网络安全测评概念:参照一定的标准规范要求,通过一系列的技术和管理方法,获取评估对象的网络安全状况信息,对其给出相应的网络安全情况综合判定。测评对象通常包括信息系统的组成要素或信息系统自身;
基于测评目标分类:
基于测评内容分类:
基于实施方式分类:
基于测评对象保密性分类:
网络安全等级保护测评内容:
网络信息系统安全等级评测过程:测评准备活动、方案编址活动、现场测评活动和报告编址活动;
网络安全渗透测试流程:
漏洞扫描:获取测评对象的安全漏洞信息。常见的:网络安全漏洞扫描器、主机安全、数据库安全、Web应用安全漏洞扫描器;
安全渗透测试:通过模拟攻击者对测评对象进行安全攻击,以验证安全防护机制的有效性,可分为:
代码安全审查:对测评对象的源代码或二进制代码进行安全符合性检查。典型的代码安全缺陷类型:缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数;
协议分析:用于检测协议的安全性。
性能测试:评估测评对象的性能状况,检查测评对象的承载性能压力或安全对性能的影响;
有关测评机构的质量管理体系的建立主要参考的国际标准是:ISO 9000;
中国合格评定国家认可委员会(CNAS)
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
加入交流群
请使用微信扫一扫!