【学习笔记】信息安全测评

最新推荐文章于 2024-04-11 04:53:09 发布
最新推荐文章于 2024-04-11 04:53:09 发布
阅读量1.1k 收藏 4
点赞数
分类专栏: 安全测试 文章标签: internet 网络 工作 security testing 技术人
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aovenus/article/details/5651421
版权

1、什么是信息安全测评?

 

     信息安全测评(testing and assessment of information security),指测评人员在系统工程指导思想下,遵守国家有关标准、规范和流程,通过设计各种测评案例,对一个信息系统的安全性能和功能进行“标准符合性”论证的过程。

 

2、测评过程关心的问题

  • 系统设计方案是否遵守国家有关标准?
  • 系统设计方案是否得到严格执行?
  • 系统建成后是否达到设计方案的要求?
  • 系统是否出现方案中未指明的错误等等。

3、为什么要进行信息安全测评?——Why

 

   对信息系统进行安全测评是对信息系统的建设质量进行评判的必要环节。

 

 

4、何时测评?——When

 

  • 设计阶段(确定安全等级)
  • 建设极端(根据确定的安全等级,测评是否满足要求)
  • 运行维护阶段(例行测评)
  • 废弃阶段(根据安全等级,确定处理方式)

5、那些系统需要测评什么? ——Which

 

  • 内网:指与Internet之间采取了“可靠的技术隔离手段”的企事业机构专用网络,如电力系统内部办公网络、OA系统等。
  • 外网:指那些与Internet并向外提供服务的企事业机构专用网络。例如,政府对外服务系统、政府门户网站、网络银行、社保网和校园网等。

5、谁来测评?——Who

 

  • 委托测评:由专业的信息安全测评人员组成。
  • 自测评:由本单位的技术人员组成。

6、如何准备测评?——What

  • 用户向测评机构提交测评申请。
  • 测评机构对资料进行必要的审核之后,与用户签署安全服务协议书(合同)。
  • 与用户签署保密协议书。
  • 向用户提交测评工作计划(主要包含工作目标、工作范围、工作重点、进度安排、保障措施、约束条件、计划审批、测评依据、术语与名词缩写)。

7、怎样测评?——How

 

  • 数据安全测评
  • 主机安全测评
  • 网络安全测评
  • 应用安全测评

 

