菏泽公司做网站,企业网站有哪几个类型,上海人才建交网,专做民宿预定的网站网络安全测评概况 网络安全测评是网络信息系统和IT技术产品的安全质量保障。本节主要阐述网络安全测评的概念#xff0c;给出网络安全测评的发展状况。
18.1.1 网络安全测评概念 网络安全测评是指参照一定的标准规范要求#xff0c;通过一系列的技术和管理方法#xff0c;获…网络安全测评概况 网络安全测评是网络信息系统和IT技术产品的安全质量保障。本节主要阐述网络安全测评的概念给出网络安全测评的发展状况。
18.1.1 网络安全测评概念 网络安全测评是指参照一定的标准规范要求通过一系列的技术和管理方法获取评估对象的网络安全状况信息对其给出相应的网络安全情况综合判定。网络安全测评对象通常包括信息系统的组成要素或信息系统自身。
18.1.2 网络安全测评发展 1999年ISO接受CC作为国际标准ISO/IEC 15408标准并正式颁布发行。CC标准提出了“保护轮廓”概念将评估过程分为“功能”和“保证”两部分是目前最全面的信息安全评估标准。 与此同时网络信息安全管理国际标准化也在进一步推进。1995年英国制定了《信息安全管理要求》后续演变成为国际信息安全管理标准ISO/IEC 27001是国际上具有代表性的信息安全管理体系标准标准涉及的安全管理控制项目主要包括安全策略、安全组织、资产分类与控制、人员安全、物理与环境安全、通信与运作、访问控制、系统开发与维护、事故管理、业务持续运行、符合性。 国内网络信息安全测评标准工作也开始跟进。1999年我国发布了《计算机信息系统安全保护等级划分准则》GB 17859-1999。GB 17859-1999从自主访问控制、强制访问控制、身份鉴别、数据完整性、客体重用、审计、标记、隐蔽通道分析、可信路径和可信恢复等方面将计算机信息系统安全保护能力分为5个等级第一级是用户自主保护级第二级是系统审计保护级第三级是安全标记保护级第四级是结构化保护级第五级是访问验证保护级。计算机信息系统安全保护能力随着安全保护等级增大而逐渐增强其中第五级是最高安全等级。2001年参考国际通用准则CC和国际标准ISO/IEC 15408,我 国分布了《信息技术 安全技术 信息安全性评估准则》GB/T 18336-2001。
18.2 网络安全测评类型
18.2.1 基于测评目标分类 按照测评的目标网络安全测评可分为三种类型网络信息系统安全等级测评、网络信息系统安全验收测评和网络信息系统安全风险测评。 1. 网络信息系统安全等级测评 网络信息系统安全等级测评是测评机构依据国家网络安全等级保护相关法律法规按照有关管理规范和技术标准对非涉及国家秘密的网络信息系统的安全等级保护状况进行检测评估的活动。 2. 网络信息系统安全验收测评 网络信息系统安全验收测评是依据相关政策文件要求遵循公开、公平和公正原则根据用户申请的项目验收目标和验收范围结合项目安全建设方案的实现目标和考核指标对项目实施状况进行安全测试和评估评价该项目是否满足安全验收要求中的各项安全技术指标和安全考核目标为系统整体验收和下一步的安全规划提供参考依据。 3. 网络信息系统安全风险测评 网络信息系统安全风险测评是从风险管理角度评估系统面临的威胁以及脆弱性导致安全事件的可能性并结合安全事件所涉及的资产价值来判断安全事件一旦发生对系统造成的影响提出有针对性的抵御威胁的办法措施将风险控制在可接受的范围内达到系统稳定运行的目的为保证信息系统的安全建设、稳定运行提供技术参考。
18.2.2 基于测评内容分类 依据网络信息系统构成的要素网络安全测评可分成两大类型技术安全测评和管理安全测评。其中技术安全测评主要包括物理环境、网络通信、操作系统、数据库系统、应用系统、数据及存储系统等相关技术方面的安全性测试和评估。管理安全测评主要包括管理机构、管理制度、人员管理、系统建设、系统运维等方面的安全性评估。
18.2.3 基于实施方式分类 按照网络安全测评的实施方式测评主要包括安全功能检测、安全管理检测、代码安全审查、安全渗透、信息系统攻击测试等。 1. 安全功能检测 安全功能检测依据网络信息系统的安全目标和设计要求对信息系统的安全功能实现状况进行评估检查安全功能是否满足目标和设计要求。主要方法有访谈调研、现场查看、文档审查、社会工程、漏洞扫描、渗透测试、形式化分析验证等。 2. 安全管理检测 安全管理检测依据网络信息系统的管理目标检查分析管理要素及机制的安全状况评估安全管理是否满足信息系统的安全管理目标要求。主要方法是访谈调研、现场查看、文档审查、安全基线对比、社会工程等。 3. 代码安全审查 代码安全审查是对定制开发的应用程序源代码进行静态安全扫描和审查识别可能导致安全问题的编码缺陷和漏洞的过程。 4. 安全渗透测试 通过模拟黑客对目标系统进行渗透测试发现、分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、跨站脚本漏洞及弱口令等安全隐患评估系统抗攻击能力提出安全加固建议。 5.信息系统攻击测试 根据用户提出的各种攻击性测试要求分析应用系统现有防护设备及技术确定攻击测试方案和测试内容采用专用的测试设备及测试软件对应用系统的抗攻击能力进行测试出具相应测试报告。测试指标包括防御攻击的种类与能力如拒绝服务攻击、恶意代码攻击等。
