。     

Web应用程序漏洞及安全研究

Web应用攻击能够给人们的财产、资源和声誉造成重大破坏。虽然Web应用增加了用户受攻击的危险,但有许多方法可以帮助减轻这一危险。本文研究了Web应用程序的漏洞,探讨了Web安全的现状及问题由来以及几种主要Web安全技术,提出了实现Web安全的几条措施。     

在线自学自测系统的安全测试与分析

本文针对自己参与开发的基于B/S结构的外语在线自学自测系统,利用当今最常用的Web攻击手段,通过黑盒测试方法对其进行安全性测试,并对存在的漏洞进行了静态分析,最后对源代码进行了完善。     

一种基于灰色关联分析的信息安全风险评估方法研究

随着信息化进程的快速发展,保障信息系统的安全性和降低信息系统潜在的风险,一直是国内外学者关注的焦点,而风险评估正是解决该问题的有效方法之一,但是在风险评估过程中存在评估指标难以量化、风险值难以界定等困难,因此文章提出了一种基于灰色关联分析的信息安全风险评估方法,该方法首先建立了信息系统的风险评估指标体系,其次将评估的信息系统与最优信息系统进行关联度分析,最后得出信息系统风险的准确度量。该方法可以使信息系统的评估过程简单化,标准化。     

智能系统全生命周期安全测试理论与方法

人工智能技术在公共、国防安全领域得到了广泛应用,然而智能系统的安全性面临极大挑战。如何有效、全面、深入地对智能系统进行安全测试成为解决当前智能系统安全问题的重要途径。近年来,国内外高度重视智能系统的安全性问题,开展了大量的安全测试理论方法研究并出台了大量相关政策文件。针对智能系统面临的安全问题,本文详细阐述了面向智能系统全生命周期的安全测试理论与方法。首先,本文说明了智能系统的特点、安全内涵及安全机理;接着,本文结合模型训练、模型推理、模型部署三个主要生命周期阶段,详细地阐述了智能系统面临的安全性挑战和测试理论方法;最后,本文从标准、平台等角度阐明了构建智能系统安全测试支撑体系的方式,分析了自动驾驶典型场景下的智能系统安全测试案例,并给出了未来展望。开展智能系统安全测试理论和方法体系的建设,可有效规避系统潜在风险和质量缺陷,是实现人工智能算法可解释、可信赖的基本路径,对于确保人工智能技术安全、可靠、可控具有重要意义。     

一种新颖的Web服务安全性测试方法

针对传统的Web服务安全性测试方法存在的低效、缺乏灵活性、不适应复杂安全功能测试及难以实现异常测试等问题,本文提出一种基于WSDL文件动态解析和安全功能分解的Web服务安全性测试方法。该方法采用运行时动态解析WSDL文件的方式解决了传统测试方法与被测Web服务紧耦合的问题,将复杂安全功能分解为7类原子安全处理类型,使其能够有效适应复杂安全功能测试的需要,采用故障注入机制生成错误的SOAP消息使其支持异常测试。实验结果表明,该方法具有灵活性、高效性和先进性。     

基于生命周期分析信息安全管理体系

信息安全管理正成为当前全球的热门话题,建立健全信息安全管理体系对企业的安全管理工作和企业的发展意义重大。信息技术在加速企业发展的同时,也给企业带来了各种各样的威胁。文中在跟踪现有的信息安全管理实际状况的基础上,分析各项威胁对信息系统造成的影响,并讨论基于生命周期建立一套信息安全管理体系所经历的四个阶段的主要内容及其作用。确保信息的完整性、可用性和保密性,从而保持业务运作的持续性和组织的竞争优势。     

对Web安全性测试技术的分析

随着互联网技术水平的不断提高,Web应用发展成为软件开发的一个主流方向,同时其本身存在的一系列安全漏洞也开始不断暴露,埋下了严重的安全隐患。鉴于此,本文基于Web安全性测试技术进行相应探讨。     

基于Web的企业仓库信息管理系统安全方案

该文简要分析了现有的防火墙技术、安全传输技术、身份认证技术、数据库加密技术;设计了一套安全方案,应用于基于Web的企业仓库信息管理系统中,很好地保证了系统的安全。     

面向漏洞生命周期的安全风险度量方法

为了反映信息系统安全漏洞的风险随时间动态变化的规律,构建基于吸收Markov链的漏洞生命周期模型,计算先验历史漏洞信息作为模型输入,构造漏洞生命周期的状态转移概率矩阵,在时间维度上利用矩阵对状态演化过程进行推导.借鉴通用漏洞评分标准分析漏洞威胁影响,给出安全漏洞的时间维度风险量化方法,并对漏洞生命周期各状态发生概率的演化规律进行总结和分析.最后以典型APT攻击场景中“WannaCry”勒索病毒的漏洞利用过程为例,验证了模型及方法的合理性和有效性.     

浅谈网络安全的风险评估方法

随着网络技术的日新月异,网络安全越来越成为人们关注的热点问题。网络安全的风险评估,在网络安全技术中具有重要的地位,有利于及时了解网络系统的安全状况。在计算机网络的运行过程中,对网络系统的总体安全性能进行评估,可以为安全体系的构建提供依据,有效地进行网络安全风险管理。本文以网络安全为切入点,在概述网络安全风险评估的基础上,重点探讨了网络安全的风险评估方法,旨在说明网络安全风险评估的重要性,以期为网络安全的风险评估提供参考。     

信息安全的风险评估及其应用分析

在信息时代的大环境背景下,社会经济科技文化方面都有了飞速发展。但是接踵而来的却是信息安全方面的严峻挑战。据统计,仅仅在互联网领域,每年因信息安全问题造成的损失为数千亿美元。而涉及国防军事领域,信息泄露等信息安全问题所造成的损失更是难以简单用金钱来进行计算的。21世纪是蓝色海洋的时代,海军的发展已经成为军队建设的重中之重。舰船本身属于高度电子化和信息化的武器装备,其装备信息安全的研究是当前的迫切需要。本文将着重介绍舰船装备信息的安全风险评估及其应用。     

Web 服务安全风险评估及其辅助工具设计

在对Web服务安全、信息安全风险评估进行深入研究的基础上,提出了符合Web服务安全特点的风险评估流程与算法,并介绍了Web服务安全风险评估辅助工具的设讦与实现。实验证明,评估结果给用户下一步的风险管理工作提供了科学高效的依据。