精华内容
下载资源
问答
  • 如何在大数据环境下做好信息安全防护措施?避免数据泄露! 由于大数据时代的数据财富化导致了大量的信息泄露事件,而这些泄露事件中,来自于内部威胁更大。虽然终端的数据安全已经具备了成熟的本地安全防护系统,从...

    随着互联网的发展,信息安全、数据泄露事件也频发不断,很多企业在享受着互联网带来的便利和机遇的同时,也承担着同样的高风险,企业在遭受着数据外泄带来的形象及实际利益带来的重大损害。

    如何在大数据环境下做好信息安全防护措施?避免数据泄露!

    由于大数据时代的数据财富化导致了大量的信息泄露事件,而这些泄露事件中,来自于内部威胁更大。虽然终端的数据安全已经具备了成熟的本地安全防护系统,从数据结构化和网络层端点都具备了很好的防护。但还是要在内部工作系统中加入对内部管理的监控、限制手段。

    信息安全专家将计算机信息安全归纳为以下六个问题:

    1)如何防止违规进入用户终端窃取信息?
    2)如何方式内部人员有意或无意拷走重要信息?
    3)如何防止因存储介质丢失或被盗取造成信息泄露?
    4)如何控制内部人员利用互联网工具发送信息?
    5)如何确保内部信息的相互传输安全?
    6)如何实时掌握信息流向以及整个用户终端的网络配置参数变化?

    以聚合盾数据安全堡防护系统为例,通过信息存储设备管理、传输管理途径、信息使用管理三个方面对重要信息进行防护。不仅如此系统生成审计日志,对数据流向监控到位,对数据的拷贝、违规操作等进行记录,生成日志做到数据流向可查。

    端口控制:对计算机所有外设端口进行控制、方式信息通过端口外泄。
    对U盘设置加密,禁止U盘插入、U盘只读等模式,确保输出数据安全,杜绝计算机数据被违规拷贝。

    文档加密:对计算机内所有数据自动加密,未经授权无法打开或传出单位办公网络,一旦被强行打开或外传,自动销毁文件核心数据,最大限度保障核心信息资产安全。

    磁盘文件管理:通过远程访问计算机的方式,来管理计算机磁盘文件,并对文件进行查看、删除、复制、粘贴等操作。

    上网行为管理:通过对计算机进行监管:监控员工桌面,实时管控电脑一举一动,并对其上网、邮件等操作进行管控,预防泄密行为的发生。

    文件外发管控:
    人员可以通过邮件、QQ、微信、网盘、FTP等方式来外发文件,所以,要屏蔽通过网络外发文件,可以考虑如下几个方案:
    a). 网站白名单,只允许访问工作需要的网站,其他一律禁止掉。这是最严格的限制方式。
    b). 采用应用过滤,禁止掉所有的文件传输、网盘、邮件等,这个方案相对有效。
    c). 文件外发权限设置,对员工外发文件进行审核,上级领导确定允许公开的业务文件才可以解密外发。

    大数据环境下,企业需要认真做好信息安全防护措施,聚合盾数据安全堡帮助企业全面管控终端电脑:上网行为管理,电脑安全监控、电脑操作审计、员工效率管理、远程操作维护,提高企业办公效率,节省资源管理时间,预防泄密行为发生。

    展开全文
  • 这种模式强调了用户不只仅是信息的浏览者,众所周知。也是信息的制造者。 互联网发生了翻天覆地的变化,随着Web2.0概念的不时深入。交互式业务随之也成为互联网应用的主流,而作为最典型的互联网应用的网站,...

