网络安全测评技术与标准
1、网络安全测评概况
网络安全测评概念:参照一定的标准规范要求,通过一系列的技术和管理方法,获取评估对象的网络安全状况信息,对其给出相应的网络安全情况综合判定。测评对象通常包括信息系统的组成要素或信息系统自身;
2、网络安全测评类型
基于测评目标分类:
- 网络信息系统安全等级测评:等保2.0标准;
- 网络信息系统安全验收测评:评价项目是否满足安全验收要求中的各项安全技术指标和安全考核目标;
- 网络信息系统安全风险评测:出具风险评估报告,提出安全建议;
基于测评内容分类:
- 技术安全测评
- 管理安全测评
基于实施方式分类:
- 安全功能检测:访谈调研、现场查看、文档审查、社会工程、漏洞扫描、渗透测试、形式化分析验证;
- 安全管理检测:访谈调研、现场查看、文档审查、社会工程、安全基线对比;
- 代码安全审计:对定制开发的应用程序源代码进行静态安全扫描和审查,识别可能导致安全问题的编码缺陷和漏洞的过程;
- 安全渗透测试:模拟黑客对目标系统进行渗透测试;
- 信息系统攻击测试:对应用系统的抗攻击能力进行测试。测试指标:防御攻击的种类和能力;
基于测评对象保密性分类:
- 涉密信息系统安全测评:对涉密信息系统所面临的威胁及其存在的脆弱性进行分析;
- 非涉密信息系统测评:综合给出网络安全状况评估和改进建议;
3、网络安全测评流程与内容
网络安全等级保护测评内容:
网络信息系统安全等级评测过程:测评准备活动、方案编址活动、现场测评活动和报告编址活动;
网络安全渗透测试流程:
4、网络安全测评技术与工具
漏洞扫描:获取测评对象的安全漏洞信息。常见的:网络安全漏洞扫描器、主机安全、数据库安全、Web应用安全漏洞扫描器;
安全渗透测试:通过模拟攻击者对测评对象进行安全攻击,以验证安全防护机制的有效性,可分为:
- 黑盒模型:只需要提供测试目标地址,授权测试团队从指定的测试点进行测试;
- 白盒模型:提供尽可能详细的测试对象信息,制定特殊的渗透方案,对系统进行高级别的安全测试。适合高级持续威胁者模拟;
- 灰盒模型:提供部分对象信息,模拟不同级别的威胁者进行渗透;
代码安全审查:对测评对象的源代码或二进制代码进行安全符合性检查。典型的代码安全缺陷类型:缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数;
协议分析:用于检测协议的安全性。
性能测试:评估测评对象的性能状况,检查测评对象的承载性能压力或安全对性能的影响;
有关测评机构的质量管理体系的建立主要参考的国际标准是:ISO 9000;
中国合格评定国家认可委员会(CNAS)