2020软考 信息安全工程师(第二版)学习总结【十四】

第十八章 网络安全测评技术与标准

网络安全测评概况

  • 网络安全测评概念
    • 参照一定的标准规范要求,通过一系列的技术和管理方法,获取评估对象的网络安全状况信息,对其给出相应的网络安全情况综合判定
  • 网络安全测评发展
    image-20201103172021621
  • 网络安全测评作用
    • 信息技术产品安全质量、信息系统安全运行的重要保障措施

网络安全测评类型

  • 基于测评目标分类
    • 网络信息系统安全等级测评:测评机构,采用等保2.0标准
    • 网络信息系统安全验收测评:用户申请
    • 网络信息系统安全风险测评:风险管理角度
  • 基于测评内容分类
    • 技术安全测评:物理环境、网络通信、操作系统、数据库系统、应用系统、数据及存储系统等
    • 管理安全测评:管理机构、管理制度、管理流程、人员管理、系统建设、系统运维等
  • 基于实施方式分类
    • 安全功能检测:访谈调研、现场查看、文档审查、社会工程、漏洞扫描、渗透测试等
    • 安全管理检测:访谈调研、现场查看、文档审查、安全基线对比、社会工程
    • 代码安全审查:静态安全扫描
    • 安全渗透测试
    • 信息系统攻击测试
  • 基于测评对象保密性分类
    • 涉密信息系统测评
    • 非涉密信息系统测评

网络安全测评流程与内容

  • 网络安全等级保护测评流程与内容

    • 技术安全测评管理安全测评两部分

    image-20201103173053667

  • 网络安全渗透测试流程与内容

    image-20201103173253401

网络安全测评技术与工具

  • 漏洞扫描
    • 网络安全漏洞扫描器:Nmap,Nessus
    • 主机安全漏洞扫描器:微软安全基线分析器,COPS
    • 数据库安全漏洞扫描器:安华金
    • Web应用漏洞扫描器:w3af、Nikto、AppScan
  • 安全渗透
    • 黑盒模型
    • 白盒模型
    • 灰盒模型
  • 代码安全审查
  • 协议分析
    • TCPDump、Wireshark
  • 性能测试
    • 性能监测工具(系统自带)、Apache JMeter(开源)、LoadRunner、SmartBits

网络安全测评质量管理与标准

  • 网络安全测评质量管理

    • 网络安全测评质量管理内容
      • 测评机构建立质量管理体系、测评实施人员管理、测评实施设备管理、测评实施方法管理、测评实施文件控制、测评非符合性工作控制、体系运行监督、持续改进
    • 网络安全测评质量管理参考标准
      • ISO9000
    • 网络安全测评相关机构认可管理
      • 中国合格评定国家认可委员会(CNAS)
  • 网络安全测评标准

    1. 信息系统安全等级保护测评标准
      • 计算机信息系统 安全保护等级划分准则(GB 17859-1999)
      • 信息安全技术 网络安全等级保护基本要求(GB/T 22239-2019)
      • 信息安全技术 网络安全等级保护定级指南(GB/T 22240-2020)
      • 信息安全技术 网络安全等级保护安全设计技术要求(GB/T25070-2019)
      • 信息安全技术 网络安全等级保护实施指南(GB/T 25058-2019)
      • 信息安全技术 信息系统安全工程管理要求(GB/T 20282-2006)
      • 信息安全技术 应用软件系统安全等级保护通用技术指南(GA/T 711-2007)
      • 信息安全技术 网络安全等级保护级别要求 第2部分:云计算安全扩展要求(GA/T 1390.2-2017)
      • 信息安全技术 网络安全等级保护级别要求 第3部分:移动互联安全扩展要求(GA/T 1390.3-2017)
      • 信息安全技术 网络安全等级保护级别要求 第5部分:工业控制系统安全扩展要求(GA/T 1390.5-2017)
    2. 产品测评标准
      • 信息技术 安全技术 信息技术安全评估准则(GB/T 18336-2015)
      • 信息安全技术 路由器安全技术要求(GB/T 18018-2019)
      • 信息安全技术 路由器安全评估准则(GB/T 20011-2005)
      • 信息安全技术 服务器安全技术要求(GB/T 21028-2007)
      • 信息安全技术 服务器安全测评要求(GB/T 25063-2010)
      • 信息安全技术 网络交换机安全技术要求(GB/T 21050-2019)
      • 信息安全技术 数据库管理系统安全评估准则(GB/T 20009-2019)
      • 信息安全技术 数据库管理系统安全技术要求(GB/T 20273-2019)
      • 信息安全技术 操作系统安全评估准则(GB/T 20008-2005)
      • 信息安全技术 操作系统安全技术要求(GB/T 20272-2019)
      • 信息安全技术 网络入侵监测系统技术要求和测评评价方法(GB/T20275-2013)
      • 信息安全技术 网络和终端隔离产品测试评价方法(GB/T 20277-2015)
      • 信息安全技术 网络脆弱性扫描产品测试评价方法(GB/T 20280-2006)
      • 信息安全技术 防火墙安全技术要求和测试评价方法(GB/T 20281-2020)
      • 信息安全技术 Web应用防火墙安全技术要求与测试评价方法(GB/T 32917-2016)
      • 信息安全技术 信息系统安全审计产品技术要求和测试评价方法(GB/T 20945-2013)
      • 信息安全技术 网络型入侵防御产品技术要求和测试评价方法(GB/T 28451-2012)
      • 信息安全技术 数据备份与恢复产品技术要求与测试评价方法(GB/T 29765-2013)
      • 信息安全技术 信息系统安全管理平台技术要求和测试评价方法(GB/T 34990-2017)
      • 信息安全技术 移动终端安全保护技术要求(GB/T 35278-2017)
    3. 信息安全风险评估标准
      • 信息安全技术 信息安全风险评估规范(GB/T 20984-2007)
      • 信息安全技术 信息安全风险评估实施指南(GB/T 31509-2015)
      • 信息安全技术 信息安全风险处理实施指南(GB/T 33132-2016)
    4. 密码应用安全
      • 安全芯片密码检测准则(GM/T 0008-2012)
      • 可信计算 可信密码模块符合性检测规范(GM/T 0013-2012)
      • 密码模块安全技术要求(GM/T 0028-2014)
      • 服务器密码机技术规范(GM/T 0030-2014)
      • 基于角色的授权管理与访问控制技术规范(GM/T 0032-2014)
      • 证书认证系统检测规范(GM/T 0037-2014)
      • 密码模块安全检测要求(GM/T 0039-2015)
      • 数字证书互操作检测规范(GM/T 0043-2015)
      • 金融数据密码机检测规范(GM/T 0046-2016)
    5. 工业控制系统信息安全防护能力评估
      • 工业控制系统信息安全防护指南(工信部信软(2016)338号)
      • 工业控制系统信息安全防护能力评估工作管理办法(工信部信软(2017)188号)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值