18.2.4 基于测评对象保密性分类 按照测评对象的保密性质网络安全测评可分为两种类型涉密信息系统安全测评、非涉密信息系统安全测评。
18.3 网络安全测评流程与内容
18.3.1 网络安全等级保护测评流程与内容 网络信息系统安全等级测评内容主要包括技术安全测评、管理安全测评。其中技术安全测评的主要内容有安全物理环境、安全区域边界、安全计算环境、安全管理中心管理安全测评的主要内容有安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
18.3.2 网络安全渗透测试流程与内容 网络安全渗透测试的过程可分为委托受理、准备、实施、综合评估和结题五个阶段。
18.4 网络安全测评技术与工具
18.4.1 漏洞扫描 漏洞扫描常用来获取测评对象的安全漏洞信息常用的漏洞扫描工具有网络安全漏洞扫描器、主机安全漏洞扫描器、数据库安全漏洞扫描器、Web应用安全漏洞扫描器。其中网络安全漏洞扫描器通过远程网络访问获取测评对象的安全漏洞信息。常见的网络漏洞扫描工具有Nmap、Nessus、OpenVAS。主机安全漏洞扫描器则安装在测评目标的主机上通过运行安全漏洞扫描工具软件获取目标的安全漏洞信息。典型的主机漏洞扫描工具有微软安全基线分析器、COPS等。数据库安全漏洞扫描器针对目标系统的数据库进行安全漏洞检查分析数据库帐号、配置、软件版本等漏洞信息。数据库漏洞扫描工具有安华金和数据库漏洞扫描系统商业、THC-Hydra、SQLMap等。Web应用安全漏洞扫描器对Web应用系统存在的安全隐患进行检查。Web应用漏洞扫描的主要工具有w3af开源、Nikto开源、AppScan商业、Acunetix WVS商业等。
18.4.2 安全渗透测试 安全渗透测试通过模拟攻击者对测评对象进行安全攻击以验证安全防护机制的有效性。根据对测评对象的掌握信息状况安全渗透测试可以分为三种类型。 1. 黑盒模型 只需要提供测试目标地址授权测试团队从指定的测试点进行测试。 2.白盒模型 需要提供尽可能详细的测试对象信息测试团队根据所获取的信息制订特殊的渗透方案对系统进行高级别的的安全测试。该方式适合高级持续威胁者模拟。 3. 灰盒模型 需要提供部分测试对象信息测试团队根据所获取的信息模拟不同级别的威胁者进行渗透。该方式适合手机银行和代码安全测试。 安全渗透测试常用的工具有sploit、字典生成器、GDB、Burpsuit、OllyDbg、IDA Pro等。
18.4.3 代码安全审查 代码安全审查是指按照C、Java、OWASP等安全编程规范和业务安全规范、对测评对象的源代码或二进制代码进行安全符合性检查。 典型的代码安全缺陷类型有缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数等。
18.4.4 协议分析 协议分析用于检测协议的安全性。常见的网络协议分析工具有TCPDump、Wireshark。TCPDump提供命令行方式提供灵活的包过滤规则是一个有力的网络协议分析工具。 TCPDump的表达式一般有三种类型的关键字。 1. 类型关键字 2. 传输方向关键字 3. 协议关键字
18.4.5 性能测试 性能测试用于评估测评对象的性能状况检查测评对象的承载性能压力或安全对性能的影响。常用的性能测试工具有性能监测工具操作系统自带、Apache JMeter开源、LoadRunner商业产品、SmartBits商业产品等。 1. 性能监测工具 性能监测工具主要有Windows操作系统的任务管理器、ping系统命令、tracert系统命令、UNIX/Linux操作系统的ping命令、traceroute系统命令、UnixBench工具。 2. Apache JMeter Apache JMeter是用于测试Web应用性能和功能的工具能够支持Web、FTP、数据库、LDAP等性能测试。 3. LoadRunner LoadRunner是软件测试工具用于评估系统在不同压力下的性能状况提供负载生成、虚拟用户创建、测试控制、测试分析等功能。 4. SmartBits SmartBits是用于网络及设备性能测试和评估分析的测量设备。
18.5 网络安全测评质量管理与标准
18.5.1 网络安全测评质量管理 网络安全测评质量管理是测评可信的基础性工作网络安全测评质量管理工作主要包括测评机构建立质量管理体系、测评实施人员管理、测评实施设备管理、测评实施方法管理、测评实施文件控制、测评实施人员管理、测评实施设备管理、测评实施方法管理、测评实施文件控制、测评非符合性工作控制、体系运行监督、持续改进。目前有关测评机构的质量管理体系的建立主要参考的国际标准是ISO 9000。 中国合格评定国家认可委员会简称CNAS负责对认证机构、实验室和检查机构等相关单位的认可工作对申请认可的机构的质量管理体系和技术能力分别进行确认。
