前言:中文期刊网精心挑选了网络安全测试报告范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
网络安全测试报告范文1
【关键词】中小型企业 信息化 网络系统
一、建设内容概述
建设内容:构建中型企业的计算机局域网,搭建安全的网络访问出口和网络服务体系,实现管理网、生产网、安防网之间的安全隔离和逻辑互通,具体包括设备部署、安装、调试、测试和用户培训等;对企业管理网、安防网和生产网等有线及无线网络的深化设计、IP规划和配置,建立良好的网络管理机制,满足网络系统信息的存储与备份,维保服务及为完成本建设内容内容所必须的各项工作。
(一)建设目标
建设目标:建设覆盖全企业所有建筑物的高速企业局域网络,满足企业目前及未来5年内信息化、自动化、智能化相关系统的需求,保证局域网能与企业广域网之间进行数据信息的准确、完整、快速、安全地传递,能够通过安全机制访问互联网,保证提供安全畅通的信息传输渠道。
(二)建设原则
1.实用性:系统的配置和设计应最大限度的满足企业的相关业务系统的各项需求,充分考虑长远发展。
2.安全性:系统需提供网络层的安全手段防止系统外部成员的非法侵入以及操作人员的越级操作。
3.可靠性:系统须能有效避免单点故障,最大限度地减少故障出现的可能性,同时保障网络能在最短时间内修复。系统通过完备的网络策略,保障网络物理及逻辑设计的可靠性。
4.先进性:系统结构设计、系统配置、系统管理方式等方面应采用国际上先进、成熟、实用的技术。通过智能化管理平台构建智能化管理网络,提升内部的管理效率以及对外的服务水平。
5.可管理性:整个系统须易于管理和维护,配置易学易用,并可以进行远程管理和故障诊断。建立统一的网络管理平台,实现对有线无线接入网络设备、网络策略、网络协议的多级维护,实现便捷管理。
6.可扩充性:充分考虑到未来技术和业务的发展,支持核心业务系统的不断扩展,保证网络设备可以扩充和升级,保护投资。
7.规范性:采用国际及行业开放的技术标准和产品,设备的各种接口满足开放性和标准化原则,保证在系统集成、互联和扩展时能够相互兼容。
(三)建设依据
依据与本建设内容有关的国家、地方及国外工程技术规范标准;参照国际上通行的管理方法,在国内外规范标准发生矛盾时,以国内规范标准为准。
二、总体实施方案
本次建设内容涉及企业广域网、互联网及内部网络的各个区域。
具体包括:协助企业与线路运营商的衔接,完成线路的调试工作;负责完成企业确立网络建设方案;负责完成IP地址、VLAN及设备命名等数据参数的规划与分配的解决方案;协助广域端口参数的确立;负责完成路由交换设备广域端口、局域端口的设置和路由策略的设计等,以及其它保证网络完整性的相应集成工作。
无线网络系统包括:协助完成无线AP点的位置规划及设备安装调试;负责完成无线AP所用到的数据参数的规划;负责实现无线AP接入点的安全访问控制及高效的可管理性;负责实现无线AP下挂终端与内网各个区域间及互联网等网络间的互联互通。
网络安全体系括:广域网出口、互联网出口及内网各个区域间的网络访问限制;从网络安全、主机安全、网络应用、防病毒、接入认证、数据安全几个层面对安全进行全面防护,同时要进行安全的集中管理。
网络管理体系包括:规划企业的网络管理体系,建立企业的综合统一网络管理平台,实现对网络系统的有效监控和预警,实现网络系统的故障管理、事件管理、性能管理,拓扑管理和链路流量管理;实现对主机故障和性能指标的监控管理、事件管理;建立综合报表平台,实现网络管理、主机管理、服务流程管理的报表系统。
(一)实施流程
实施流程分为如下四个阶段:准备阶段、网络建设、系统调试、测试运行
(二)环境调研
环境调研分为两部分:基础环境调研、网络结构调研。
基础环境调研包括:机房平面图、新增机柜位置、运营商机柜位置、地板承重、供电环境、走线方式、机房温湿度等;
网络结构调研主要包括:新企业区内网各个区域网络拓扑图、设备类型、型号数量及设备配置、端口类型、终端数量等。
(三)设备订货
将购置设备及时、无故障、顺利的运抵合同中规定的安装或联调现场,并负责故障设备的返修工作。
(四)详细方案编写
工程前期调研结束后,根据用户的要求以及调研结果,进行详细技术方案的设计和编写工作,包括详尽的安装顺序及技术参数,以作为现场施工安装的依据。
(五)设备到货及验收
设备到货验收的主要内容包括:1.设备已全部送达至用户指定机房;2.依照《设备到货验收报告》对设备进行核对,并记录产品序列号;3.设备加电测试;4.设备随箱资料整理;5.确认设备到货内容无误后,实施人员与用户共同签署《设备到货验收报告》。