    能够通过这个专业团队的服务来强化网站系统的平安源代码设计,一些缺乏专业外援团队的重要网站。加强系统自身的平安性。

    Web2.0注重用户交互的一种新兴互联网模式。这种模式强调了用户不只仅是信息的浏览者,众所周知。也是信息的制造者。

    互联网发生了翻天覆地的变化,随着Web2.0概念的不时深入。交互式业务随之也成为互联网应用的主流,而作为最典型的互联网应用的网站,当仁不让的站在Web2.0大潮的浪尖上。但与之前有所不同的现在所见到网站,大部分都已经脱离了最初仅仅作为简单信息发布的载体,而是越来越多地承载了很多的业务和应用。

    网站变得越来越“有用”但是俗话说,随同着众多业务和应用的增加。方便与安全是一对天生的矛盾体:人们享受着便利互联网服务的同时,也在面临着复杂的信息系统所带来的更多平安风险和隐患。不难发现,Web1.0年代,所谓的网站被黑”大多是其页面被修改,如首页被篡改、页面被增加等;而到Web2.0年代,诸如网站页面被挂马、跨站脚本植入、注入式***等各式各样的***行为更是屡见不鲜。

    如何在保证业务和应用纷繁复杂的同时,那么。还能继续坚持信息系统的平安性,也就是达到效率和安全之间的平衡?这恐怕是所有网站都必需要关注的问题。

    网站平安“三防”

    更多考虑的如何满足用户的应用,大部分的网站在设计之初。如何实现业务,很少甚至没有考虑网站的平安性。而与之相对应的网上的***工具、***教程多如牛毛。这使得那些脚本小子们***网站并不会比考驾照更困难。更加倒霉的网站的管理者们往往并没有采用什么有效的手段来对付这些“自学成才”平安喜好者”用来保护网站的仅仅是最普通不过的防火墙,或者更彻底:什么都没有。此外,和现实社会中不同的网络中的盗窃和抢劫,受害者往往并不知情:页面上被挂上***长达数月而不自知的大有人在

    无妨用着名的CIA 三要素:Confidenti失密性)Integriti完整性)和 Availabl可用性)来论述一下作为互联网经典应用载体的网站,下面。需要从哪些方面着手平安防护的建设工作。

    相应的网站平安防护也可以从这3个维度进行考虑。CIA 信息平安的建设目标。

    即防***;1.失密性:防止***随意获取内部的私密信息。相对应的网站平安防护措施。

    即防篡改;2.完整性:防止***在未授权情况下修改信息。相对应的网站平安防护措施。

    即防病毒(***)3.可用性:确保有权限者可随时正常获取信息。相对应的网站平安防护措施。

    这便是网站平安“三防”概念。

    为网站全面防御支招

    该如何实践网站平安“三防”呢?那么。

    从检测、防护和响应三个层面全方位的进行网站平安防护。业内着名专业平安公司启明星辰提出了网站全面防御的观点—360度视角的全方位网站平安解决方案。该方案结合了规范的PDR模型。

    1.360度平安防御之检测

    甚至在***发生数月之后还能继续为害。这就需要有一套相应的检测机制,和直观的页面被篡改不同的网页挂马由于其隐蔽性。来定期对网站进行挂马检查以便及时发现。启明星辰公司推出的安星远程网站挂马检查服务,利用“沙箱”技术,模拟执行网页访问,而非单纯的模式匹配方式,对网页***有很高的准确发现率。同时,还提供了安星远程网站漏洞检查服务,结合后台平安专家的人工分析,可以准确发现网站是否存在可利用的漏洞,并给出修补建议。

    往往是发生***后,有些网站管理人员平时对网站平安关注不够。损失已经发生了才临时抱佛脚进行响应,甚至很多情况下的解决措施也仅仅是恢复原有页面,而没有解决导致***的平安问题。利用安星的漏洞检查服务,可以从根源上发现已经存在漏洞,从源头杜绝***的发生。

    2.360度平安防御之防护

    可能会由于需要使用某些应用,对于那些由于设计上的原因导致的平安漏洞。而无法进行修补或更新。针对这类漏洞的***行为大多基于应用,夹杂在正常的访问行为当中,防火墙类安全产品,由于无法准确识别应用层***行为,对这类***往往束手无策。如果需要防范此类***,必需选择可以对应用层威胁进行准确发现和防御的平安产品,特别是针对这类***(以SQL注入,XSS***为代表)由于变种极多,保守的应用层威胁防御产品采用的特征匹配技术无法全面覆盖,有较高的漏报和误报率。

