返回
信息系统安全测试技术研究-刘文志

信息系统安全测试技术研究-刘文志

ID:22439363

大小:144.50 KB

页数:14页

时间:2018-10-29

信息系统安全测试技术研究-刘文志_第1页
信息系统安全测试技术研究-刘文志_第2页
信息系统安全测试技术研究-刘文志_第3页
信息系统安全测试技术研究-刘文志_第4页
信息系统安全测试技术研究-刘文志_第5页
资源描述:

《信息系统安全测试技术研究-刘文志》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、信息系统安全测试技术研宄技术支撑中心刘文志一、概述1.背景信息系统作为一个复杂的由众多部件构成的系统,其安全测试存在着很人的挑战。信息系统安全测试与安全产品的测试不同,关于安全产品的测试评估0前国际国内己有比较成熟的标准、技术及方法,信息系统的安全性测试在国内外都还处于探索阶段,许多安全组织和机构都在积极地研究信息系统安全测试的技术、方法和实践,但仍然没有形成一个比较统一的测试标准、技术和方法。我国在信息系统安全评估方面产生丫一些标准和指南,但仍缺乏相应的技术实践和工具支持。信息系统安全测试涉及面很广,需要不同的安全测试技术,同时也

2、需要多种安全测试工具的有机结合。当前最主耍的安全测试技术主耍包括:静态分析技术和渗透测试技术,而渗透测试技术又根据渗透FI标的不同划分为主机渗透测试、数据库渗透测试、应用渗透测试和网络渗透测试。信息系统安全测试中的各个方面均存在一些常见的安全漏洞,对这些常见的安全漏洞进行攻击和防御技术的研究探索,最终形成一套可应用的漏洞攻击和防护方案,成为了众多信息安全测试机构安全测试技术应用研宄的重耍内容。2.安全测试类型信息系统安全测试在实际测试项0中的测试类型不唯一,风险评估、系统安全评估是其中两个最主要的测试类型,是对信息及信息系统安全性评

3、价方面两种特定的、有所区分但乂有所联系的不同研宄和分析方法。风险评估:信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。系统安全评估:由具备检验技术能力和政府授权资格的权威机构,依据国家标准、行业标准、地方标准或相关技术规范,按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动,以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题,并提供安全改进建议,从而最大程度地降低系统的

4、安全风险。风险评估与系统安全评估分别是针对系统生命周期建设不同阶段存在的安全风险的相近判断方法。对同一个生命周期的系统,风险评估是安全建设的起点,系统安全评估是安全建设的终点。或者可以理解为,系统安全评估是实施风险管理措施后的风险再评估。1.安全测试方法安全测试可分为静态安全性测试和动态安全性测试。静态安全性测试是分析信息系统架构、所采用协议及软件系统的设计和实现过程中的缺陷;动态安全性测试是检测信息系统运行期间所表现出的安全脆弱性,这种安全脆弱性是信息系统前期的设计、实施,以及信息系统运行期间各种因素综合所产生的结果。(1)静态安

5、全测试静态软件安全性测试是信息系统安全性的一个基础性和支撑性的安全控制措施,因为安全问题人多是由于部分网络协议本身的安全性考虑不足,软件系统设计人员在初始设计吋就未考虑安全性问题,以及软件编程人员的安全意识、软件安全编程技术的不足所造成,所以如果软件安全得以保证,那么大部分安全问题都可以得到有效控制。静态安全性测试方法主要包括3方而的内容:Z软件系统设计原则和架构的审核;协议安全性分析与测试;Z软件系统源代码安全测试。(2)动态安全测试动态安全性测试就是对一个在运行信息系统的安全性所进行的测试,其目的是发现信息系统当前的漏洞以及潜在

6、的弱点。动态安全性测试可采取两种方法:从网络拓扑结构角度,可选择不同的测试点对信息系统进行多方位的安全测试,从而实现对整个信息系统的全方位安全测试;从网络协议层次角度,可针对网络协议的各个层次进行安全测试,从而实现整个网络协议层的纵深安全测试。二、安全测试技术在信息系统安全测试过程中,使用一定的技术手段进行安全测评是非常重要和必要的。主要的安全测试技术包括静态分析技术和渗透测试技术。1.静态分析技术静态分析在不执行程序的状态下,通过对被测软件进行建模,发现满足所有可能执行状态的软件属性,再由一组规则集分析并检测软件中存在的安全漏洞。

7、由于静态分析方法具有自动化程度高、分析速度快、是渗透测试的必要补充的优点,近年来已受到越来越多的重视。同时静态分析的测评对象是信息系统安全屮最核心的应用系统安全,所以其在等级测评屮也占有非常重要的地位。静态分析将源代码作为其输入,构建一个表示所分析程序的模型,并结合安全知识对这个模型进行分析,最终向用户输出其分析结果。建模就是将待分析的代码转换为一组代表此代码的数据结构。这个过程大量使用源自编译器领域的技术,包括词法分析、语法分析和语义分析。分析过程即使用安全规则,对建模阶段输出的数据结构进行评估。目前,静态分析的算法主要有抽象解释

8、、模型检验和数据流分析等。静态分析技术采用多种分析引擎从多个层面对应用程序进行安全分析。常用的分析引擎包括:数据流分析器、控制流分析器、语义分析器、结构分析器以及配置分析器。2.渗透测试技术渗透测试是安全性测试的•一种重要的技术,通过

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。