(六)设备安装调试
设备到货验收完成后,实施人员在用户技术人员的监督指导下,将设备部署到各指定机房指定位置。进行现场设备的安装、施工和调试工作。工作过程和内容主要包括:
1.到达施工现场,向用户方配合人员介绍施工安排
2.设备安装上架、加固、接地等工作
3.终端设备和系统安装、调试完成,双方签署有关安装完成的证明书
4.详细解释并移交技术文件、配置手册等给节点配合人员
5.通过《测试报告》测试内容后,实施人员与用户共同签署《测试报告》,并需用户盖章确认。
(七)网络联调测试
设备安装调试完成后展开联调,进一步确认系统的每一部分都符合建设要求。
(八)系统联调测试
网络联调完成后,承载系统模拟真实生产环境,对各个生产区域进行功能测试,进一步完善网络安全设备访问控制策略。
(九)用户培训
在实施过程中,现场对相关技术人员进行培训。使用户维护及技术人员能够最直观的感受。培训的主要内容包括:工程实施技术培训;设备安装、配置培训;日常维护管理知识培训;简单故障的判断和处理方法。
(十)系统初验
设备安装、调试达到技术规范书规定的指标后,建设内容组将进行系统的验收测试(初验),以确保系统涉及的各个分区域和其他区域及广域网和互联网间的通信都能通畅无阻,安全设备能提供有效的安全防护,如果发现问题,将及时解决。
在初验前建设内容组将向用户提交初验的验收规范(包括建设内容、指标、方式和测试仪器等),用户方可根据技术规范书的有关规定进行修改和补充, 经双方协商确认后形成验收文件作为验收依据。验收测试合格后, 双方签署验收协议, 设备入网开通试运行。
(十一)系统试运行
系统初验通过后,进入试运行阶段,试运行时间为3个月。在试运行期内建设内容组将跟踪设备运行状态,及时发现并解决问题,消除故障隐患。
(十二)系统终验
系统试运行结束后,双方应进行系统的终验工作,以确保解决了前期测试和验收中遗留的问题,并满足了用户的所有需求。在全部达到要求时,双方签署最终验收文件。在终验完成后,将提供详细的终验报告,报告经用户方确认后,现场验收即告完成,系统进入质量保证期阶段。
(十三)网络出口组网及路由协议规划
1.广域网出口规划
企业广域网网络采用双出口设计,使用两台高性能路由器(含IPS板卡)+双防火墙分别上行至中烟公司广域网。
2.互联网出口规划
为了保证接入Internet后的安全性,在网络内部与出口之间设置防火墙、入侵检测、防毒墙等安全设备。SSL VPN设备放置在DMZ区域中。
互联网出口区部署一台高性能防火墙设备,以路由方式工作,将互联网出口划分为三个安全区域,保护内部终端和服务器不受外部非法攻击和访问,同时对DMZ区的Web和邮件等服务器提供有限访问保护,Internet以及企业内网用户均可正常访问DMZ区中的设备。
IPS的连接方式为双路连接,即:IPS分别连接两台物理核心交换机,在提高数据转发性能的同时,也可避免单链路或其中一台核心故障(端口或机框)而导致的互联网业务中断。
结合互联网业务和运营商互联网专线的特点,互联网出口路由协议规划如下:(1)在出口防火墙配置缺省静态路由指向运营商城域网设备;(2)出口防火墙向内起OSPF动态路由协议,并将向外的缺省静态路由引入OSPF。
三、QoS规划
本次网络规划时在提供充足带宽的前提下,还需要实施端到端的QoS机制。
我们可以用丢弃率、时延、时延抖动等几个关键参数来描述一个业务的QoS,当一个网络提供某类QoS的服务时,就是在网络中的结点设备上设置该类业务的带宽、发送优先级、丢弃优先级等来控制业务的丢弃率、时延、时延抖动等业务参数在承诺的范围内。
四、QoS设计原则
企业网络系统的QoS设计符合下面的原则:
差异性:为不同用户,不同业务提供不同的QoS保证;
可管理:灵活的带宽控制;
经济性:有效利用网络资源,包括带宽、VLAN、端口等;
高可用性:设计备份路径,采用具备热备份、热插拔能力的设备,并对关键的网络节点进行冗余备份;
可扩展性:采用能够在带宽、业务种类增加时平滑扩容、升级的设备。
五、QoS部署策略
企业网络系统的设计要求符合下列QoS设计特点:
吞吐量达到万兆级,完全保障正常带宽,且能轻松应对突发带宽;可用硬件实现业务优先级等级区分,QoS处理不占用设备CPU资源,不会影响性能;毫秒级保护倒换机制,保证链路中断后快速自愈,视频、语音业务的中断与恢复在50ms内完成,人类感官无法察觉,数据业务几乎无丢包;具有硬件的带宽预留机制,保障企业关键业务的畅通无阻;
