2020年软考信息安全工程师（第二版）第18章+网络安全测评技术与标准

第18章 网络安全测评技术与标准

本章内容包括：第一，给出了网络安全测评的概念和测评内容，分析了网络安全测评的发展状况；笫二，本章系统地阐述了网络安全测评的类型和常见的网络安全测评流程：第三，分析了网络安全测评技术，并列举了常用的网络安全测评工具；第四，本章叙述了网络安全测评质量管理工作的内容，给出了信息系统安全等级保护测评标准、产品测评标准、风险评估标准、密码应用安全、工业控制系统信息安全防护能力评估等测评标准。

18.1 网络安全测评概况

18.1.1 网络安全测评概念

概念：

参照一定的标准规范要求，通过一系列的技术和管理方法，获取评估对象的网络安全状况信息，对其给出相应的网络安全情况综合判定。

网络安全测评对象通常包括信息系统组成要素或者信息系统自身。

测评对象

信息技术产品安全测评

相关产品：操作系统、数据库、交换机、路由器、应用软件

信息安全产品：防火墙、入侵检测、安全审计、VPN、网络隔离、安全操作系统、安全数据库、安全路由器、UTM

类型：信息安全产品分级评估、认定测评、自主原创测评，源代码安全风险评估、选型测试、定制测试

信息系统安全测评

内容：测试、评估、认定

类型：信息系统安全风险评估、信息系统安全等级保护测评、信息系统安全验收评估、信息系统安全渗透测试、信息系统安全保障能力评估等

18.1.2 网络安全测评发展

技术评估标准化

美国国防部—1983年----《可信计算机系统评估准则》（TCSEC）

六方七国（英国、加拿大、法国、德国、荷兰、NIST、NSA）----1996年----《信息技术安全评价通用准则》（CC）----“保护轮廓”----1999年，接收为国际标准ISO/IEC 15408

管理评估标准化

英国----1995年----《信息安全管理要求》----ISO/IEC 27001

项目：安全策略、安全组织、资产分类与控制、人员安全、物理与环境安全、通信与运行、访问控制、系统开发与维护、事故处理、业务持续运行、符合性

国内发展现状

1999年----《计算机信息系统安全等级划分准则》（GB 17859-1999），目前是等级保护2.0

第一级是用户自主保护级

第二级是系统审计保护级

第三级是安全标记保护级

第四级是结构化保护级

第五级是访问验证保护级

2001年-《信息技术 安全技术 信息技术安全性评估准则》（GB/T 18336-2001

2019年----《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）

测评机构：中国信息安全测评中心、国家密码管理局商用密码检测中心、国家保密科技测评中心、公安部信息安全等级保护中心

18.2 网络安全测评类型

18.2.1基于测评目标分类

网络信息系统安全等级测评（依据网络安全等级保护2.0标准，对非涉及国家秘密的网络信息系统的等级保护状况进行检测评估）

网络信息系统安全验收测评（根据验收目标和验收范围，结合实现目标和考核指标，进行安全测试和评估）

网络信息系统安全风险测评（技术+管理，内容：系统调查、资产分析、威胁分析、技术及管理脆弱性分析、安全功能测试、风险分析，出具风险评估报告，提出安全建议）

18.2.2 基于测评内容分类

技术安全测评：物理环境、网络通信、操作系统、数据库系统、应用系统、存储系统

管理安全测评：管理机构、管理制度、管理流程、人员管理、系统建设、系统运维

18.2.3 基于实施方式分类

安全功能检测（访谈调研、现场查看、文档审查、社会工程、漏洞扫描、渗透测试、形式化分析）

安全管理检测（访谈调研、现场查看、文档审查、安全基线对比、社会工程）

代码安全审查（静态安全扫描、审查）

安全渗透测试（验证主机安全漏洞、敏感信息泄露、SQL注入漏洞、跨站脚本漏洞、弱口令漏洞）

信息系统攻击测试（指标：防御攻击的种类与能力）

18.2.4 基于测评对象保密性分类

涉密信息系统测评

非涉密信息系统测评

18.3 网络安全测评流程与内容

18.3.1 网络安全等级保护测评流程与内容

基本要求

技术要求

安全物理环境

安全通信网络

安全区域边界

安全计算环境

安全管理中心

管理要求

安全管理制度

安全管理机构

安全管理人员

安全建设管理

安全运维管理

过程

测评准备活动

方案编制活动

现场测评活动

报告编制

18.3.2 网络安全渗透测试流程与内容

委托受理阶段。（签署：“保密协议”、“网络信息系统渗透测试合同”）

准备阶段。（确定日期、人员、范围、方案；签署“网络信息系统渗透测试用户授权单”）

实施阶段。（实施，整理数据，形成“网络信息系统渗透测试报告”）

综合评估阶段。（“网络信息系统渗透测试报告”，召开评审会，可能复测）

结题阶段。（归档）

18.4 网络安全测评技术与工具

18.4.1漏洞扫描

常用来获取评估对象的安全漏洞信息

网络安全漏洞扫描器

主机安全漏洞扫描器

数据安全漏洞扫描器

web应用安全漏洞扫描器

18.4.2 安全渗透测试

黑盒模型（只需要提供测试目标地址，授权团队从测试点进行测试）

白盒模型（提供尽可能详细的目标对象信息，制定方案，进行高级别渗透）

灰盒模型（提供部分测试对象信息，根据获取的信息，模拟不同级别的威胁者进行渗透，适用于手机银行和代码安全测试）

18.4.3 代码安全审查

代码安全缺陷：缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数

规范：CERT C/C++/Java 安全编码标准、ISO/IEC TR 24772、CWE、OWASP TOP 10

18.4.4 协议分析

TCPDump 过滤器关键字：

类型关键字（host、net、port）

传输方向关键字（src、dst、dst or src、dst and src）

协议关键字（FDDI、IP、ARP、RARP、TCP、UDP）

与、或、非

18.4.5 性能测试

性能监测工具（任务管理器、ping、traceroute、UnixBench）

Apache JMeter

LoadRunner

SmartBits

18.5 网络安全测评质量管理与标准

18.5.1 网络安全测评质量管理

网络安全测评质量管理是测评可信的基础性工作，网络安全测评质量管理工作主要包括测评机构建立质量管理体系、测评实施人员管理、测评实施设备管理、测评实施方法管理、测评实施文件控制、测评非符合性工作控制、体系运行监督、持续改进。目前，有关测1机构的质量管理体系的建立主要参考的国际标准是IS0 9000

中国合格评定国家认可委员会(简称CNAS)负责对认证机构、实验室和检查机构等9关单位的认可工作，对申请认可的机构的质量管理体系和技术能力分别进行确认。

18.5.2 网络安全测评标准

网络安全标准是测评工作开展的依据

信息系统安全等级保护测评标准

产品测评标准

信息安全风险评估

密码应用安全

工业控制系统信息安全防护能力评估

18.6 本章小结