18.5.2 网络安全测评标准 网络安全标准是测评工作开展的依据目前国内信息安全测评标准类型可分为信息系统安全等级保护测评标准、产品测评标准、风险评估标准、密码应用安全、工业控制系统信息安全防护能力评估等。 1. 信息系统安全等级保护测评标准 1计算机信息系统 安全保护等级划分准则GB 17859-1999 本标准规定了计算机信息系统安全保护能力的五个等级即第一级为用户自主保护级、第二级为系统审计保护级、第三级为安全标记保护级、第四级为结构化保护级、第五级为访问验证保护级。 2信息安全技术 网络安全等级保护基本要求GB/T 22239-2019 3信息安全技术 网络安全等级保护定级指南GB/T 22240-2020于2020年11月1日开始实施 4信息安全技术 网络安全等级保护安全设计技术要求GB/T 25070-2019 5信息安全技术 网络安全等级保护实施指南GB/T 25058-2019 6信息安全技术 信息系统安全工程管理要求GB/T 20282-2006 7信息安全技术 应用软件系统安全等级保护通用技术指南GA/T 711-2007 8信息安全技术 网络安全等级保护基本要求 第2部分云计算扩展要求GA/T 1390.2-2017 9信息安全技术 网络安全等级保护基本要求 第3部分移动互联安全扩展要求GA/T 1390.3-2017 10信息安全技术 网络安全等级保护基本要求 第5部分工业控制系统安全扩展要求GA/T 1390.3-2017 2.产品测评标准 信息技术产品灰标准主要涉及服务器、操作系统、数据库、应用系统、网络核心设备、网络安全设备、安全管理平台等。 1信息技术 安全技术 信息技术安全评估准则GB/T 18336-2015 2信息安全技术 路由器安全技术要求GB/T 18018-2019 3信息安全技术 路由器安全评估准则GB/T 20011-2005 4信息安全技术 服务器安全技术要求GB/T 21028-2007 5信息安全技术 服务器安全测评要求GB/T 25063-2010 6信息安全技术 网络交换机安全技术要求GB/T 21050-2019 7信息安全技术 数据库管理系统安全评估准则GB/T 20009-2019 8信息安全技术 数据库系统安全技术要求GB/T 20273-2019 9信息安全技术 操作系统安全评估准则GB/T 20008-2005 10信息安全技术 操作系统安全技术要求GB/T 20272-2019 11信息安全技术 网络入侵检测系统技术要求和测试评价方法GB/T 20275-2013 12信息安全技术 网络和终端隔离产品测试评价方法GB/T 20277-2015 13信息安全技术 网络脆弱性产品测试评价方法GB/T 20280-2006 14信息安全技术 防火墙安全技术要求和测试评价方法GB/T 20281-2020于2020年11月1日开始实施 15信息安全技术 Web应用防火墙安全技术要求与测试评价方法GB/T 32917-2016 16信息安全技术 信息系统安全审计产品技术要求和测试评价方法GB/T 20945-2013 17信息安全技术 网络型入侵防御产品技术要求和测试评价方法GB/T 2845-2012 18信息安全技术 数据备份与恢复产品技术要求与测试评价方法GB/T 29765-2013 19信息安全技术 信息系统安全管理平台技术要求和测试评价方法GB/T 34990-2017 20信息安全技术 移动终端安全保护技术要求GB/T 35278-2017 3. 信息安全风险评估标准 1信息安全技术 信息安全风险评估规范GB/T 20984-2007 2信息安全技术 信息安全风险评估实施指南GB/T 31509-2015 3信息安全技术 信息安全风险处理实施指南(GB/T 33132-2016) 4. 密码应用安全 1安全芯片密码检测准则GM/T 0008-2012 2可信计算可信密码模块符合性检测规范GM/T 0013-2012 3密码模块安全技术要求GM/T 0028-2014 4服务密码机技术规范GM/T 0030-2014 5基于角色的授权管理与访问控制技术规范GM/T 0032-2014 6证书认证系统检测规范GM/T 0037-2014 7密码模块安全检测要求GM/T 0039-2015 8数字证书互操作检测规范GM/T 0043-2015 9金融数据密码机检测规范GM/T 0046-2016 5. 工业控制系统信息安全防护能力评估 1工业控制系统信息安全防护指南工信部信软【2016】338号 2工业控制系统安全防护能力评估工作管理办法工信部信软【2016】338号
