影响应用程序安全的四大关键因素

正一个全面的安全团队不仅能够对事件和漏洞利用提供响应措施,还能够积极配合内部信息系统团队来打造一个积极主动的软件安全态势。用于为信息系统和软件构建安全代码的有效的应用安全程序通常依赖于2种类型的自动安全测试:静态安全扫描测试和动态安全扫描测试。我们最常听到源于跨站脚本和SQL注入攻击的安全泄露事故,这些事故通常发生在相关漏洞被成功利用后。那么我们应该怎样做来防止这种攻击呢?一个全面的安全团队不仅能够对事件和漏洞利用提供响     

无线局域网安全性能测试系统的设计与实现

在主动测试技术、被动测试技术及渗透测试分析基础上,提出一种基于渗透测试方案的无线局域网安全测试系统.该系统可对WEP、WPA、WPA2和WAPI 4种安全机制进行安全协议符合性验证和设备协议安全测试,并进行安全性能评估.对无线局域网组网设备的测试结果证明,该系统能够进行协议一致性测试和渗透测试,可自动集成测试流程.     

新环境下的信息系统安全开发与测试

随着信息化技术的不断发展,现有的信息系统在架构和用户体验上得到不断提升,软件开发的模式也通过敏捷,SaaS等方式得到不断的发展。但与此同时伴随着用户量的增长和用户对信息的敏感,安全问题长期困扰各类软件和互联网公司,软件的安全开发和测试不得不成为的信息系统在新环境下所面临的考验和待解决的关键问题之一。从分析新环境下信息系统研发安全需求入手,着重讨论了在软件生命周期中如何利用微软SDL来进行安全开发,并结合作者提出的安全测试方法来有效提高信息系统的安全性和解决敏感信息泄露等问题。     

Linux访问控制安全测评

信息安全已经成为关系到国家安全的关键因素,操作系统的安全是整个计算机信息系统安全的基石,而访问控制安全是操作系统安全最基本的要求。本文介绍了Linux操作系统的安全测评标准,访问控制测评方法及测试案例的设计。     

利用渗透测试优化行业网络安全管控

信息技术的发展对信息系统的安全要求日益高涨,研究网络安全管控问题日益重要。使用渗透测试技术有利于实现对安全漏洞的精准定位、精确发现和主动报警,并优化监测与整改相结合的网络安全管理控制体系。将渗透测试技术作为管理控制的核心要素之一,优化了风险指数模型,使网络安全管理可控而高效,切实实现管理控制目标。     

如何做好软件安全性测试

软件安全性测试是软件测试过程中一个长期重要的课题,什么是软件安全性测试,如何在测试中评测一个软件到底安全不安全。阐述了常用的软件测试方法,将软件测试中的正向测试和反向测试两种途径应用于软件安全性测试中。最后介绍了一些常见的软件安全性缺陷和漏洞。     

基于测试床模拟的通用安全评估框架

随着信息安全等级保护工作在国内的推进,信息安全测评技术趋向成熟,测试床在测评机构建设过程中已成为硬实力和软实力的象征。如何对目标信息系统进行深层次安全评估,如何对关键基础设施进行安全评估,安全防护措施是否真的起到应有的防护效用,系统安全防护是否在攻防博弈中占据优势是等级保护测评、建设、整改需要解决的关键问题。文章从信息安全评估的角度出发,在对已有软硬件资源整合的基础上,采用流程用例、算法用例、数据处理用例、测试用例的规约进行评估业务流程的规范和整合,提出了基于测试床模拟的通用安全评估框架,为深度安全评估、关键基础设施模拟、安全防护技术验证、安全攻防实验提供灵活的可扩展的解决方案。     

基于测试床模拟的通用安全评估框架

随着信息安全等级保护工作在国内的推进,信息安全测评技术趋向成熟,测试床在测评机构建设过程中已成为硬实力和软实力的象征。如何对目标信息系统进行深层次安全评估,如何对关键基础设施进行安全评估,安全防护措施是否真的起到应有的防护效用,系统安全防护是否在攻防博弈中占据优势是等级保护测评、建设、整改需要解决的关键问题。文章从信息安全评估的角度出发,在对已有软硬件资源整合的基础上,采用流程用例、算法用例、数据处理用例、测试用例的规约进行评估业务流程的规范和整合,提出了基于测试床模拟的通用安全评估框架,为深度安全评估、关键基础设施模拟、安全防护技术验证、安全攻防实验提供灵活的可扩展的解决方案。     

Linux桌面操作系统脆弱性测试研究

操作系统的安全性是整个信息系统安全的核心和基础。拳文基于相关的系统安全性评测标准，结合Linux桌面操作系统的设计与实现特点，探讨了Linux桌面操作系统的脆弱性测试框架与测试方法，实现了一个脆弱性测试与管理平台，并利用该平台，对目前两种国产Linux桌面操作系统进行脆弱性测试，验证了该平台的实用性和有效性。     