    采用专利技术,启明星辰公司为Web业务防御专门推出了其WIPS系列产品。从***机理而非***数据特征入手,采用行为分析的手段,实现了很好的Web威胁防御效果。

    3.360度平安防御之响应

    无法自行修补和进行监控的状况。启明星辰还推出了网页平安修复服务,针对有些网站用户的技术力量相对单薄。对网站中的应用顺序存在漏洞、页面中存在恶意代码进行完全清除,同时用户还可以选择白盒测试、黑盒测试对网站相关的平安源代码进行检查,找出源代码方面所问题,通过服务用户能够获得源代码问题所在以及平安修复建议或修改服务,该类服务由启明星辰国家级实验室的专业***技术团队提供支持。

    本文由蜀都互联  虚拟主机  www.zcool8.com   收集整理

    展开全文
  • 一、主动与被动发现漏洞这里的主动是指安全工程师主动去做的事情,而被动并不是被动挨打,而是积极去获取信息,积极防御。 因为***之间信息不对称,很多***、利用方式及漏洞安全工程师不一定能第一时间获取到信息就...



    一、主动与被动发现漏洞


    这里的主动是指安全工程师主动去做的事情,而被动并不是被动挨打,而是积极去获取信息,积极防御。

    因为***之间信息不对称,很多***、利用方式及漏洞安全工程师不一定能第一时间获取到信息

    就导致了服务器被黑,出现被上传webshell无外乎这集中情况:


    使用开源程序出现高危漏洞被***者上传webshell,服务器配置错误导致***者利用运维缺陷上传webshell

    程序员编写代码存在诸如sql注入、文件包含,命令执行问题被***者发现并利用导致被上传webshel

    那是不是说作为防御者我们就一定是被动挨打的呢?答案当然是否定的

    如果运维安全做的好的情况下,会在服务器上线初期做安全检查将加固服务做成加固基线包

    后期邀请外部人员进行***测试来检查企业安全情况,安全基础就牢靠。

    从主动来说,企业可以通过这些办法来将***者的想法消灭在萌芽之中。


    1、积极主动的做好对系统加固工作,坚决消灭弱口令、回收外网默认管理后台
        (能回收的回收,不能回收的做好访问控制),对诸如tomcat、jboss、resin之类的服务器做好加固
        避免出现弱口令,因为互联网上每时每刻都有人来通过这几种服务来抓肉鸡。
       
    2、对于漏洞的修复不能只仅限于加固还要主动去发现,需要定期对生产环境和web进行扫描
        其中外网端口扫描需要结合资产进行,如果不能结合资产,扫描的结果会差强人意。
       
    3、对企业所使用的开源程序另外诸如webserver、第三方中间件都有深入了解
         并关注这些app近期存在安全风险:比如struts漏洞
         如果能早发现事情也可控制(通过关注乌云、微博等来及时获取信息)
         其次是权限控制,在struts漏洞中,使用root运行的struts2
         受影响最严重而运行权限为tomcat之类的较轻,较轻不是说不被***
         而是***者没有权限对服务器来做更进一步操作比如rm -rf /,所以对于权限的控制也需要考虑到加固中去
         
    4、被动发现漏洞可以依靠对乌云等平台的漏洞提交来预测可能爆发的漏洞情况
         并且结合第3点对应用做检测,如果发现漏洞了则快速修复,将不会到被***者上传webshell的情况


