六、安全信息系统的实现

    在设计特定企业的安全信息系统的时候需要考虑行业的特殊性，一般可以从以下6个方面来考虑企业信息系统安全。

    ①物理安全。行为监测和物理访问控制。

    ②网络安全。防火墙、VPN、周边网络架构。

    ③主机安全。权限监控、入侵检测、反病毒软件。

    ④数据安全。加密、数字签名、身份验证。

    ⑤独立评估。定期进行系统安全测试。

⑥安全应急机制。内部沟通与外部通信。

七、信息系统安全测评

1、信息系统安全测评概述

    信息系统安全是指对信息系统及其处理的信息采取适当的安全保障措施，防止未授权的访问、使用、泄露、中断、修改、破坏，从而确保信息系统及其信息的机密性、完整性和可用性，保证信息系统功能的正确实现。

信息系统安全测评是依据信息安全测评的要求，在风险评估的基础上，对在信息系统生命周期中采取的技术类、管理类、过程类和人员类的安全保证措施进行测评和检查，确定信息系统安全保证措施对履行其职能的有效性及其面临安全风险的可承受度。

2、信息系统安全测评的基础与原则

1）信息系统安全测评

    综上所述，信息系统安全评估规范将具有以下特点：

    ①以信息系统面临的安全风险为出发点，以安全策略为核心；

    ②强调信息系统安全保障是一个动态的持续发展过程，即信息系统安全应贯穿信息系统全生命周期；

    ③强调信息系统安全的要求和保证概念，信息系统的安全是通过综合技术、管理、过程和人员的要求等措施实施和实现信息系统的安全目标，通过对信息系统的技术、管理、过程和人员等方面的安全评估结果及安全认证来提供对信息系统安全的保证和信心；

    ④通过风险和策略基础以及生命周期和保证层面，从而使信息系统安全实现信息技术安全根本原则，保障组织机构执行其使命的根本目标。

2）信息系统的分级原则

    信息系统安全保障的分级，需要先根据信息系统所处理信息的机密性、完整性和可用性特征以及信息和信息系统价值划分定义其使命类，然后考虑信息安全保障所要处理的威胁级别，最后再根据使命类和威胁级别的矩阵确定相对应的信息系统安全保障级（ISAL）要求。

3、信息系统安全测评方法

1）模糊测试

模糊测试（Fuzzing）是一种黑盒测试技术，它将大量的畸形的数据输入到目标程序中，通过监测程序的异常来发现被测程序中可能存在的安全漏洞。运用其发掘软件安全漏洞，从漏洞发现到重现和定位漏洞比较容易，不存在漏洞误报，目前正广泛应用于对文件格式、网络协议、Web程序、环境变量和COM对象等的安全测试中。

1、模糊测试原理

与基于源代码的白盒测试相比，模糊测试的测试对象是二进制目标文件，因而具有更好的适用性；模糊测试是一种自动化的动态漏洞挖掘技术，不存在误报，也不需要人工进行大量的逆向分析工作。

    几乎所有可被人利用的漏洞都是因为应用程序接受了用户的输入并且在处理输入数据时没有首先清除非法数据或执行确认例程。

远程模糊器的目标有Web服务、Email服务、ftp服务、DNS服务等。

2、模糊测试对象

    目前模糊测试对象已经渗透到安全领域的各个方面，出现了很多针对特定测试对象的测试工具。

    （1）环境变量和参数

    测试对象主要是命令行参数和环境变量。现在的主要工具有iFuzz。

    （2）Web应用程序和服务器

    Web应用容易受到各种类型的漏洞攻击，主要有：拒绝服务、跨站漏洞、SQL注入漏洞、目录遍历、缓冲区溢出、远程代码注入等。我当前的主要的测试工具有：SPIKE代理和Webcarab。

    （3）文件格式

    测试对象是针对特定的文件格式，主要用于发掘客户端文件解析漏洞。当前主要的测试工具有：notSPIKEfile、SPIKEfile、FileFuzz。

    （4）网络协议

    网络协议的模糊测试原理是通过特定的Socket形式将变异或者生成的含有错误信息的数据包发送给目标程序。包括ircfuzz、dhcpfuzz、infigo FTPStress等。

    （5）Web浏览器

现在的Web浏览器可以处理动态html文件、表单、脚本语言等多种目标。目前应用最广的是针对组件的测试，尤其是针对ActiveX组件。代表工具有COMRaider和AxMan。

3、模糊测试的优缺点

    与代码审计、静态分析、模型检测等方法比，模糊测试有许多优点。第一，模糊测试不需要程序的源代码即可发现问题。第二，模糊测试不受限于被测系统的内部实现细节和复杂程度。第三，使用模糊测试的可复用性较好，一个测试用例可适用于多种产品。

    模糊测试有两个关键的操作：产品畸形数据和观察应用程序是否呈现异常。但进行两个操作时存在如下问题：

    首先，目前理论上还未出现能成熟、优化生成畸形数据的方式。

其次，需要有一个监控器观察应用程序是否出现异常。

4、代码审计

    代码审计的主要方法

    从方法论的角度出发，宏观来看代码审计的主要方法可以分为自顶向下、自底向上和两者相结合的三种方法。

    采用自顶向下（明确的）的方法，审计者不必深入了解目标程序。优点是效率较高，但缺点是可能会遗漏那么需要深入了解目标程序上下文才能发现的漏洞、跨越多段代码的漏洞等。

采用自底向上的方法，审计者需要阅读大部分的源码来了解程序的内部工作机理。一般是从main函数开始，从进入点一路读退出点，从而对程序有一个全面的了解。会耗费大量时间，但由于全面地了解了程序可能会发现更多、更复杂的漏洞。

5、信息系统安全测评程序

信息系统安全测评由三个阶段组成：

①安全评估阶段；

②安全认证阶段；

③持续监督阶段。