通用的安全苛求软件安全性测试方法

传统的测试脚本语言与测试策略不能满足安全苛求软件系统的测试需求,针对该问题,基于安全苛求软件测试的需求提出一种安全性测试方法,使用场景-事件驱动的安全性测试策略,设计基于该策略的安全性测试脚本语言。高速铁路既有线车站列控中心软件的安全性仿真测试结果证明了该方法的有效性。     

安全策略系统在虚拟组网环境下的应用研究

在网络信息安全领域中,对于端到端通信的安全性研究是非常必要的。文章提出端到端虚拟组网的思想,研究了IPsec、安全策略系统和虚拟组网技术,并将三者有机结合,设计出虚拟组网原型系统总体框架,介绍了系统的实现过程和关键技术。     

Web服务消息级安全功能测试工具设计与实现

提出一种Web服务安全性测试框架,能有效规范安全性测试过程,增强测试效能。针对Web服务安全功能测试需求定义与测试策划阶段,分析Web服务主要的安全功能需求、实现标准及实施Web服务安全性测试的一般原理。针对测试执行阶段,设计并实现了一个Web服务消息级安全功能测试工具,能够自动生成安全性测试用例,实验表明该工具是适用且有效的。     

基于双空间审计迹的Linux安全审计技术

在研究Linux安全审计技术的基础上,提出一种基于双空间审计迹的安全审计方法,融合操作系统内核空间的系统调用和用户空间的库函数调用,提高对操作系统内核层攻击和恶意用户行为的识别能力。对LSM框架进行审计扩展,用于设计审计模型的数据获取模块,增强了模型的审计粒度、安全性和灵活性。为了提高安全审计的实时性,引入典型集方法压缩正常行为特征库。     

信息系统信息安全保障工程

本文论述了信息系统安全保障的概念,分析了信息安全保障的安全内涵,提出了信息安全保障工程的三维结构模型,以及信息系统安全保障工程的规划与实施策略。     

工业控制系统信息安全防护体系研究

工业控制系统作为国家经济命脉的重要基础设施正面临着严峻的信息安全风险,工业控制系统信息安全防护体系建设迫在眉睫.分析了工业控制系统信息安全风险,结合电力行业工控系统信息安全需求,遵循先进成熟技术原则、分级保护原则、动态调整原则,提出了采用分层分域、纵深防御策略构建工业控制系统信息安全防护体系,阐述了安全风险评估体系、安全技术体系、安全管理体系的建设方案.     

物联网一体化安全检测标准体系框架概述

本文针对物联网安全缺乏统一准则和方法的系统性专业化测试的现状,在对物联网的安全特点研究的基础上,对物联网安全检测的标准化工作进行初步规划,提出了物联网一体化安全检测标准体系框架,为推动我国物联网安全检测服务产业的发展提供支持。     

A framework for the governance of information security

This paper highlights the importance of protecting an organization's vital business information assets by investigating several fundamental considerations that should be taken into account in this regard. Based on this, it is illustrated that information security should be a priority of executive management, including the Board and CEO and should therefore commence as a corporate governance responsibility. This paper, therefore, motivates that there is a need to integrate information security into corporate governance through the development of an information security governance (ISG) framework. This paper further proposes such a framework to aid an organization in its ISG efforts.     

军内网络安全防护体系框架研究

随着网络信息技术的快速发展,网络信息安全也越来越受到人们的重视。广为泛滥的病毒传播和越来越多的黑客入侵事件,使人们充分认识到网络信息安全防护体系建设的重要性和紧迫性。文章主要通过对网络安全防护体系的分析,提出适合军内网络安全防护体系框架,该防护体系不仅能有效抵御外部网络入侵,而且对内部网络攻击也起到重要的防护作用,为后续军内网络建设提供一定的借鉴作用。     

典型应用系统安全保护框架研究

以现有信息系统安全保护框架为指导,针对目前普遍使用的网站应用系统,从构建安全计算环境、安全区域边界以及安全通信网络的角度出发,研究如何建立典型应用系统的安全保护框架。给出了安全保护框架的体系结构,分析了其中所涉及的关键技术,描述了保护框架的实际应用部署和工作流程。相关安全性分析和测试表明,提出的保护框架具有更强的针对性,更高的可操作性,能够为典型应用系统提供可靠的安全支撑与保障。     

系统化的信息安全评估方法

信息安全评估是保证信息安全保障长效机制的关键。以动态系统控制理论为基础,针对信息系统的信息安全评佑问题进行了研究,设计了系统化信息安全保障框架模型,提出了信息安全系统化的评佑模型,给出了系统化评估的方法和流程,以为信息系统的信息安全评估打下基础。