基于本体的信息安全测试用例库模型研究

在信息安全测试活动中,信息安全测试用例对测试结果的客观性、有效性起着至关重要的作用,信息安全测试用例库的构建是开展信息安全测试并实现测试自动化的重难点之一.目前,尚无一个适用的信息安全测试用例库可以有效支撑信息安全测试活动的开展.基于本体的信息安全测试用例库模型,在信息安全测试用例形式化描述的基础上,对信息安全测试用例领域知识进行了分类,构建了一个共享、重用、可扩展的信息安全测试用例本体模型.根据构建的本体模型,对Web应用安全测试中的SQL注入测试用例进行知识获取,验证了模型的正确性与有效性.

便携式化工生产流程控制信息安全测试平台

随着针对工业控制系统的攻击事件日益频发,工业控制系统信息安全的需求变得尤为迫切,尤其对于石油化工领域内引领国内工控市场的西门子工控产品。提出了一种基于S7-200 PLC的便携式化工生产流程控制信息安全测试平台,其能够简单模拟储物罐输料、反应釜反应以及产品输送到产品罐的整个控制流程,为西门子工控产品的信息安全性能进行分析测试以及攻防演练提供了平台,并为之后开展的工控信息安全研究奠定了基础。

移动互联网应用程序个人信息安全测试实践

本文依据GB/T 35273-2020《信息安全技术个人信息安全规范》,通过某一移动互联网应用程序(以下简称APP)进行个人信息安全测试实践,并对APP收集个人信息的合法性和最小必要、应提供的用户权利等方面的测试工作进行了总结。

工业控制系统信息安全测试与防护技术趋势

随着我国现有社会科学技术的快速发展,在传统工业生产中通信技术、互联网技术、控制技术、计算机技术等已经逐渐普及应用,而工业控制系统作为我国的经济命脉之一,对其进行信息安全测试和防护至关重要,这不仅关系着我国工业是否可以健康发展,更决定了我国经济能否稳定上升。本文中首先分析了我国工业控制系统在应用中存在的脆弱性,再通过介绍工业控制系统信息安全测试的特点及实现手段,探究了工业控制系统信息安全测试技术。最后结合实际情况,对工业控制系统中的安全防护技术进行简要概述,希望借此为保障我国工业系统顺利运行提供些许参考意见。

C-V2X车辆恶意数据识别能力测试方法

针对测试车载单元(On Board Unit, OBU)或整车是否具备识别恶意数据的能力以及其恶意数据识别能力是否符合要求的问题,提出了一种恶意数据识别能力测试方法,搭建了蜂窝车联网(Cellular-Vehicle to Everything, C-V2X)信息安全测试系统。根据恶意数据消息的发送主体的合法性、一致性和安全层校验通过情况,将常见恶意数据攻击进行分类。基于分类结果,设计相应测试用例,利用测试设备生成非法安全协议数据单元(Session Primitive Data Unit, SPDU)数据包。C-V2X信息安全测试中包括车用无线通信技术(Vehicle to Everything, V2X)模拟模块、全球导航卫星系统(Global Navigation Satellite System, GNSS)模拟模块、证书授权(Certificate Authority, CA)平台和场景模拟模块等几个部分,在C-V2X模拟模块采用FPGA处理上位机的比特流,并采用数字上变频(Digital Up Converters, DUC)、数字下变频(Digital Down Converter, DDC)和数模转换器(Digital to Analog Converter, DAC)等几个模块完成数据处理。结果表明,所提测试方法可以模拟常见的恶意数据攻击,测试设备生成的合法数据包可以被车辆正常接受,生成的非法数据包部分可以被待测设备识别并丢弃。

汽车信息安全测试评价可行性研究

本文介绍了汽车信息安全在国内的现状,探讨了汽车信息安全的安全目标和构成要件,给出了测试的覆盖维度和汽车安全体系评价的必要特征,提出了汽车信息安全的评价因素和评价规则,最后对实例验证结果进行了介绍并对后续工作进行了展望。

从车企的角度对车联网信息安全技术研究

随着车联网技术的不断发展,车联网技术已经在各大车厂的量产车型实现了广泛的应用,但随之而来的车联网技术相关问题已经日益凸显。文章主要从车联网的行业动态、车联系统的功能、车联网信息安全的重要性、安全架构设计等方面进行了介绍,并对车联网信息安全技术的开发流程、信息安全机制、策略设计、实车渗透测试以及响应机制体系建立进行了讲解,从车联网端、管、云三个层面进行车联网信息安全设计的解析,其中包括手机APP、数据中心、通信运营商、车载通信终端的安全设计,以及车厂在未来信息安全持续加固、信息安全测试验证、相关标准制定,面临的挑战。

A Test Bed for Information Security Skill Development with Virtual Training Environment

New attacks are emerging rapidly in Information Security; hence the tools and technologies available for securing the information needs substantial upgradation as well as skills for operationalization to mitigate these attacks. It requires creation of practical training environment with tools and technologies available for Information Security. The design of Information Security courses involves scenario based hands-on-labs with real time security incidents and problems with global reach which could be customized quickly as per the scenario and user＇s requirement. In order to understand the underlying concepts as well as to learn the practical aspects of network and system security environment, an initiative has been taken and a Virtual Test Bed has been developed to meet the above objectives. It is an essential component in Information Security training concept which could be used to perform actual security attacks and remedial measures as well as to test the effectiveness of protection mechanisms and help in handling the security incidents effectively. This paper discusses the development of this Test Bed for Information Security skill development with virtual training environment using which Information Security concepts, attacks on networks/systems and practical scenarios are simulated for imparting hands on training to participants.