具有先进的流控与反压机制,具备虚拟输出队列机制。
六、无线网络实施手册
(一)整网逻辑拓扑图
本建设内容基础网络系统已实现千兆到桌面,万兆连接核心。在汇聚交换机上分别部署一套无线控制器,作为整个无线局域网络的中央管理控制器。
(二)无线用户认证解决方案
针对无线用户,无线控制器作为802.1x认证的终结点,iMC认证计费系统作为最后的鉴权点,当用户在AP内进行切换时,此时的主要工作由无线交换机进行统一调度,当用户在不同的端口下的不同AP的覆盖范围时,此时用户不会再次触发认证。
(三)无线网络安全解决方案
企业新企业区无线局域网络主要服务于企业办公人员以及外来单位办公人员,也是规模的公众型网络,网络安全问题在建网时必须充分考虑,安全方式主要侧重几个方面:用户安全、网络安全,而在园区网络中主要依附于用户实体的属性主要包括用户使用的信息终端二层属性(诸如:MAC地址)及用户的帐号、密码,而对于企业内部用户来,帐号信息都是一个实名原则,与员工实名信息进行关联的,这样本无线网络中着重考虑使用无线网络的空口信息的安全机制,同时也要考虑与无线相关的有线网络的安全问题;
(四)无线AP供电解决方案
网络安全测试报告范文2
中标软件旗下拥有中标麒麟、中标凌巧、中标普华三大产品品牌。“自主可控、安全可靠”是中标软件系列产品重点打造的核心特性。旗下产品包括:中标麒麟安全操作系统、中标麒麟安全云操作系统、中标麒麟安全邮件服务器、中标麒麟高可用集群软件、中标麒麟高级服务器操作系统、中标麒麟通用服务器操作系统、中标麒麟桌面操作系统等核心产品。
中标麒麟(NeoKylin)是“核高基”国家重大科技专项支持的、由国内操作系统两强中标软件有限公司与国防科学技术大学共同推出的国产操作系统旗舰品牌。作为中国操作系统第一品牌,中标麒麟致力于提供值得信赖的自主可控操作系统产品。中标麒麟操作系统产品荣获“国家重点新产品”称号,并进入国家信息产业部产品推荐目录。
目前中标麒麟操作系统产品已在国防、政府、金融、电力、医卫等重点行业进行全面推广。根据赛迪顾问统计,2012年中标麒麟产品在国内Linux操作系统市场占有率排名第一。
中标麒麟安全操作系统是为满足政府、国防、电力、金融、证券、等领域,以及针对企业电子商务和互联网应用对操作系统平台的安全需求,由中标软件有限公司和国防科学技术大学联合研发的安全可控、高安全等级的服务器操作系统平台产品。中标麒麟安全操作系统通过了公安部信息安全产品检测中心基于《GB/T20272-2006信息安全技术操作系统安全技术要求》第四级(结构化保护级)技术要求认证。
中标麒麟安全操作系统所获资质或认可:公安部信息安全产品检测中心GB/T 20272-2006第四级(结构化保护级)检测报告、公安部公共信息安全网络安全监察局-计算机信息安全专用产品销售许可、中国人民军用信息安全产品认证(军B+级)、国家电网信息系统安全实验室测评报告、中标麒麟安全操作系统V5-计算机软件产品登记、中标麒麟安全套件软件V5-计算机软件著作权登记、中标麒麟安全操作系统V5-兼容性测试报告、中标麒麟安全操作系统V5-LSB3.1认证、中标麒麟安全操作系统V5-CGL4.0认证。
网络安全测试报告范文3
研究数据库系统安全性测试技术的目的在于了解不同技术的特点和应用对象。本文通过分析引发安全性问题的原因及测试技术适用范围,阐释了数据库系统安全性测试中几个核心技术的应用情况。
【关键词】数据库 系统 安全性测试 技术
信息时代的到来让网络与信息技术成为当下服务于各行业最为普遍、前沿的现代技术之一,在不断提高劳动生产率、减轻大量人工劳动强度的同时,让经济效益和社会效益出现了前所未有、几何级增长的态势。然而,当人类享受着计算机、信息技术等高科技带来的各种便捷与利益的同时,也面临着日渐增加的网络与电脑遭受恶意攻击、出现难以预料的安全性问题的烦扰。网络与计算机技术便利和问题的并存充分证明了“科技是一柄‘双刃剑’”的说法,也让越来越多业内外人士认识到了加强数据库系统安全性测试的重要性。
1 引发数据库系统安全性问题的原因
当前引发数据库系统安全性问题的主要原因概括起来主要有权限与帐户管理不当的问题,身份认证管理不当的问题,数据库日志审计方面的问题。
权限与帐户管理不当产生的安全性问题主要是对高级权限或帐户管理上的不当。尤其是对系统管理员的监督管理缺乏应有的强度与频率。由于系统管理员掌握着所有权限与帐户的特殊性,其不仅有通过后门进入数据库开展日常管理工作的现实性,也同时具有利用职务之便监守自盗的风险性。
