网站Logo 记录生活
首页
速查
精选
朋友圈
月报
信息安全工程师
百个渗透靶场
关于

信息安全工程师-第十八章 网络安全测评技术与标准

123456
1
2025-10-03

第十八章 网络安全测评技术与标准

18.1 网络安全测评概况

网络安全测评是指参照一定的标准规范要求,通过一系列的技术和管理方法,获取评估对象的网络安全状况信息,对其给出相应的网络安全情况综合判定。网络安全测评对象通常包括信息系统的组成要素或信息系统自身,如表所示。

image-20250925143455026

18.2 网络安全测评类型

18.2.1基于测评目标分类

基于目标分类:等级测评、验收测评、风险测评

基于实施方式分类:安全功能测评、安全管理测评、代码安全审查、安全渗透测试、信息系统攻击测试

基于测评对象保密性分类:涉M信息系统测评、非涉M信息系统测评

网络信息系统安全等级测评:

·测评机构依据国家网络安全等级保护相关法律法规,按照有关管理规范和技术标准对非涉及国家秘密的网络信息系统的安全等级保护状况进行检测评估。

·对于不符合要求的信息系统,分析和评估其潜在威胁、薄弱环节,综合考虑信息系统的重要性和面临的安全威胁等因素,提出相应的整改建议,并在系统整改后进行复测确认,以确保网络信息系统的安全保护措施符合相应安全等级的基本安全要求。

·目前采用网络安全等级保护2.0标准。

网络信息系统安全验收测评:

·根据用户申请的项目验收目标和验收范围,对项目实施状况进行安全测试和评估,评价该项目是否满足安全验收要求中的各项安全技术指标和安全考核目标。

网络信息系统安全风险测评:

·从风险管理角度,评估系统面临的威胁以及脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对系统造成的影响,提出有针对性的抵御威胁的方法措施,将风险控制在可接受的范围内,达到系统稳定运行的目的,为保证信息系统的安全建设、稳定运行提供技术参考。从技术和管理两方面进行,包括系统调查、资产分析、威胁分析、技术及管理脆弱性分析、安全功能测试、风险分析等,出具风险评估报告,提出安全建议。

18.2.2 基于实施方式分类

安全功能检测

对信息系统的安全功能进行评估,检查满足目标和设计要求。

主要方法:访谈调研、现场查看、文档审查、社会工程、漏洞扫描、渗透测试、形式化分析验证等。

安全管理检测

检查分析管理要素及机制的安全状况,评估安全管理是否满足信息系统的安全管理目标要求。

主要方法:访谈调研、现场查看、文档审查、安全基线对比、社会工程等。

代码安全审查

对定制开发的应用程序源代码进行静态安全扫描和审查,识别可能导致安全问题的编码缺陷和漏洞的过程

安全渗透测试

通过模拟黑客对目标系统进行攻击测试,发现、分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、跨站脚本漏洞及弱口令等安全隐患,评估系统抗攻击能力,提出安全加固建议。

信息系统攻击测试

根据用户提出的各种攻击性测试要求,分析应用系统现有防护设备及技术确定攻击测试方案和测试内容;对应用系统的抗攻击能力进行测试出具测试报告。如拒绝服务攻击、恶意代码攻击等。

18.2.3 基于测评对象保密性分类

涉M信息系统测评

·BMJ负责

·适用标准:分级保护

非涉M信息系统测评

·公安网安负责

·适用标准:等级保护

18.3 网络安全测评流程与内容

网络信息系统安全等级测评主要包括技术安全测评、管理安全测评。

image-20250925145903145

根据等保2.0规范,等级测评过程:测评准备活动、方案编制活动、现场测评活动和报告编制活动。

网络安全渗透测试可分为:委托受理、准备、实施、综合评估和结题五个阶段。

·委托受理阶段:前期沟通,签署保密协议和渗透测试合同,接收被测单位提交的资料。

·准备阶段:编写渗透测试方案,沟通方案,确定渗透测试日期、客户配合人员。项目经理协助被测单位填写“网络信息系统渗透测试用户授权单”,并通知客户做好准备。比如内网测试,客户全程陪同。

·实施阶段:明确项目组测试人员的测试项。测试完成后,整理测试数据,形成“网络信息系统渗透测试报告”

·综合评估阶段:项目组和客户沟通测试结果,向客户发送“网络信息系统渗透测试报告”。必要时,可根据客户需要召开报告评审会,对“网络信息系统渗透测试报告”进行评审。如被测单位希望复测,由被测单位在整改完毕后提交信息系统整改报告,项目组依据“网络信息系统渗透测试整改报告“开展复测工作。复测结束后,项目组依据复测结果,出具“网络信息系统渗透测试复测报告”。

·结题阶段。项目组将测评过程中生成的各类文档、过程记录进行整理归档保存。

image-20250925145941104

18.4 网络安全测评技术与工具

漏洞扫描:常用来获取测评对象的安全漏洞信息,常用的漏洞扫描工具有网络安全漏洞扫描器、主机安全漏洞扫描器、数据库安全漏洞扫描器、Web应用安全漏洞扫描器。

安全渗透测试:通过模拟攻击者对测评对象进行安全攻击,以验证安全防护机制的有效性。根据对测评对象掌握的信息状况,安全渗透测试可以分为三种类型:

黑盒模型:只需要提供测试目标地址,授权测试团队从指定的测试点进行测试。

白盒模型:需要提供尽可能详细的测试对象信息,测试团队根据所获取的信息,制订特殊的渗透方案,对系统进行高级别的安全测试。该方式适合高级持续威胁者模拟。

灰盒模型:需要提供部分测试对象信息,测试团队根据所获取的信息,模拟不同级别的威胁者进行渗透。该方式适合手机银行和代码安全测试。

代码安全审查:是指按照C、Java、OWASP等安全编程规范和业务安全规范,对测评对象的源代码或二进制代码进行安全符合性检查。典型的代码安全缺陷类型有缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数等。

协议分析:用于检测协议的安全性。常见的网络协议分析工具有TCPDump、Wireshark。

性能测试:性能测试用于评估测评对象的性能状况,检查测评对象的承载性能压力或安全对性能的影响。常用的性能测试工具有性能监测工具(操作系统自带)、Apache JMeter(开源)、LoadRunner(商业产品)、Smart bits(商业产品)等。

18.5 网络安全测评质量管理与标准

网络安全测评质量管理:网络安全测评质量管理是测评可信的基础性工作,网络安全测评质量管理工作主要包括测评机构建立质量管理体系、测评实施人员管理、测评实施设备管理、测评实施方法管理、测评实施文件控制、测评非符合性工作控制、体系运行监督、持续改进。目前,有关测评机构的质量管理体系的建立主要参考的国际标准是ISO9000。

中国合格评定国家认可委员会(简称CNAS)负责对认证机构、实验室和检查机构等相关单位的认可工作,对申请认可的机构的质量管理体系技术能力分别进行确认。

动物装饰