    二、监控为主分析为辅


    监控的重要性不需要在陈述,在城市的各个角度都有监控摄像头,监控的作用是属于事中或者事后阶段

    举个例子,某人犯罪如果没有监控的情况下,无法追溯,这时候如果有监控的话就可以对其行为做分析和追溯。


    举一反三,在企业安全防护方面也可以这样做,通过部署ossec之类的行为监控,对***者的行为做检测

    比如对于webshell的检测来说,更关注”行为”,啥叫行为呢,你的一举一动都是行为,上传了文件,修改了权限

    删除了权限这些都该被记录下来,而类似ossec之类的监控工具可以做到,当然你也可以编写脚本来对目录做实时检测

    分析为辅,可以从多点上来结合,比如***者对于网站的注入行为,都会触发记录,记录到log里,***者对ssh的

    扫描行为,都会被记录到日志里,而这些都可以用作对***者的行为分析,更超前一些恶意的扫描都可以算作是行为

    并且这些行为都是可以分析和追溯***者的,其次日志需要备份到远程,并且可以利用大数据日志分析利器splunk

    来对日志分析,备份到远程也导致了***者删除本机日志时能被追溯到。对于webshel检测来说,可以从日志里进行

    分析,因为任何***者的操作都会在日志里显现记录,这时候只要有足够的日志分析能力就可以对产生的webshell

    揪出来,使***者无处遁形。


    最后说说运维安全,运维安全工作本来其实是工作范畴的事,但运维做不好这部分工作或者说大多数运维对安全

    的理解并不深入,所以企业有了运维安全这个职位,或者你可以把它叫做安全运维

    运维安全需要有较宽的知识面来撑起企业安全的一片天。


    有一个朋友是做游戏的,他告诉我他们公司关于ssh安全方面就有五层验证!

    好吧,可能对于一些不是很注重安全的运维小伙伴来说,弄那么复杂干嘛?

    甚至有的公司直接root登陆(很危险), 甚至有的ssh默认端口都不改

    我个人认为不一定安全做的那么多

    (当然要根据公司业务具体环境具体来定)但起码一些基本的安全方面要做到位!


    下面是我多年实战个人总结一些方法,介绍并分享给大家!


    三、常用的服务器安全方面的措施


    1、硬防火墙。

          通过硬件防火墙acl策略也决定是否可以访问某台主机

    2、软防火墙    [常用]

          比如iptables,tcpwrappers,防护软件等,内部对主机进一步进行限制

    3、修改默认的ssh端口    [必用]

          默认是22,建议改成五位。

    4、密码要符合复杂性要求,防止暴力破解   [必用]

          避免ssh暴力破解,建议密码稍微复杂一些,符合四分之三原则!

    5、禁止root登陆             [必用]

          禁止root远程ssh登录

          在/etc/ssh/sshd_config设置:PermitRootLogin no:

          禁止root本机登录(根据具体环境,这个不是很必要)

          将 auth required pam_succeed_if.so user != root quiet

          添加到/etc/pam.d/login 文件第一行

    6、禁止密码登陆            [常用]

          删除不必要的账号,并禁止用户密码登陆

     7、公钥私钥认证            [常用]

          通过公钥私钥rsa2048,并设置复杂性密码

     8、LDAP等方式统一认证登陆    

          通过对ssh账号集中化管理,进一步提升安全

    9、对secure日志进行日志切割,通过脚本,对于不安全的访问ip进行过滤并报警

          secure日志记录着用户远程登陆的信息,可通过查看此日志排查不安全因素。

    10、搭建日志服务器,对secure日志进行监控。排查不安全因素

           一个好的日志服务器,可大大减轻管理员的工作,并方便管理。


    转载于:https://blog.51cto.com/hujiangtao/1942578

    展开全文
  • 近来,在我负责的公司某软件产品的最后测试工作,常常被问到这样一个问题:在做测试过程中,我们的软件产品在安全性方面考虑了多少?应该如何测评一个软件到底有多安全? 这个软件因为涉及客户商业上重要的信息资料,...

    近来,在我负责的公司某软件产品的最后测试工作,常常被问到这样一个问题:在做测试过程中,我们的软件产品在安全性方面考虑了多少?应该如何测评一个软件到底有多安全?

      这个软件因为涉及客户商业上重要的信息资料,因此用户关心的核心问题始终围绕“这个软件安全吗”。一个由于设计导致的安全漏洞和一个由于实现导致的安全漏洞,对用户的最终影响都是巨大的。我的任务就是确保这个软件在安全性方面能满足客户期望。

      什么是软件安全性测试

      (1)什么是软件安全

      软件安全属于软件领域里一个重要的子领域。在以前的单机时代,安全问题主要是操作系统容易感染病毒,单机应用程序软件安全问题并不突出。但是自从互联网普及后,软件安全问题愈加显加突显,使得软件安全性测试的重要性上升到一个前所未有的高度。

      软件安全一般分为两个层次,即应用程序级别的安全性和操作系统级别的安全性。应用程序级别的安全性,包括对数据或业务功能的访问,在预期的安全性情况下,操作者只能访问应用程序的特定功能、有限的数据等。操作系统级别的安全性是确保只有具备系统平台访问权限的用户才能访问,包括对系统的登录或远程访问。

