基于安全工程的信息系统安全解决方案

信息系统的安全是至关重要的。文中针对目前应用系统安全威胁现状,提出一种基于安全工程的应用系统安全解决方案。该方案利用安全工程的思想,通过把安全工程生命周期与信息系统生命周期相结合,确定了信息系统生命周期中各阶段的主要安全工程活动,弥补了传统安全防护方案在信息系统安全防护方面的不足。这对信息系统安全工程的实施具有一定的指导意义。     

软件生命周期中的信息安全管理

信息安全越来越受到重视,而数据或多或少地存在于系统之中,为了确保系统和数据的安全,信息安全策略和思想就必须融入到软件生命周期中去,信息安全也成为软件质量的一个重要组成部分。在当前流行的信息安全评价体系中,无不直接或间接涉及到软件生命周期中的信息安全管理问题,而各个评价体系有各有侧重,本文综合各评价体系的要求,总结为九个方面,就如何全面地将信息安全管理融入到软件生命周期中,以满足企业自身或第三方评价需要提出了设计和实施建议。     

Web应用系统的安全威胁及其防护

对Web应用系统的安全威胁进行了分析,提出了相应的Web安全防护措施。现阶段的安全解决方案均把重点放在网络层,当应用层被攻击（如SQL（结构查询语言）注入攻击、跨站脚本攻击、恶意代码等）时,传统的网络层安全设备,如防火墙、IDS（入侵检测系统）／IPS（入侵防御系统）等形同虚设,无能力阻挡攻击。文中注重分析在众多因素综合影响下,使Web应用潜在的隐患轻易暴露在互联网之下,承受较大的风险,并且叙述了服务器端和客户端的安全防护技术。     

Web安全问答（10）

问：目前国内Web应用系统存在哪些最突出的安全隐患？答：由于Web应用程序的编程漏洞是很难避免的,那么系统的安全隐患主要在三方面：首先是网络运维人员或安全管理人员对Web系统的安全状况不清楚,哪些页面存在漏洞,哪些页面已经被挂马,不能够清晰的掌握从而及时采取改正措施;在防御方面,没有部署号业的面对Web业务攻击的防御产品对网站进行保护,而是寄托于防火墙这种访问控制类的网关安全设备;另外,从响应来看,Web安全事件发生后的应急与处理也存在欠缺,没有相应的页面恢复系统,专业安全服务团队以及实时监控的网站安全管理制度。     

Web安全问答（4）

问：目前国内Web应用系统存在哪些最突出的安全隐患？答：由于Web应用程序的编程漏洞是很难避免的,那么系统的安全隐患主要在三方面：首先是网络运维人员或安全管理人员对Web系统的安全状况不清楚,哪些页面存在漏洞,哪些页面已经被挂马,不能够清晰的掌握从而及时采取改正措施;在防御方面,没有部署专业的面对Web业务攻击的防御产品对网站进行保护,而是寄托于防火墙这种访问控制类的网关安全设备;另外,从响应来看,Web安全事件发生后的应急与处理也存在欠缺,没有相应的页面恢复系统,专业安全服务团队以及实时监控的网站安全管理制度。     

面向“业务安全”的全生命周期风险管理

各种威胁主体将不同威胁类型的攻击矛头指向信息化系统,为及时规避风险带来的影响,信息化系统正逐步进行安全建设,但事后的修补仍会存在残余风险.文中提出了以信息系统生命周期为基础,根据信息系统不同阶段的风险特征进行信息系统风险控制的方法,并据此提出了相应的业务安全各阶段安全工作.     

基于信息生命周期的政府信息服务安全保护模型研究

我国政府信息服务正逐渐从简单的信息提供向信息公开、数据开放和与互联网深度整合方向发展,在此发展过程中,如何实现政府信息服务与信息安全的平衡是政府服务信息服务提供者需要面对的问题.基于生命周期理论提出了以政府信息(数据)生命周期为核心,围绕人、地、事、物等要素,开展政府信息服务全生命周期安全运营的政府信息服务安全保护框架...     