当前众多数据库都具有用户身份认证的管理机制,只有用户提供正确的帐号与密码才能进入目标数据库系统进行相应的操作。但这一机制却对通过不法渠道获取的帐号与密码缺乏防范手段。
许多数据库系统内置了日志审计功能,也就是每出现一次系统数据变更(修改)或权限应用时,就会自动生成一条日志内容被系统捕捉并记录下来。然而当前这样的日志记录却没有对出现安全性问题进行实时监控与即时报警的功能。也就是说,虽然数据库系统能够自行记录下任何一条安全性问题,但若管理员没有及时查阅,则同样不能针对安全性问题采取措施进行处理或规避。
2 数据库系统安全性测试范畴
数据库系统安全性测试一般涉及到测试对象、潜在风险、方案设置等。所谓测试对象就是数据与系统功能。即那些需要得到安全保护的数据与系统功能都需要被陈列出来并衡量其对于合法用户与非法用户都有怎样不同的价值,此外还应寻找非法利用测试对象的各类手段。
潜在风险是指潜藏的可能造成数据损毁、丢失或损害系统功能的事件,需要找到这些潜在风险并且将其分为自然风险、意外风险、人为风险三类。同时,需要对这些潜在风险的出现进行概率预计,并就这些风险一旦转化为事实会造成的后果进行评估,再对其中程度最为严重的一部分进行重点关注。
方案设置是指对上面提到的潜在性风险进行的安全性方案的预设。特别是对其中人为风险进行重点安全性方案预设。与此同时,方案设置还包括对数据库系统安全性进行策略性测试。此环节包括正向与反向两大类。正向策略性测试是指从需要出发,将系统中设计、编码过程中可能存在的安全隐患一一找寻出来并进行针对性测试;而反向策略测试则是从当前系统中已经存在的漏洞与缺陷等出发,继续找寻其他潜在的漏洞与缺陷。在根据既有和后续发展的漏洞与缺陷建立相应的问题模型并由模型推演找寻发现可能遭受恶意攻击的端口或节点,继而对这些端口或节点进行安全性扫描。
3 数据库系统安全性测试中几个核心技术的应用
3.1 扫描
数据库系统安全性测试扫描技术主要针对的是数据库系统安全性强度问题的核心技术。特点是便捷、迅速、较容易操作,对数据库系统安全性测试具有一定的目标性,尤其是在认证用户身份、系统权限设置、安全缺陷与系统完整性等方面进行扫描测试。其过程是事先设置一定的安全性测试方案,再根据既定方案对预期中的潜在系统缺陷进行逐一测试,根据测试结果描述漏洞或缺陷的详情,再据此制定相应的解决措施。由此形成数据库系统安全性测试报告,实现对数据库安全的持续完善。这一核心技术具体内容包括对数据的安全性扫描、对用户权限设置的安全强度的扫描及对用户身份认证安全强度的扫描等。
3.2 渗透
这一技术简而言之类似于模拟外部入侵的试错技术。也就是最大限度模仿“黑客”等非法入侵数据库的对手的系统缺陷找寻手段与策略,通过主动对已方系统进行安全性测试发现其中潜藏的漏洞与问题所在。在信息与网络的实践应用中,数据库具有多层使用的特性。因此在同一个网络系统中,出于不同测试目的比如对象或阶段的差异等,使用渗透进行安全性测试的具体内容也不尽相同。比如既有对网络或端口进行扫描的渗透测试技术;也有通过对密码进行解密的破解渗透测试技术;还有“SQL”技术,也就是入侵者用自己设计的脚本渗透入目标数据库系统所在服务器的CGI脚本中,由此实现对入侵指令的实施或者是取得目标数据的目的。此外缓冲溢出也是渗透技术中较常见的一种。是指利用远程控制技术,在目标系统的缓冲区填充超过其预设容量的内容引发数据溢出,导致系统放弃该指令而执行入侵者的指令。
3.3 Fuzzing
此技术又称为模糊处理技术,也叫“黑箱”测试技术。该技术主要特点是测试者对目标数据库系统没有任何事先了解,仅通过对目标系统注入错误数据的手法开展测试,通过系统对此注入行为的反应发现其中潜藏的缺陷或漏洞。该技术主要针对的是互联网上最常用的协议如HTTP、FTP、SMTP、POP3等。而利用此技术能够发现的缺陷漏洞可以涵盖SQL、缓冲溢出、脚本攻击、字符串格式化漏洞与泄露在内的各类安全性缺陷问题。
4 结束语
数据库系统安全性测试技术是随着互联网与计算机应用的普及和深入而伴随出现并不断提升的前沿技术。这一技术不仅在于维护数据与信息安全及使用人的切身利益,更有助于促进整个网络与信息技术的不断完善与进步。数据库系统安全性测试技术的应用需要区分目标与对象的性质差异,选择最具针对性的内容与形式开展测试,并在不断提高技术适应性的基础上实现系统安全性的进一步完善。
参考文献
[1]白雪.试论Web应用系统的安全性测试技术[J].网络安全技术与应用,2013(04).
[2]张勇.基于规格说明的组件安全性测试技术研究和实现(硕士学位论文)[D].信息工程大学,2012(07).