      本文所讲的软件安全主要是应用程序层的安全,包括两个层面:①是应用程序本身的安全性。一般来说,应用程序的安全问题主要是由软件漏洞导致的,这些漏洞可以是设计上的缺陷或是编程上的问题,甚至是开发人员预留的后门。②是应用程序的数据安全,包括数据存储安全和数据传输安全两个方面。

      (2)软件安全性测试

      一般来说,对安全性要求不高的软件,其安全性测试可以混在单元测试、集成测试、系统测试里一起做。但对安全性有较高需求的软件,则必须做专门的安全性测试,以便在破坏之前预防并识别软件的安全问题。

      安全性测试(Security Testing)是指有关验证应用程序的安全等级和识别潜在安全性缺陷的过程。应用程序级安全测试的主要目的是查找软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力, 根据安全指标不同测试策略也不同。注意:安全性测试并不最终证明应用程序是安全的,而是用于验证所设立策略的有效性,这些对策是基于威胁分析阶段所做的假设而选择的。例如,测试应用软件在防止非授权的内部或外部用户的访问或故意破坏等情况时的运作。

      软件安全性测试过程

      (1)安全性测试方法

      有许多的测试手段可以进行安全性测试,目前主要安全测试方法有:

      ①静态的代码安全测试:主要通过对源代码进行安全扫描,根据程序中数据流、控制流、语义等信息与其特有软件安全规则库进行匹对,从中找出代码中潜在的安全漏洞。静态的源代码安全测试是非常有用的方法,它可以在编码阶段找出所有可能存在安全风险的代码,这样开发人员可以在早期解决潜在的安全问题。而正因为如此,静态代码测试比较适用于早期的代码开发阶段,而不是测试阶段。

      ②动态的渗透测试:渗透测试也是常用的安全测试方法。是使用自动化工具或者人工的方法模拟黑客的输入,对应用系统进行攻击性测试,从中找出运行时刻所存在的安全漏洞。这种测试的特点就是真实有效,一般找出来的问题都是正确的,也是较为严重的。但渗透测试一个致命的缺点是模拟的测试数据只能到达有限的测试点,覆盖率很低。

      ③程序数据扫描。一个有高安全性需求的软件,在运行过程中数据是不能遭到破坏的,否则就会导致缓冲区溢出类型的攻击。数据扫描的手段通常是进行内存测试,内存测试可以发现许多诸如缓冲区溢出之类的漏洞,而这类漏洞使用除此之外的测试手段都难以发现。例如,对软件运行时的内存信息进行扫描,看是否存在一些导致隐患的信息,当然这需要专门的工具来进行验证,手工做是比较困难的。

      (2)反向安全性测试过程

      大部分软件的安全测试都是依据缺陷空间反向设计原则来进行的,即事先检查哪些地方可能存在安全隐患,然后针对这些可能的隐患进行测试。因此,反向测试过程是从缺陷空间出发,建立缺陷威胁模型,通过威胁模型来寻找入侵点,对入侵点进行已知漏洞的扫描测试。好处是可以对已知的缺陷进行分析,避免软件里存在已知类型的缺陷,但是对未知的攻击手段和方法通常会无能为力。

      ①建立缺陷威胁模型。建立缺陷威胁模型主要是从已知的安全漏洞入手,检查软件中是否存在已知的漏洞。建立威胁模型时,需要先确定软件牵涉到哪些专业领域,再根据各个专业领域所遇到的攻击手段来进行建模。

      ②寻找和扫描入侵点。检查威胁模型里的哪些缺陷可能在本软件中发生,再将可能发生的威胁纳入入侵点矩阵进行管理。如果有成熟的漏洞扫描工具,那么直接使用漏洞扫描工具进行扫描,然后将发现的可疑问题纳入入侵点矩阵进行管理。