为Web应用提供端点保护的解决方案

Check Point软件技术有限公司推出Integrity Clientless Security 4．0，这款先进方案专门针对个人电脑所带来的安全问题，它可以协助企业防御不受管理的客人电脑所带来的威胁，而不要求IT部门在网络各端点预先安装安全软件。     

Web安全问答（3）

问：目前国内Web应用系统存在哪些最突出的安全隐患？答：由于Web应用程序的编程漏洞是很难避免的，那么系统的安全隐患主要在三方面：首先是网络运维人员或安全管理人员对Web系统的安全状况不清楚，哪些页面存在漏洞，哪些页面已经被挂马，不能够清晰的掌握从而及时采取改正措施.     

Web安全的全生命周期

云计算、物联网、移动互联……这些热词占据了太多信息网络安全报道的版面,在一定程度上冲淡了安全的其他方面,但是有一个方面不但没有隐去,反而由于这些新兴技术的发展被推上了更高的浪尖——那就是Web应用的安全。尽管目前在Web应用的各个层面,都已经使用不同的技术来确保安全性,但是,由于Web应用的天然开放性,以及各种Web软硬件漏洞的不可避免性,加上网络攻击技术日趋成熟,黑客们也将注     

Web应用的安全防护

对于Web应用来说,安全防护的作用在整个系统中正变得越来越重要,本文对Web应用层面所面临的威胁进行了分析,进一步对各种防护手段进行了研究。     

面向数据全生命周期的数据安全风险分析

大数据分析技术和研究对于人类的价值不可估量,全行业对其的关注度也在显然增加。与此同时,大数据带来的安全威胁也接踵而来,这些威胁伴随着数据从产生到消亡的各个阶段,对数据的使用带来了较大的隐患。文章针对数据的各个生命周期进行了安全性分析,并且总结出了各个阶段的风险特征,阐明了数据各个周期的安全性情况,为云计算时代的数据的安全使用提供了有利的借鉴。     

Web应用系统软件信息安全技术研究

探讨了Web应用系统安全攻击和漏洞检测技术,分析了几种主要的Web安全防护技术,开发了Web应用系统的安全性检测软件.实践表明,提高Web应用系统的安全性具有现实意义,可以减少因Web应用漏洞而对网络系统带来的安全问题.     

基于等级保护的政府Web应用安全建设实践

近年来,在公安部等部门推动下,国家信息安全等级保护制度正逐步得到落实。作为重要信息系统之一的国家机关和重要省市门户网站以及基于Web应用的业务系统,等级保护的安全级别原则上定为三级或四级,这些系统在受到攻击后将极大地影响政府和公众用户,给政府的政务形象、信息网络和核心业务造成严重的破坏。文中结合信息安全等级保护的相关政策以及制度要求,以三级Web应用安全建设为例进行了探讨分析。     

一种基于Web服务的应用集成解决方案

文章针对信息化建设中出现的分散、异构资源之间的“信息孤岛”问题，提出了一种基于Web服务的应用集成解决方案。首先给出了该解决方案的体系结构，然后针对其中的关键技术——安全策略进行了重点的分析和研究。     

基于生命周期管理的数据存储在BOSS中的应用

随着电信运营商业务的发展,业务运营支撑系统（BOSS）的海量数据存储使系统的复杂性和成本越来越高,系统的性能也越来越难管理。对这一问题,提出了利用数据生命周期的管理理念来进行BOSS系统数据的管理,并在此基础上实现了BOSS中的营业系统数据的生命周期管理。在实现系统数据海量存储需求的同时,节约了系统建设的成本,也提高了系统的性能。     

基于JSP技术的Web网站安全性研究

通过对基于JSP技术的Web网站的体系结构的介绍．从Web服务器安全、JSP脚本编程及数据库安全等几方面分析研究了web网站存在的安全问题，并探讨了web网站开发时应采取的安全措施。     

基于PDM生命周期风险评估探索

本文针对PDM系统生命周期不同阶段的主要业务及安全需求进行分析,提出在不同阶段开展风险评估的工作内容。同时运用风险评估的常用方法,开展了PDM系统的自评估研究。