信息系统安全测试技术

信息系统安全测试技术

一、存在问题

信息系统作为一个复杂的由众多部件构成的系统，其安全测试存在着很大的挑战。信息系统安全测试与安全产品的测试不同，关于安全产品的测试评估目前国际国内已有比较成熟的标准、技术及方法，信息系统的安全性测试在国内外都还处于探索阶段，许多安全组织和机构都在积极地研究信息系统安全测试的技术、方法和实践，但仍然没有形成一个比较统一的测试标准、技术和方法。我国在信息系统安全评估方面产生了一些标准和指南，但仍缺乏相应的技术实践和工具支持。

二、科研需求：

信息系统安全测试涉及面很广，需要不同的安全测试技术，同时也需要多种安全测试工具的有机结合。当前最主要的安全测试技术主要包括：静态分析技术和渗透测试技术，而渗透测试技术又根据渗透目标的不同划分为主机渗透测试、数据库渗透测试、应用渗透测试和网络渗透测试。

信息系统安全测试中的各个方面均存在一些常见的安全漏洞，对这些常见的安全漏洞进行攻击和防御技术的研究探索，最终形成一套可应用的漏洞攻击和防护方案，成为了众多信息安全测试机构安全测试技术应用研究的重要内容。

三、研究内容

（一）主要研究内容：信息系统安全测试在实际测试项目中的测试类型不唯一，其中有风险评估、系统安全评估、静态安全测试、动态安全测试、渗透测试，是对信息及信息系统安全性评价方面两种特定的、有所区分但又有所联系的不同研究和分析方法。

（二）预期目标：

保证信息的保密性、完整性、可用性、真实性、实用性和占用性。系统中的信息必须按照该信息拥用者的要求保证一定的秘密性，不会被未经许可的第三方非法获取；系统必须阻止一切对秘密信息的非授权访问或泄密；系统中的信息应当安全、准确、有效，要求数据不能被非法改动或删除；不论在何种情况下、经过何种处理，只要有需要，系统即可使用，而不能因为系统的故障、误操作等原因妨碍系统的正常使用，或使有严格时间要求的系统不能得到及时的响应；包括一些非正常条件下继续运行的能力，如在遭到攻击、病毒感染等情况下，系统仍然要求是可用的；对信息的发送者身份的确认或系统中有关主体的身份确认，这样可以保证信息的可信度；信息的真实性可以通过数字签名、公钥加密等方式来实现；所谓实用性，是指信息的加密密钥不得丢失（不是泄露），如果丢失了密钥，则被加密的信息就无法正确提取，成为无用的垃圾数据，即丢失了信息的实用性；所谓占有性，是指要保护系统赖以存储的节点、介质、载体等不被盗用或窃取。保护信息占有性的方法有使用版权、专利、商业秘密性，提供物理的或逻辑的存取限制方法，维护和检查有关窃取文件的记录等。

（三）标志性成果：

（1）科学定级，严格备案。信息系统的运营、使用单位必须按照等级保护的管理规范和技术标准，确定其信息系统的安全保护等级。对重要信息系统，其运营、使用单位及其主管部门应通过专家委员会的安全评审。安全保护等级在二级以上的信息系统，以及跨地域的信息系统应按要求向管辖公安机关备案。

（2）建设整改，落实措施。对已有的信息系统，其运营、使用单位要根据已经确定的信息安全保护等级，按照等级保护的管理规范和技术标准，采购和使用相应等级的信息安全产品，落实安全技术措施，完成系统整改。对新建、改建、扩建的信息系统，应当按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工。

（3）自查自纠，落实要求。信息系统的运营、使用单位及其主管部门要按照等级保护的管理规范和技术标准，对已经完成安全等级保护建设的信息系统，定期进行安全状况检测评估，及时消除安全隐患和漏洞，发现问题及时整改，不断加强信息安全等级保护能力。

（4）监督检查，完善保护。公安机关要按照等级保护的管理规范和技术标准的要求，重点对三级及以上安全等级的信息系统进行监督检查。发现安全保护不符合管理规范和技术标准的，要通知相关部门限期整改，确保信息安全等级保护的完善实施。