aovenus
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
信息安全-网络安全测评技术与标准
我的个人博客
09-15 4030
网络安全测评概况、网络安全测评类型、网络安全测评流程与内容、网络安全测评技术与工具、网络安全测评质量管理与标准
信息安全性测试
weixin_48387686的博客
02-13 2176
信息安全性测试是确保产品或系统能够有效地保护信息和数据,使得用户、其他产品或系统的访问权限与其授权类型和级别相一致的一系列检查过程。信息安全性测试也应该是一个持续的过程,确保信息系统能够抵御恶意攻击,并保护数据的完整性、可用性和保密性。通常与其他类型的测试(如功能测试、性能测试、安全性测试)结合使用,以确保软件系统的整体质量和可靠性。
信息安全性测试,2024年最新15个经典面试问题
2303_79055586的博客
04-11 672
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
信息与安全技术——(十三)信息安全测评技术
m0_63853448的博客
10-09 506
信息安全测评对信息**安全模块、产品或信息系统**的安全性等进行验证、测试、评价和定级,以规范它们的安全特性。
网络信息安全基础知识及渗透测试概述
yzl_007的博客
08-21 1029
网络信息安全基础知识及渗透测试概述 网络信息安全基础知识及渗透测试概述什么是计算机网络信息系统信息安全计算机病毒计算机木马入侵攻击漏洞后门防火墙补丁密码加密解密数字签名数字水印网络信息安全常见风险信息安全概述渗透测试概述 什么是计算机网络 计算机网络是利用通信线路将不同地理位置、具有独立功能的计算机和通信设备连接起来,实现资源共享和信息传递等目的的系统。(主要有局域网LAN、城域网MAN、广域网WAN和互联网Internet等) 信息系统 信息系统是能进行信息采集、传输、存储、加工、使用和维护的计算机应用
信息安全网络信息安全的概述.
网络安全领域___专研者.
05-03 3041
网络信息安全是一门涉及计算机科学,网络技术,通信技术、密码技术信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 它主要是网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
信息安全等级测评师培训教程(初级)》学习笔记.docx
10-02
信息安全等级测评师培训教程(初级)》学习笔记信息安全等级测评师培训教程(初级)》学习笔记信息安全专业人士必备的知识储备,以下是本笔记的知识点总结: 1. 网络安全测评 * 网络结构安全:确保主要...
信息安全等级测评师培训教程(初级)》学习笔记
08-27
标记说明:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S); 保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A)...
金融行业网络安全资料.zip
06-24
金融行业信息安全等级保护测评服务安全引JRT0073-2012.pdf 金融行业信息系统信息安全等级保护测评南JRT0072-2012.pdf 金融行业信息系统信息安全等级保护实施引JRT0071-2012.pdf 人民银行信息系统信息安全等级...
初级测评师考试培训加笔记.rar
05-06
初级测评师主要负责对信息系统进行初步的安全测评,包括但不限于以下工作: 1. 收集和分析信息系统的基本信息,确定安全保护等级。 2. 对照安全要求,检查系统的安全设计和配置是否合规。 3. 开展风险评估,发现...
学生综合测评系统ic-main开发笔记
最新发布
06-24
在IT行业中,学生综合测评系统是教育信息化领域的一个重要组成部分,它主要用于对学生的学习成绩、行为表现、综合素质等多方面进行量化评估,为教师、学生及家长提供全面、公正、科学的评价依据。本开发笔记主要探讨...
信息安全测评的一般方法和流程报告
12-30
自己辛辛苦苦整理的报告,有排版和目录啥的。大致地整理了一下信息安全测评的一般方法和流程。供大家参考学习
信息安全测评网络安全风险评估的一般方法和流程自主学习报告
12-08
这是老师布置的网络安全概论学习报告作业,花了挺长时间做的,可以参考看一下。一、信息安全风险评估概述: 信息安全风险评估是依据有关信息安全技术标准和准则,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行的全面、科学的分析和评价的过程。信息安全风险评估将对信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响进行分析、评价,并将根据信息安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。 通过系统缜密的风险分析和评估,可以导出信息系统风险的安全需求,实现信息系统风险的安全控制,从而建立一个可靠的、有效的风险控制体系,保障信息系统的动态安全。因此,信息系统安全风险评估依其应用环境、应用领域以及处理信息敏感度的不同,安全需求上有很大差别,但概括起来风险评估可以明确信息系统的安全现状,确定现在的主要安全威胁,导信息系统安全的建设体系方向。这是第一段内容,大概有十几页
软件安全性测试
热门推荐
HelenLi的博客
07-08 3万+
软件安全性是一个广泛而复杂的主题,每一个新的软件总可能有完全不符合所有已知模式的新型安全性缺陷出现。要避免因安全性缺陷问题受各种可能类型的攻击是不切实际的。在软件安全测试时,运用一组好的原则来避免不安全的软件上市、避免不安全软件受攻击,就显得十分重要。   一、软件安全性测试基本概念   软件安全性测试包括程序、网络、数据库安全性测试。根据系统安全标不同测试策略也不同。   1
信息安全等级测评
Fly_鹏程万里
04-10 1142
下载地址:https://download.csdn.net/download/fly_hps/11100674
网络信息安全复习汇总
测试
01-13 2793
整个课就三个部分:对称密码,非对称密码,和几种安全服务(消息认证,数字签名,认证,证书等等都是为了安全服务) 本文后来有所更改和添加,更改部分节选自http://www.ecohnoch.cn/2017/11/02/shuxue58/,部分为我复习时整理,方便以后快速复习 两大类安全攻击被动攻击:对传输进行窃听和监测,通信和信息不受影响,用户感觉不到攻击存在,攻击通...
安全性测试的测试点
狂飙兔的博客
10-18 1万+
安全性测试的测试点 1.跨网站脚本攻击 通过脚本语言的缺陷模拟合法用户,控制其账户,盗窃敏感数据 2.注入攻击 通过构造查询对数据库、LDAP和其他系统进行非法查询 3.恶意文件执行 在服务器上执行Shell 命令Execute,获取控制权 4.伪造跨站点请求 发起Blind 请求,模拟合法用户,要求转账等请求 5.不安全对象引用 不安全对象的引入,访问敏感文件和资源,WEB应
信安小白,说明白渗透测试及信息安全
.G();的博客
10-24 1087
信息系统安全 信息安全前言一、相关术语1.白帽子和黑帽子2.渗透测试2.1 渗透测试分类2.2 渗透测试流程3.漏洞3.1 DDoS防御4.脚本5.其他术语1.引入库2.读入数据总结 前言 这里总结了信息安全课程上的一些学习笔记。 一、相关术语 1.白帽子和黑帽子 白帽子——创新者(善意极客) 设计新系统 打破常规 精研技术 勇于创新 灰帽子——破解者(通常为个人,不为任何一方服务,重在自我) 破解已有系统 发现问题/漏洞 突破极限/禁制 展现自我 黑帽子——破坏者(坏人) 随意使用资源 恶
安全性测试(一)--网页安全检查
KerryRuan的专栏
04-06 3652
本文摘抄自一个做过网站系统安全性测试人写的文章! 感觉写的不错,记录下来: 网站安全性测试 一.  测试范围概述   网站的安全性检查一般包括:        网页安全检查   数据库安全检查   系统安全检查   接口安全检查 二.  检查范围详解  (一) 网页安全检查   1. 输入的数据没有进行有效的控制和验证 数据类型允许的字符集最大和最小
信息安全意识培养 撰写学习笔记
09-09
以下是一些关于信息安全意识培养的学习笔记: 1. 了解常见的安全威胁:学习不同类型的安全威胁,如恶意软件、网络钓鱼、社交工程等。了解这些威胁可以帮助你更好地保护自己和他人。 2. 创建强密码:学习如何创建强...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值