1. 安全测评的类型
- 基于目标分类:等级测评、验收测评、风险测评
-
- 网络信息系统安全等级测评
-
-
- 测评机构依据国家网络安全等级保护相关法律法规,按照有关管理规范和技术标准,对非涉及国家秘密的信息系统进行检测评估
- 对不符合要求的系统提出相对于的整改意见,并在系统整改后进行复测确认,以确保符合等级基本安全要求
- 目前采用的是等保2.0标准
-
- 基于实施方式分类
-
- 安全功能检测:对象信息的安全功能进行评估,检查满足目标和设计要求
-
-
- 主要方法:访谈调研、现场查看、文档审查、社会工程、漏洞扫描、渗透测试、形式化分析
-
-
- 安全管理检测:检查分析管理要素及机制安全状况,评估安全管理是否满足安全管理目标
-
-
- 主要方法:访谈调研、现场查看、文档审查、安全基线对比、社会工程等
-
-
- 代码安全审查:定制对源代码进行静态安全扫描和审查,识别可能导致安全问题的编码缺陷和漏洞过程
- 安全渗透测试:通过模拟黑客对目标系统进行攻击测试、发现、分析并验证其存在的一系列问题
- 信息系统攻击:根据用户提出的各种攻击性能测试要求,分析应该系统现有防护设备及技术确认攻击测试方案和测试内容
- 基于测评对象保密性分类:涉M信息系统测评,非涉M信息系统测评
2. 网络安全测评流程与内容
- 等保2.0等级测评过程:测评准备活动、方案准备活动、方案编制活动、现场测评活动和报告编制活动
- 渗透测试过程:委托受理、准备、实施、综合评估和结题
-
- 委托受理阶段:前期沟通、签署保密协议和渗透测试合同。接收被测单位提交的资料
- 准备阶段:编写渗透方案、沟通方案、确定渗透日期、客户配合人员、
- 实施阶段:明确项目组人员和测试项,完成测试后,整理数据并形成测试报告
- 综合评估阶段:沟通测试结果,并向客户发送测试报告,如果有复测,将根据整改后进行复测并给出复测报告
- 结题阶段:将测评过程生成各类文档,过程记录进行整理归档保存
3. 网络安全测评技术与工具
- 漏洞扫描:用来获取测评对象的安全漏洞信息,常用的有网络安全漏洞扫描器、主机安全漏洞扫描器、数据库安全漏洞扫描器、web应用安全扫描器
- 安全渗透测试:模拟攻击者对测评对象进行安全攻击,以验证安全防护机制的有效性
-
- 黑盒模型:只需要提供测试目标地址,授权测试团队从指定的测试点进行测试
- 白盒模型:需要提供详细的对象信息,测试根据获取信息,模拟不同级别者进行渗透,对系统进行高级别的安全测试,该方式适合高级持续威胁者模拟
- 灰盒模型:需要提供部分测试对象信息,测试团队根据信息模拟不同级别的威胁者进行渗透,该方式适合手机银行和代码安全测试
- 代码安全审查:是指按照C、java、owasp等安全编程规范和业务安全规范,对测评评码进行安全符合性检查
扫一扫
612
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