作者介
庞丽英(1986-),女,山西省朔州市人。硕士学历。现为中北大学朔州校区助教。研究方向为数据库。
网络安全测试报告范文4
1.1建设标准化的信息安全管理体系
通过标准化管理实现信息安全标准化作业管理,定期对信息安全管理制度进行评价审定,对存在问题或需要改善的管理制度进行修订改善。
1.2建立完善信息安全管理组织机构
设立信息安全管理工程师、网络工程师、系统工程师等岗位,并明确各岗位相关职责,关键岗位实行备岗制度。应加强各岗位人员之间、信息安全管理负责部门和业务部门、后勤保障部门之间的沟通,共同负责协调处理信息安全问题。
1.3建立严格的审核流程
严格审查信息安全管理人员的聘用录取流程,审查其工作经历和任职过程,关键岗位应签署保密协议,明确相关人员信息安全责任;及时终止离退休人员的系统访问权限;对外来人员、第三方技术支持人员进行严格控制和监督,实行专人陪同或监督,并将访问时间、访问过程全过程登记备案。
1.4开展测试评估工作
新开发的业务系统、新建设的网络系统应加强安全防护措施建设,结合企业实际情况,建设针对性的安全防护方案;从长期安全和国际安全来看,最好使用安全性较高、质量较好的国产化产品;系统正式投入使用之前,应委托有资质的第三方专业测试单位对系统进行安全性、稳定性测试,根据测试报告对系统进行可用性、稳定性、安全性评估,不符合评估要求的,需要进行相关整改,整改之后重新进行测试评估,满足要求之后应该试运行一段时间。
1.5加强系统软硬件环境的全过程管理
(1)加强系统相关硬件环境的规范管理,特别是重要信息机房、通信机房的规范管理,确保机房温湿度、防水、防火、防盗、安全监控等运行环境符合要求,制定机房出入管理规定,严格机房出入管理,包括设备巡视维护人员、业务人员、第三方人员等等在内的所有人员都应严格实行出入管理规定,做好出入记录和工作过程的记录。(2)加强软件系统授权管理,根据各个系统角色的单位部门、工作职责、安全责任及工作范围等方面进行访问权限划分,按照最小授权原则,明确各个系统角色的权限、责任和风险;日常维护操作过程都应详细记录,严格操作授权管理机流程管理,任何未经授权的操作和错误的操作流程都要严格禁止和限制;定期进行漏洞扫描和补丁更新工作。(3)加强病毒防护管理,通过多种方式开展培训教育,增强企业员工防病毒意识,不打开、阅读来历不明的邮件,不随意发送涉及公司企业秘密的邮件;要指定专人做好病毒分析、记录和查杀工作。(4)严格系统变更、系统重要操作、物理访问和系统接入申报和审批程序,建立健全变更管理制度。保证所有访问均得到授权和批准,进行必要的安全隔离,配置严格的访问控制策略。
1.6加强员工信息安全培训
每年开展信息安全知识普及工作,提高企业全体员工信息安全意识;每年开展信息安全专项知识培训,并将信息安全培训纳入到企业培训考核工作当中,确保信息安全培训达到应有效果;加强企业领导和管理人员的信息安全培训,增强领导层、管理层的信息安全意识。
1.7加强应急预案管理工作
不断完善应急预案,做好应急预案的分类管理工作,既要有企业整体应急预案,也要有各个专项应急预案;做好应急物资储备调用工作,确保人员、物资等应急保障资源能及时可调可用。
1.8严格制定实施细则
确保信息安全风险评估工作做到常态化和制度化,及时落实整改,消除信息安全隐患。
2安全技术措施
2.1加强信息机房管理
通信机房安全建设管理工作,机房建设要符合国家相关规定,机房位置选择时,应选择远离强噪声源、粉尘、油烟、有害气体等场地,并且要避开强电磁场干扰,不要将机房选在地下室或者顶层等场地,选择中间二、三层较安全。
2.2加强信息网络安全管理
(1)信息网络核心交换机、汇聚交换机、核心路由器等核心网络设备要配置冗余设备,其上下行链路也要做好双链路备份,并根据业务需要合理分配网络资源;做好设备的授权访问控制,配置访问列表、IP/MAC绑定、vlan访问限制等安全措施,防止未经授权的访问操作发生。(2)采用网络行为管理设备、安全隔离装置、入侵防御设备(IPS)等安全设备对网络边界实施网络隔离、流量控制、访问行为审查和防御。(3)严格数据库访问管理,实现操作系统和数据库系统特权用户访问权限分离,对访问权限一致的用户进行分组,访问控制粒度应达到主体为用户级,客体为文件、数据库表级;控制单个用户的多重并发会话和最大并发连接数,限制单个用户对系统资源、磁盘空间的最大或最小使用限度,当系统服务水平降低到预先规定的最小值时,应能检测并报警。
2.3加强保密存储管理
对重要和敏感信息实行加密传输和存储,特别是移动存储管理,应严格限制移动设备的访问权限,包括办公笔记本和存储U盘,防止信息泄密;对重要信息实行自动、定期备份,防止数据丢失。
3结语
网络安全测试报告范文5
关键词:信息安全、风险评估、重要问题
中图分类号:TP309 文献标识码:A 文章编号:1007-9599 (2012) 17-0000-02