      ③入侵矩阵的验证测试。创建好入侵矩阵后,就可以针对入侵矩阵的具体条目设计对应的测试用例,然后进行测试验证。

      (3)正向安全性测试过程

      为了规避反向设计原则所带来的测试不完备性,需要一种正向的测试方法来对软件进行比较完备的测试,使测试过的软件能够预防未知的攻击手段和方法。

      ①先标识测试空间。对测试空间的所有的可变数据进行标识,由于进行安全性测试的代价高昂,其中要重点对外部输入层进行标识。例如,需求分析、概要设计、详细设计、编码这几个阶段都要对测试空间进行标识,并建立测试空间跟踪矩阵。

      ②精确定义设计空间。重点审查需求中对设计空间是否有明确定义,和需求牵涉到的数据是否都标识出了它的合法取值范围。在这个步骤中,最需要注意的是精确二字,要严格按照安全性原则来对设计空间做精确的定义。

      ③标识安全隐患。根据找出的测试空间和设计空间以及它们之间的转换规则,标识出哪些测试空间和哪些转换规则可能存在安全隐患。例如,测试空间愈复杂,即测试空间划分越复杂或可变数据组合关系越多也越不安全。还有转换规则愈复杂,则出问题的可能性也愈大,这些都属于安全隐患。

      ④建立和验证入侵矩阵。安全隐患标识完成后,就可以根据标识出来的安全隐患建立入侵矩阵。列出潜在安全隐患,标识出存在潜在安全隐患的可变数据,和标识出安全隐患的等级。其中对于那些安全隐患等级高的可变数据,必须进行详尽的测试用例设计。

    (4)正向和反向测试的区别

      正向测试过程是以测试空间为依据寻找缺陷和漏洞,反向测试过程则是以已知的缺陷空间为依据去寻找软件中是否会发生同样的缺陷和漏洞,两者各有其优缺点。反向测试过程主要的一个优点是成本较低,只要验证已知的可能发生的缺陷即可,但缺点是测试不完善,无法将测试空间覆盖完整,无法发现未知的攻击手段。正向测试过程的优点是测试比较充分,但工作量相对来说较大。因此,对安全性要求较低的软件,一般按反向测试过程来测试即可,对于安全性要求较高的软件,应以正向测试过程为主,反向测试过程为辅。

      常见的软件安全性缺陷和漏洞

      软件的安全有很多方面的内容,主要的安全问题是由软件本身的漏洞造成的,下面介绍常见的软件安全性缺陷和漏洞。

      (1)缓冲区溢出

      缓冲区溢出已成为软件安全的头号公敌,许多实际中的安全问题都与它有关。造成缓冲区溢出问题通常有以下两种原因。①设计空间的转换规则的校验问题。即缺乏对可测数据的校验,导致非法数据没有在外部输入层被检查出来并丢弃。非法数据进入接口层和实现层后,由于它超出了接口层和实现层的对应测试空间或设计空间的范围,从而引起溢出。②局部测试空间和设计空间不足。当合法数据进入后,由于程序实现层内对应的测试空间或设计空间不足,导致程序处理时出现溢出。

      (2)加密弱点

      这几种加密弱点是不安全的:①使用不安全的加密算法。加密算法强度不够,一些加密算法甚至可以用穷举法破解。②加密数据时密码是由伪随机算法产生的,而产生伪随机数的方法存在缺陷,使密码很容易被破解。③身份验证算法存在缺陷。④客户机和服务器时钟未同步,给攻击者足够的时间来破解密码或修改数据。⑤未对加密数据进行签名,导致攻击者可以篡改数据。所以,对于加密进行测试时,必须针对这些可能存在的加密弱点进行测试。

      (3)错误处理

      一般情况下,错误处理都会返回一些信息给用户,返回的出错信息可能会被恶意用户利用来进行攻击,恶意用户能够通过分析返回的错误信息知道下一步要如何做才能使攻击成功。如果错误处理时调用了一些不该有的功能,那么错误处理的过程将被利用。错误处理属于异常空间内的处理问题,异常空间内的处理要尽量简单,使用这条原则来设计可以避免这个问题。但错误处理往往牵涉到易用性方面的问题,如果错误处理的提示信息过于简单,用户可能会一头雾水,不知道下一步该怎么操作。所以,在考虑错误处理的安全性的同时,需要和易用性一起进行权衡。

