第十八章 网络安全测评技术与标准
网络安全测评概况
- 网络安全测评概念
- 参照一定的标准规范要求,通过一系列的技术和管理方法,获取评估对象的网络安全状况信息,对其给出相应的网络安全情况综合判定
- 网络安全测评发展
- 网络安全测评作用
- 信息技术产品安全质量、信息系统安全运行的重要保障措施
网络安全测评类型
- 基于测评目标分类
- 网络信息系统安全等级测评:测评机构,采用等保2.0标准
- 网络信息系统安全验收测评:用户申请
- 网络信息系统安全风险测评:风险管理角度
- 基于测评内容分类
- 技术安全测评:物理环境、网络通信、操作系统、数据库系统、应用系统、数据及存储系统等
- 管理安全测评:管理机构、管理制度、管理流程、人员管理、系统建设、系统运维等
- 基于实施方式分类
- 安全功能检测:访谈调研、现场查看、文档审查、社会工程、漏洞扫描、渗透测试等
- 安全管理检测:访谈调研、现场查看、文档审查、安全基线对比、社会工程
- 代码安全审查:静态安全扫描
- 安全渗透测试
- 信息系统攻击测试
- 基于测评对象保密性分类
- 涉密信息系统测评
- 非涉密信息系统测评
网络安全测评流程与内容
-
网络安全等级保护测评流程与内容
- 技术安全测评和管理安全测评两部分
-
网络安全渗透测试流程与内容
网络安全测评技术与工具
- 漏洞扫描
- 网络安全漏洞扫描器:Nmap,Nessus
- 主机安全漏洞扫描器:微软安全基线分析器,COPS
- 数据库安全漏洞扫描器:安华金
- Web应用漏洞扫描器:w3af、Nikto、AppScan
- 安全渗透
- 黑盒模型
- 白盒模型
- 灰盒模型
- 代码安全审查
- 协议分析
- TCPDump、Wireshark
- 性能测试
- 性能监测工具(系统自带)、Apache JMeter(开源)、LoadRunner、SmartBits
网络安全测评质量管理与标准
-
网络安全测评质量管理
- 网络安全测评质量管理内容
- 测评机构建立质量管理体系、测评实施人员管理、测评实施设备管理、测评实施方法管理、测评实施文件控制、测评非符合性工作控制、体系运行监督、持续改进
- 网络安全测评质量管理参考标准
- ISO9000
- 网络安全测评相关机构认可管理
- 中国合格评定国家认可委员会(CNAS)
- 网络安全测评质量管理内容
-
网络安全测评标准
- 信息系统安全等级保护测评标准
- 计算机信息系统 安全保护等级划分准则(GB 17859-1999)
- 信息安全技术 网络安全等级保护基本要求(GB/T 22239-2019)
- 信息安全技术 网络安全等级保护定级指南(GB/T 22240-2020)
- 信息安全技术 网络安全等级保护安全设计技术要求(GB/T25070-2019)
- 信息安全技术 网络安全等级保护实施指南(GB/T 25058-2019)
- 信息安全技术 信息系统安全工程管理要求(GB/T 20282-2006)
- 信息安全技术 应用软件系统安全等级保护通用技术指南(GA/T 711-2007)
- 信息安全技术 网络安全等级保护级别要求 第2部分:云计算安全扩展要求(GA/T 1390.2-2017)
- 信息安全技术 网络安全等级保护级别要求 第3部分:移动互联安全扩展要求(GA/T 1390.3-2017)
- 信息安全技术 网络安全等级保护级别要求 第5部分:工业控制系统安全扩展要求(GA/T 1390.5-2017)
- 产品测评标准
- 信息技术 安全技术 信息技术安全评估准则(GB/T 18336-2015)
- 信息安全技术 路由器安全技术要求(GB/T 18018-2019)
- 信息安全技术 路由器安全评估准则(GB/T 20011-2005)
- 信息安全技术 服务器安全技术要求(GB/T 21028-2007)
- 信息安全技术 服务器安全测评要求(GB/T 25063-2010)
- 信息安全技术 网络交换机安全技术要求(GB/T 21050-2019)
- 信息安全技术 数据库管理系统安全评估准则(GB/T 20009-2019)
- 信息安全技术 数据库管理系统安全技术要求(GB/T 20273-2019)
- 信息安全技术 操作系统安全评估准则(GB/T 20008-2005)
- 信息安全技术 操作系统安全技术要求(GB/T 20272-2019)
- 信息安全技术 网络入侵监测系统技术要求和测评评价方法(GB/T20275-2013)
- 信息安全技术 网络和终端隔离产品测试评价方法(GB/T 20277-2015)
- 信息安全技术 网络脆弱性扫描产品测试评价方法(GB/T 20280-2006)
- 信息安全技术 防火墙安全技术要求和测试评价方法(GB/T 20281-2020)
- 信息安全技术 Web应用防火墙安全技术要求与测试评价方法(GB/T 32917-2016)
- 信息安全技术 信息系统安全审计产品技术要求和测试评价方法(GB/T 20945-2013)
- 信息安全技术 网络型入侵防御产品技术要求和测试评价方法(GB/T 28451-2012)
- 信息安全技术 数据备份与恢复产品技术要求与测试评价方法(GB/T 29765-2013)
- 信息安全技术 信息系统安全管理平台技术要求和测试评价方法(GB/T 34990-2017)
- 信息安全技术 移动终端安全保护技术要求(GB/T 35278-2017)
- 信息安全风险评估标准
- 信息安全技术 信息安全风险评估规范(GB/T 20984-2007)
- 信息安全技术 信息安全风险评估实施指南(GB/T 31509-2015)
- 信息安全技术 信息安全风险处理实施指南(GB/T 33132-2016)
- 密码应用安全
- 安全芯片密码检测准则(GM/T 0008-2012)
- 可信计算 可信密码模块符合性检测规范(GM/T 0013-2012)
- 密码模块安全技术要求(GM/T 0028-2014)
- 服务器密码机技术规范(GM/T 0030-2014)
- 基于角色的授权管理与访问控制技术规范(GM/T 0032-2014)
- 证书认证系统检测规范(GM/T 0037-2014)
- 密码模块安全检测要求(GM/T 0039-2015)
- 数字证书互操作检测规范(GM/T 0043-2015)
- 金融数据密码机检测规范(GM/T 0046-2016)
- 工业控制系统信息安全防护能力评估
- 工业控制系统信息安全防护指南(工信部信软(2016)338号)
- 工业控制系统信息安全防护能力评估工作管理办法(工信部信软(2017)188号)
- 信息系统安全等级保护测评标准