在现阶段,由于快速发展的信息技术,致使那些极大影响着国计民生的关键信息资源,从其规模来看,具有越来越大的变化趋势,至于其信息系统的结构,具有越来越高的复杂程度;在当前要促使我国国民经济的持续发展以及能够顺利进行信息化建设,其中的一个关键因素就是要让这些信息资源以及信息系统的安全性得到有力保障。而有关可用性、机密性以及完整性等等内容正是信息安全目标的具体表现。在当前进行安全建设一个出发点就是要进行信息安全风险评估,进行风险评估具有很多重要意义,其中把传统的以技术驱动为导向的安全体系结构设计进行有力改变,这是它的一个重要意义;有关,信息安全风险评估,其对信息系统安全风险的识别,主要是结合资产的重要程度来进行,在遵循成本—效益这一原则的基础上,当信息系统面临着以下这两种情况时,对它进行全面评估:第一种情况,当信息系统面临着威胁;第二种情况,当信息系统因本身脆弱性而被威胁源所利用、导致本身可能出现安全问题、由此可见,所谓信息安全风险评估,就是基于安全管理这个角度考虑,采用合理的手段和分析方法,对有关信息系统以及信息化业务,当其面临来自自然或者人为威胁时所产生的脆弱性进行比较系统地分析,并对可能造成安全事件的危害程度进行相应的评估,在此基础上,并能够把那些具有防御效果的对策以及整改措施有针对性地提出来,以让网络和信息安全能够得到最大的保障。
1 有关信息安全风险评估中的几个重要问题的认识
1.1 对有关网络信息安全的主要内容以及主要因素这个重要问题的认识
(1)有关网络信息安全的主要内容。所谓网络信息安全,顾名思义就是指当前网络中各种各样网络信息的安全,这是从狭义这个层面来考虑的;如果从广义这个层面来看,除了前面所提到的各种信息安全外,还包括整个网络系统的安全,诸如各种软硬件、存储以及传输、数据以及数据处理等等使用过程。总的看来,网络信息安全具有以下五大方面上的典型特征,如下表所示:
五大典型特征 具体含义
①具有保密性特征 也就是不准把有关网络信息泄漏给非授权的实体或者个人
②具有完整性特征 也就是对于未经授权的信息,一律不准对其进行修改或者加以破坏
③具有可用性特征 对于那些合法的用户,能够正常访问相关的信息
④具有可控性特征 能够有效并且合法控制相关的信息内容及其传播过程
⑤具有可审查性特征 为使能事后查询核对,在信息使用过程中要而且必须有进行相关的记录
表一:网络信息安全的典型特征
(2)有关网络信息安全的风险因素。为了能够对这个网络信息安全问题所具有的复杂性进行有效解决并且能够顺利地找到一个解决或者考虑这类问题的出发点,就必须从研究有关网络信息安全的那些风险因素入手,为了更好地认识和研究有关这些网络信息安全风险因素,在现阶段,可以把它们分为几大类型,如下表所示:
主要类型 具体内容
①来自自然方面的因素 例如火灾、水灾、地震、雷电、台风、寒潮、海啸等等
②来自网络硬件方面的因素 例如机房的(路由器、交换机以及服务器)等,因受外界因素(温度、湿度、灰尘、电磁干扰)等所产生的影响
③来自软件方面的因素 主要包括①机房设备(机房服务器和管理软件等),②用户计算机操作系统,③各种服务器数据库配置的合理性与否,④杀毒软件、防火墙等等其他应用软件
④来自人为方面的因素 具体包括那些对网络信息进行使用和管理的种种行为所带来的种种影响,诸如恶意代码、木马攻击、操作失误、数据泄露、骗取口令、拒绝服务等等
表二:网络信息安全风险因素的主要类型
1.2 对有关安全风险评估方法这个重要问题的认识
(1)有关定制个性化这种评估方法。在当前有关比较标准的评估方法极其流程虽然已经有了很多种,但是在具体的实际应用当中,单纯的套用或者拷贝这些方法是不可取的,比较正确的做法应该是把它们作为一个参考,结合企业的具体情况以及企业相关安全风险评估方面的能力,对这些标准的评估方法进行重新组合,以产生出具有个性化特点的评估方法,从而促使相关进行的评估服务能够具有灵活性以及可裁剪性的特点。具体的评估种类比较多,诸如网络结构评估、IT安全评估、渗透测试以及整体评估等等。
(2)有关安全整体框架的设计。进行风险评估,其目的不仅仅要懂得风险,更为重要的是要进行风险管理并为之提供所需要的依据。管理风险,其安全整体框架在于评估的直接输出;但是对于具体的企业来说,由于它们所处的环境不一样,各自的需求也都不相同,此外,从他们工作层面这个角度考虑,其可供参考的模版都不是很多,这就到来了不是很多的整体框架应用。但是,把最近一、两年内的框架完成好,这是企业至少也要做到的,这样才有可能做到有据可依。
(3)有关多用户决策的评估。由于不同的问题可以被不同层面的用户所看到,因而要对风险进行全面了解,有关多用户沟通评估这项工作就要经常进行。把多用户的相关决策过程取自于其评估过程,将大大有利对风险进行全面的了解和深入的理解,并且能够把对风险的管理真正落实到行动上。很多实践表明,让多用户共同参与,具有非常显著的效果。因此,进行多用户相关的决策评估,具有一个具体的方法以及流程也显得极其重要。
1.3 对有关风险评估过程这个重要问题的认识
(1)准备阶段—前期。在这一阶段,主要的工作有,首先要明确所评估的目标;其次是对于所涉及的评估范围要进行确定,并且要把相关的协议以及合同签署好;最后要把已经存在的那些被评估对象的相关材料进行接收,并就此对评估对象展开其研究调查工作。
(2)现场阶段—中期。在这一阶段,相关测评方案要进行编写,并且要把相应的管理问卷以及现场测试表准备好,在这个基础上,再把调查研究阶段以及现场阶段的测试有条不紊地进行开展。
(3)评估阶段—后期。在最后这一阶段,要把测试报告进行系统编写,相关调查研究要进行相应的补充和完善,在把这两项重要工作完成后,评估者要据此得出最终的风险评估报告。
2 结束语
总而言之,建设信息系统管理体系和安全体系的基础就是信息安全风险评估;进行风险评估,不仅可以让信息系统的安全状况得到进一步的明确,也可以让信息系统的主要安全风险得到进一步的明确;因此,在当前进行信息安全风险评估,对于及早发现信息系统的安全隐患并且采取相应的防御方案以保证信息系统安全具有极其重要的意义。
参考文献:
[1]刚.信息安全风险评估的策划[J].信息技术与标准化,2008,9.