      (4)权限过大

      如果赋予过大的权限,就可能导致只有普通用户权限的恶意用户利用过大的权限做出危害安全的操作。例如没有对能操作的内容做出限制,就可能导致用户可以访问超出规定范围的其他资源。进行安全性测试时必须测试应用程序是否使用了过大的权限,重点要分析在各种情况下应该有的权限,然后检查实际中是否超出了给定的权限。权限过大问题本质上属于设计空间过大问题,所以在设计时要控制好设计空间,避免设计空间过大造成权限过大的问题。

      做好安全性测试的建议

      许多软件安全测试经验告诉我们,做好软件安全性测试的必要条件是:一是充分了解软件安全漏洞,二是评估安全风险,三是拥有高效的软件安全测试技术和工具。

      (1)充分了解软件安全漏洞

      评估一个软件系统的安全程度,需要从设计、实现和部署三个环节同时着手。我们先看一下Common Criteria是如何评估软件系统安全的。首先要确定软件产品对应的Protection Profile(PP)。一个PP定义了一类软件产品的安全特性模板。例如数据库的PP、防火墙的PP等。然后,根据PP再提出具体的安全功能需求,如用户的身份认证实现。最后,确定安全对象以及是如何满足对应的安全功能需求的。因此,一个安全软件的三个环节,哪个出问题都不行。

      (2)安全性测试的评估

      当做完安全性测试后,软件是否能够达到预期的安全程度呢?这是安全性测试人员最关心的问题,因此需要建立对测试后的安全性评估机制。一般从以下两个方面进行评估。①安全性缺陷数据评估。如果发现软件的安全性缺陷和漏洞越多,可能遗留的缺陷也越多。进行这类评估时,必须建立基线数据作为参照,否则评估起来没有依据就无法得到正确的结论。②采用漏洞植入法来进行评估。漏洞植入法和可靠性测试里的故障插入测试是同一道理,只不过这里是在软件里插入一些有安全隐患的问题。采用漏洞植入法时,先让不参加安全测试的特定人员在软件中预先植入一定数量的漏洞,最后测试完后看有多少植入的漏洞被发现,以此来评估软件的安全性测试做得是否充分。

      (3)采用安全测试技术和工具

      可使用专业的具有特定功能的安全扫描软件来寻找潜在的漏洞,将已经发生的缺陷纳入缺陷库,然后通过自动化测试方法来使用自动化缺陷库进行轰炸测试。例如,使用一些能够模拟各种攻击的软件来进行测试。

      安全测试是用来验证集成在软件内的保护机制是否能够在实际中保护系统免受非法的侵入。一句通俗的话说:软件系统的安全当然必须能够经受住正面的攻击——但是它也必须能够经受住侧面的和背后的攻击

    展开全文
  • 如何做好办公室工作体会 虽然到分局办公室工作的时间不长,但在领导和同事们的帮助下,通过自己的实践摸索,我对办公室工作有了一些浅显的了解,下面就简单的谈谈自己对办公室工作的初浅认识,其中不乏一些不成熟的...
  • 教你如何做好网站安全防范

