0%

第18章 网络安全测评技术与标准

网络安全测评概况

测评对象包括:信息系统的组成要素或信息系统自身

网络安全测评类型

基于测评目标分类

按照测评目标,分为三种类型:

  1. 网络信息系统安全等级测评

    依据国家网络安全等级保护相关法律法规,主要检测和评估安全技术、安全管理

  2. 网络信息系统安全验收测评

    根据用户申请的项目验收目标和验收范围

  3. 网络信息系统安全风险测评

    内容包括系统调查、资产分析、威胁分析、技术及管理脆弱性分析、安全功能测试、风险分析

基于测评内容分类

技术安全测评:物理环境、网络通信、操作系统、数据库系统、应用系统、数据及存储系统等

管理安全测评:管理机构、管理制度、管理流程、人员管理、系统建设、系统运维等

基于实施方式分类

  1. 安全功能检测

    主要方法:访谈调研、现场查看、文档审查、社会工程、漏洞扫描、渗透测试、形式化分析验证

  2. 安全管理检测

    主要方法:访谈调研、现场查看、文档审查、安全基线对比、社会工程

  3. 代码安全审查

  4. 安全渗透测试

  5. 信息系统攻击测试

    测试指标:防御攻击等种类与能力

基于测评对象保密性分类

  1. 涉密信息系统测评
  2. 非涉密信息系统测评

网络安全测评流程与内容

网络安全等级保护测评流程与内容

过程:测评准备活动、方案编制活动、现场测评活动、报告编制活动

网络安全渗透测试流程与内容

  1. 委托受理阶段

    确认目标、签署合同和保密协议

  2. 准备阶段

    签订授权书,制定方案

  3. 实施阶段

    执行测试,完成后整理报告

  4. 综合评估阶段

    汇总分析,报告评审。复测并出具报告。

  5. 结题阶段

    提交生成的各类文档记录

网络安全测评技术与工具

漏洞扫描

常用漏洞扫描工具:网络安全漏洞扫描器、主机安全漏洞扫描器、数据库安全漏洞扫描器、Web应用安全漏洞扫描器。

安全渗透测试

三种类型:

  1. 黑盒模型
  2. 白盒模型
  3. 灰盒模型

代码安全审查

代码安全缺陷类型:缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数等。

协议分析

TCPDump使用详见P386-P389

性能测试

常用工具:新年监测工具(系统自带)、Apache JMeter(开源)、LoadRunner、SmartBits

网络安全测评质量管理与标准

网络安全测评质量管理

工作包括:测评机构建立质量管理体系、测评实施人员管理、测评实施设备管理、测评实施方法管理、测评实施文件控制、测评非符合性工作控制、体系运行监督、持续改进。

网络安全测评标准

  1. 信息系统安全等级保护测评标准
    • 计算机信息系统 安全保护等级划分准则(GB 17859-1999)
    • 信息安全技术 网络安全等级保护基本要求(GB/T 22239-2019)
    • 信息安全技术 网络安全等级保护定级指南(GB/T 22240-2020)
    • 信息安全技术 网络安全等级保护安全设计技术要求(GB/T25070-2019)
    • 信息安全技术 网络安全等级保护实施指南(GB/T 25058-2019)
    • 信息安全技术 信息系统安全工程管理要求(GB/T 20282-2006)
    • 信息安全技术 应用软件系统安全等级保护通用技术指南(GA/T 711-2007)
    • 信息安全技术 网络安全等级保护级别要求 第2部分:云计算安全扩展要求(GA/T 1390.2-2017)
    • 信息安全技术 网络安全等级保护级别要求 第3部分:移动互联安全扩展要求(GA/T 1390.3-2017)
    • 信息安全技术 网络安全等级保护级别要求 第5部分:工业控制系统安全扩展要求(GA/T 1390.5-2017)
  2. 产品测评标准
    • 信息技术 安全技术 信息技术安全评估准则(GB/T 18336-2015)
    • 信息安全技术 路由器安全技术要求(GB/T 18018-2019)
    • 信息安全技术 路由器安全评估准则(GB/T 20011-2005)
    • 信息安全技术 服务器安全技术要求(GB/T 21028-2007)
    • 信息安全技术 服务器安全测评要求(GB/T 25063-2010)
    • 信息安全技术 网络交换机安全技术要求(GB/T 21050-2019)
    • 信息安全技术 数据库管理系统安全评估准则(GB/T 20009-2019)
    • 信息安全技术 数据库管理系统安全技术要求(GB/T 20273-2019)
    • 信息安全技术 操作系统安全评估准则(GB/T 20008-2005)
    • 信息安全技术 操作系统安全技术要求(GB/T 20272-2019)
    • 信息安全技术 网络入侵监测系统技术要求和测评评价方法(GB/T20275-2013)
    • 信息安全技术 网络和终端隔离产品测试评价方法(GB/T 20277-2015)
    • 信息安全技术 网络脆弱性扫描产品测试评价方法(GB/T 20280-2006)
    • 信息安全技术 防火墙安全技术要求和测试评价方法(GB/T 20281-2020)
    • 信息安全技术 Web应用防火墙安全技术要求与测试评价方法(GB/T 32917-2016)
    • 信息安全技术 信息系统安全审计产品技术要求和测试评价方法(GB/T 20945-2013)
    • 信息安全技术 网络型入侵防御产品技术要求和测试评价方法(GB/T 28451-2012)
    • 信息安全技术 数据备份与恢复产品技术要求与测试评价方法(GB/T 29765-2013)
    • 信息安全技术 信息系统安全管理平台技术要求和测试评价方法(GB/T 34990-2017)
    • 信息安全技术 移动终端安全保护技术要求(GB/T 35278-2017)
  3. 信息安全风险评估标准
    • 信息安全技术 信息安全风险评估规范(GB/T 20984-2007)
    • 信息安全技术 信息安全风险评估实施指南(GB/T 31509-2015)
    • 信息安全技术 信息安全风险处理实施指南(GB/T 33132-2016)
  4. 密码应用安全
    • 安全芯片密码检测准则(GM/T 0008-2012)
    • 可信计算 可信密码模块符合性检测规范(GM/T 0013-2012)
    • 密码模块安全技术要求(GM/T 0028-2014)
    • 服务器密码机技术规范(GM/T 0030-2014)
    • 基于角色的授权管理与访问控制技术规范(GM/T 0032-2014)
    • 证书认证系统检测规范(GM/T 0037-2014)
    • 密码模块安全检测要求(GM/T 0039-2015)
    • 数字证书互操作检测规范(GM/T 0043-2015)
    • 金融数据密码机检测规范(GM/T 0046-2016)
  5. 工业控制系统信息安全防护能力评估
    • 工业控制系统信息安全防护指南(工信部信软(2016)338号)
    • 工业控制系统信息安全防护能力评估工作管理办法(工信部信软(2017)188号)
-------本文结束  感谢您的阅读-------