网络安全测试报告范文6
作为连续三年微软MVP(最有价值专家),笔者在此次会前,一直在参与IE9的测试工作,从Beta版到RC版,再到最终的RTW正式版,因为了解,所以热爱。在此,笔者想通过《微型计算机》这个平台,将IE9的一些重要新特性和我的使用心得与大家一起分享,希望大家能够用IE9尽享网络之美。
解开枷锁,适应WEB2.0时代
如今,家家户户使用2Mb/s的互联网接入已经不成问题。而且,很多地区的用户都已经开始享受4Mb/s或更高速的光纤到户接入服务,也就是说,网络是跟上了互联网发展的需求的,而咱们的浏览器却未必。
IE8是靠对之前的版本升级和改进而来的。然而对当代互联网标准的支持却始终不够,而且性能也一直是一个常遭诟病的问题。不知你是否还有这样的印象,就是使用IE9之前的浏览器时,下载也好,播放视频也好,都还是觉得比较快的,可是浏览某些网站的某些应用时,总是觉得有点卡或者性能不尽人意,其实这就是浏览器性能成为瓶颈的一个表现。
Web 2.0时代相比上一代以用户通过浏览器获取信息为主的互联网,Web 2.0更注重用户的交互,用户既是网站内容的浏览者,也是网站内容的贡献者。所谓网站内容的贡献者,是说互联网上的每一个用户不再仅仅是一个个的读者,同时也成为了互联网的作者。在模式上,由单纯的“读”向“写”以及“共同建设”发展,由被动地接收互联网信息向主动创造互联网信息发展,这也是互联网发展的必然需求。由此,很多SNS社交服务网络(例如:人人网、开心网)应运而生,微博等服务也是如此。
关于IE9,你应该知道的五件事
1 精彩网络才是主角
浏览器只是一个舞台,而舞台上的主角应该是精彩的网络内容,而非浏览器本身。因此,IE9通过人性化的界面设计,与Windows 7的特性无缝整合,正是希望用户能够最大限度地“忽略”浏览器的存在,而将注意力全部沉浸在精彩的网络内容当中。
2 充分利用多核潜能
现代计算机平均拥有2.042个CPU内核,应该怎么用才能在性能与能耗二方之间平衡呢?IE9拥有Web Kit Sun Spider基准测试中最快的JavaScript引擎,即PChakra(查克拉)。
Chakra将充分优化多核CPU协同运算的能力,不仅让网页载人速度成倍提升,也让复杂交互型网页的响应速度更加顺畅,反应更加灵敏。
此外,IE9全面支持GPU硬件加速,将网页图形的渲染工作从CPU中解放出来,有效借助GPU效能提升浏览体验。能够显示更清晰的图像、更流畅的视频、更艳丽的色彩。
3 安全性提升
网络安全就像一个木桶,任何一根木条的缺陷,足队让用户损失惨痛。
IE9不仅着力于单向安全性的提升,同时运用快速响应安全信誉比对数据库,让任何一个恶意网站都难逃法眼。从表格中,我们可以看到NSSLabs的浏览器测试报告的数据对比,IE9以高达99%的实时威胁拦截率排名第一。
4 内外兼修的隐私保护
网络是一个前所未有的真实透明的社交网络。个人的隐私比以往任何时代都显得更为重要。IE9一方面通过“隐私跟踪保护”特性来限制来自第三方网站的跟踪用户的行为;另一方面也通过改进的“InPrivate隐私浏览”来保护本地用户的浏览记录等各种隐私。
5 为用户体验而生的标准
IE9全面支持最新的网络标准,包括:HTML5、CSS3、SVG等。笔者在用Acid 3软件中实测IE9时,最后的得分为95分,足以证明IE9对各种标准的兼容性很好。
但如何将“标准的支持”转化为“实际用户体验的提升”?IE9通过对硬件加速的支持和高效JavaScripl引擎,希望通过对计算机性能的合理利用来提升用户体验。
教你玩转IE9
要想体验真实的网络之美,其实很简单。笔者下面就带领大家一起玩转IE9,跟着我来做吧!笔者使用的电脑是联想T410,安装的是Windows 7旗舰版(32位)
在体验IE9之前,首先我们要确认自己的显卡是否支持IE9硬件加速。前往http://windows.省略/ie9下载并安装JE9后,再点击该浏览器右上方的齿轮状按钮,选择“Internet选项”,转到“高级”选项卡,再找到“加速的图形”一栏,检查下面的“使用软件呈现而不使用GPU呈现”一项前的复选框状态。如果该复选框未勾选,那么恭喜你,你的显卡支持IE9的全面硬件加速。如果该复选框默认是勾选了的,而且选项是灰色的,那么很抱歉,你的显卡由于种种原因可能不支持IE9的硬件加速,故接下来我们要做的一些体验可能在你的IE9上体验不到这么好的性能和效果。
