2021信息安全工程师学习笔记(十八)
网络安全测评技术与标准
1、网络安全测评概况
网络安全测评概念:参照一定的标准规范要求,通过一系列的技术和管理方法,获取评估对象的网络安全状况信息,对其给出相应的网络安全情况综合判定。测评对象通常包括信息系统的组成要素或信息系统自身;
2、网络安全测评类型
基于测评目标分类:
- 网络信息系统安全等级测评:等保2.0标准;
- 网络信息系统安全验收测评:评价项目是否满足安全验收要求中的各项安全技术指标和安全考核目标;
- 网络信息系统安全风险评测:出具风险评估报告,提出安全建议;
基于测评内容分类:
- 技术安全测评
- 管理安全测评
基于实施方式分类:
- 安全功能检测:访谈调研、现场查看、文档审查、社会工程、漏洞扫描、渗透测试、形式化分析验证;
- 安全管理检测:访谈调研、现场查看、文档审查、社会工程、安全基线对比;
- 代码安全审计:对定制开发的应用程序源代码进行静态安全扫描和审查,识别可能导致安全问题的编码缺陷和漏洞的过程;
- 安全渗透测试:模拟黑客对目标系统进行渗透测试;
- 信息系统攻击测试:对应用系统的抗攻击能力进行测试。测试指标:防御攻击的种类和能力;
基于测评对象保密性分类:
- 涉密信息系统安全测评:对涉密信息系统所面临的威胁及其存在的脆弱性进行分析;
- 非涉密信息系统测评:综合给出网络安全状况评估和改进建议;
3、网络安全测评流程与内容
网络安全等级保护测评内容:
网络信息系统安全等级评测过程:测评准备活动、方案编址活动、现场测评活动和报告编址活动;
网络安全渗透测试流程:
4、网络安全测评技术与工具
漏洞扫描:获取测评对象的安全漏洞信息。常见的:网络安全漏洞扫描器、主机安全、数据库安全、Web应用安全漏洞扫描器;
安全渗透测试:通过模拟攻击者对测评对象进行安全攻击,以验证安全防护机制的有效性,可分为:
- 黑盒模型:只需要提供测试目标地址,授权测试团队从指定的测试点进行测试;
- 白盒模型:提供尽可能详细的测试对象信息,制定特殊的渗透方案,对系统进行高级别的安全测试。适合高级持续威胁者模拟;
- 灰盒模型:提供部分对象信息,模拟不同级别的威胁者进行渗透;
代码安全审查:对测评对象的源代码或二进制代码进行安全符合性检查。典型的代码安全缺陷类型:缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数;
协议分析:用于检测协议的安全性。
性能测试:评估测评对象的性能状况,检查测评对象的承载性能压力或安全对性能的影响;
有关测评机构的质量管理体系的建立主要参考的国际标准是:ISO 9000;
中国合格评定国家认可委员会(CNAS)
5、网络安全测评质量与标准
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
赞同 0
评论 0 条
- 上周热门
- 如何使用 StarRocks 管理和优化数据湖中的数据? 2697
- 【软件正版化】软件正版化工作要点 2663
- 统信UOS试玩黑神话:悟空 2569
- 信刻光盘安全隔离与信息交换系统 2257
- 镜舟科技与中启乘数科技达成战略合作,共筑数据服务新生态 1127
- grub引导程序无法找到指定设备和分区 778
- 江波龙2025届校园招聘宣讲会行程大放送 30
- 点击报名 | 京东2025校招进校行程预告 27
- 海康威视2025校招|海康机器人,邀你共创工业智能化未来! 26
- 金山办公2024算法挑战赛 | 报名截止日期更新 24
- 本周热议
- 我的信创开放社区兼职赚钱历程 40
- 今天你签到了吗? 27
- 信创开放社区邀请他人注册的具体步骤如下 15
- 如何玩转信创开放社区—从小白进阶到专家 15
- 方德桌面操作系统 14
- 我有15积分有什么用? 13
- 用抖音玩法闯信创开放社区——用平台宣传企业产品服务 13
- 如何让你先人一步获得悬赏问题信息?(创作者必看) 12
- 2024中国信创产业发展大会暨中国信息科技创新与应用博览会 9
- 中央国家机关政府采购中心:应当将CPU、操作系统符合安全可靠测评要求纳入采购需求 8
热门标签更多