    千次阅读 2018-01-26 20:03:50
    UGC站点如何进行防护工作 由于大多数UGC建站系统存在漏洞,攻克技术成本较低,且群发软件价格低廉,容易被作弊者利用,近期我们发现大量UGC站点被群发的垃圾信息困扰。这些垃圾群发内容无孔不入,除论坛、...
  • 在前面的文章中,我们了解了信息安全策略的重要性以及如何做好信息安全策略,本文我们介绍信息安全建设过程中另外一项重要工作——三大体系:组织管控体系、技术管控体系和运营管控体系。山东省软件评测中心根据多年...
  • 云计算要用到云主机才能支撑起效果。但要开展这方面的相关业务,首先保证安全问题的万无一失,因为切实可行的安全性云主机的首要考虑因素。最近这些年以来,IDC行业有关...思考如何做好安全运营工作是每一个服务商...
  • 随着科技的发展,办公自动化系统已成为企业信息化建设的首选。“向管理要效益”已经成为企业的共识,移动办公系统在企业中的普及也是大势所趋,越来越多的企业认识到移动办公系统的重要性,能切实有效降低成本,规范...
  • 系统安全、数据安全、网络安全、邮件安全等等,如何保护好公司所有电子化信息安全是每一家企业在普及电子办公化过程的重要难题之一。其中,目前大部分企业内外通讯都主要借助邮件为主,邮件安全如否直接影响着企业...
  • 等保全称叫信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作。今天我们就来说一说等保的历史发展,以及个人信息保护相关的一些内容。 在等保历史最初的十年时间内,大家对于等级如何...
  • 本文将重点阐述:运营在阿里云上的中小企业,应如何...”的话题,而是“用什么样的云,怎么用好云,以及如何做好云上企业信息安全的运营?”。 [TOC] 1. 现实需求 如果您目前正从事企业信息安全相关工作,或是对...
  • 近来,在我负责的公司某软件产品的最后测试工作,常常被问到这样一个问题:在做测试过程中,我们的软件产品在安全性方面考虑了多少?应该如何测评一个软件到底有多安全? 这个软件因为涉及客户商业上重要的信息资料...
  • 生产现场管理是制造型企业的管理核心内容,能否实施有效的生产现场管理,是企业竞争力的关键因素之一。...如何做好现场管理? 1.加强安全管理,确保施工生产秩序正常 多和员工交流,关心员工的工作状态,加
  • 驾校安全工作总结范文 目前驾校安全管理工作存在的问题与漏洞结合日常工作经验与目前所掌握的资料信息,笔者认为当前众驾校主要存在以下几个问题:对相关安全法规落实不到位。如何作驾校安全工作总结?*是小编整理...
  • 工作自我评价范文篇一 一、工作方面 1、在**局办公室工作中,认真做好督查、会议贯彻落实情况汇报等上报工作做好综治、安全、教育执法督导、干部统计工作做好单位城域网治理、上传下达文件、计算机治理等工作...
  • 这个是内部数据泄密中占比较高,外部数据泄露危机主要是竞争对手的窃密以及黑客攻击等等,这都是在互联网竞争中数据信息安全威胁的来源,因而,企业需要做到的是在底层数据源头做好数据防泄密工作,保证数据文件的...
  • 如何做好安全保密工作呢? 今天小编整理了安全保密工作心得体会,希望对你有帮助。安全保密工作心得体会篇一 首先要搞好保密教育,强化保密观念。要持续不断地开展保密教育,让每一个人及时了解信息化条件下保密工作...
  • 在大多数企业和公司,并没有专门的信息安全部和安全工程师,所以安全漏洞的修复责任就落到了运维部门的工程师头上,那么当你拿到了一份安全评估报告后,该如何应对安全漏洞的修复呢? 首先明确风险的类型和确定等级...
  • 我,作为企业信息化部门负责人,不仅要做好信息化建设的总体规划及网络基础架构工作,还要不断促进企业信息系统的高效率、安全性、延展性,提高公司员工实际操作技能。 我们企业的信息化现状 我们公司比较重视...
  • 为保持在激烈竞争中的优势地位,越来越多的中国企业开始认识到企业信息化的重要性,并且希望能充分利用企业的...同时,随着企业竞争意识的增强,如何在实现信息化建设的同时也做好保密工作,成为各个企业所面对的问题。
  • 另一项重要工作做好基于大数据内容算法推荐,保障内容正规来源与分发展示安全。打造清新明朗舆论环境,阻断不良信息内容生产及转播渠道,体现新型主流媒体价值所在,充分满足用户多元化视听阅读需求,触电新闻在...
  • 国家工业和信息化部同时也针对此事件在全国下发了《关于做好应对部分IC卡出现严重安全漏洞工作的通知》,要求各地开展对IC卡使用情况的调查及应对工作。作为门禁系统中最重要的身份识别部分,目前国内80%的门禁产品...
  • 我们皆明白,游戏中虚拟的装备和道具实际上已经具备了商品的一般属性,如何切实做好信息安全的防范工作,保障玩家的权益,已成为网游界广泛关注的问题。 根据调查显示网络游戏存在的主要安全隐患有如下几大类:外挂...

空空如也

空空如也

1 2 3 4 5 6
收藏数 111
精华内容 44
关键字:

如何做好信息安全工作