1 快速阅读
如图2所示,这个网页使用了动画技术,尽可能以最快速度去翻动96个字母区域,使用的技术是HTML5 CanvasNHTML5 Audio元素。它体现的是IE9从图形加速到JavaScript编译再到canvas画布硬件加速的整体陆能。
在页面加载完毕之后,用户可以点击右下角金黄色的“Start Speed Reading”按钮来启动这个测试,测试全部结束后,网页会最终显示完成所有动画所用的总时间。由于这个是时间累积型的测试,所以稍慢一点的浏览器在经过时间累积后,就能发现明显的最终秒数差别。
笔者分别用IE9、FireFox和Chrome来浏览此页面,测试结果分别为6秒、22秒和1090秒,可见IE9在浏览HTML5网页方面的优势非常明显。
2 新建一个选项卡
安装好IE9后,你可以多使用它一段时间,然后下次你新建选项卡的时候,它默认会显示“about:Tabs”页,按热度降序列举出你最常访问的一些网站。供你更加快速便捷地访问你喜爱的常用网站。
3 选项卡分离与整合
尝试在IE9中的同一个窗口打开两个不同的选项卡吧,然后用鼠标左键按住其中的一个选项卡不放,向外使劲拖拽,哈哈,你会立刻看见这个选项卡被“撕”下来了。松开鼠标左键,它会自动形成一个独立的窗口。
不仅能“撕裂”,还能“合并”。咱们可以把刚刚分离开的选项卡用同样的方式拖拽到另一个选项卡的旁边,它便会自动“合并”,松开鼠标左键后,它就乖乖地被合并到同一窗口啦。由于现在选项卡也可以分分合合了,所以你可以利用Windows 7中的鼠标控制窗口行为的功能来同样控制IE9窗口的大小,例
如,拽住某个选项卡不放,分离出来并停靠到桌面的最右侧然后松开鼠标,这个窗口就自动占据屏幕右侧一半面积了。
4 固定网站
用IE9浏览一个网站,有一种使用桌面应用程序的感觉。你可以轻松将某个网站锁定到任务栏,并通过一次单击就能直接打开这个网站。
锁定网站到任务栏有三种途径,一个是打开该网站,直接将IE9浏览器地址栏左侧出现的网页图标拖放到任务栏松开;第二种是直接拖拽该网页所属的选项卡至任务栏松开;第三种是新建选项卡,在显示的你的常用网站列表中拖拽一个网站的图标到任务栏松开。这里,笔者以访问新浪微博(http://t.省略.on)为例,将它固定到任务栏上。
5 跳转列表与缩略图控制按钮
既然可以锁定网站到任务栏,那当然也要支持跳转列表与任务栏缩略图控制按钮才行。没错,不过你的网站也需要加一些简易的代码才能实现任务栏缩略图控制按钮与跳转列表。我们可以发现,新浪微博、支付宝等国内的一些网站已经开始陆续有所行动啦,例如:我们可以在页面上看到支付宝的跳转列表和豆瓣FM电台的缩略图控制按钮,实属方便。
6 “富”互联网体验
有了HTML5等一系列的新标准,我们将来的互联网体验会是什么样?能有多丰富?一起来看看吧。由于篇幅有限,这里我仅推荐三个应用(我们姑且把有丰富体验和功能的网站也称为“应用”或者“应用程序”吧),一个是“Flickr图片浏览器”,另一个是“中国国家博物馆”,最后一个是“IMDB影片”体验网站。
打开Flickr图片浏览器,你可以通过左下角的搜索框搜索图片,并以全新的体验方式浏览和缩放这些图片集。在中国国家博物馆网站里,你可以借助3DJavaScript进行虚拟现实体验,身临其境体验墙上的各种画作与介绍视频。在IMDB影片体验网站中,你可以以动画的方式去选择一个要欣赏的影片,然后直接在IE9中流畅播放。
不论是这些动画还是视频,你可以尝试在其上面单击鼠标右键,你会发现,这些内容既不是靠Flash呈现的,也不是靠Silverlight或者其他各种插件呈现的,而是原生的HTML5技术,通过IE9对其的支持直接呈现。
7 游戏
如图7所示,这是一个比较有意思的HTML5小游戏“大扫荡”。用锤子状的鼠标去打击屏幕上飞过的虫子即可。在IE9中玩这个游戏会非常顺畅,而且速度之快让笔者只能闯到第二关。需要注意的是,如果你与笔者一样,使用的是笔记本电脑来运行IE9,请确保电源设置为“平衡”或者“高性能”,并且插上电源适配器以确保IE9开启最高性能的体验。
写在最后
