2017网站备案抽查,佛山网站建设首页排名,人人秀h5页面制作软件,赣州那里有做网站的公司目录 网络安全测评概况网络安全测评类型—基于测评目标分类网络安全测评类型—基于实施方式分类网络安全测评类型—基于测评对象保密性分类网络安全等级保护测评内容网络安全测评流程与内容 网络安全测评概况
网络安全测评#xff0c;它是指参照一定的标准规范要求#xff0… 目录 网络安全测评概况网络安全测评类型—基于测评目标分类网络安全测评类型—基于实施方式分类网络安全测评类型—基于测评对象保密性分类网络安全等级保护测评内容网络安全测评流程与内容 网络安全测评概况
网络安全测评它是指参照一定的标准规范要求等保二点零要求等保二点零里面有对技术和管理的要求。通过这些要求我们从技术和管理两个层面来获取我们被评估对象网络安全的状况最后给出一个综合评判你现在是安全还是不安全。安全评测跟我们前面讲的风险评估虽然是在不同的阶段但是它们的本质其实是差不多的。如果按照等保流程来讲我们首先做风险评估看有哪些问题有问题的话我们及时修补修补完之后到后期比如说你要过等保那就要做测评找专业的评测公司来给你做测评到底你三级等保满不满足要求满足要求整好就过如果不满足要求就要整改它的整个过程跟风险评估在技术层面说实话真的是一模一样。你把它放到等保项目流程里面风险评估在前面评估完我们再整改整改完之后再做评测所以从流程来讲它的确是两个东西但是在技术层面其实是差不太多的
安全评测评测两方面第一方面是信息系统组成要素就是产品设备一个清洗系统肯定底层有服务器交换机防火墙数据库等等这就是它的组成要素。第二个就是信息系统本身就是软件平台
测评对象两个方面第一个是产品操作系统、数据库、交换机、路由器等等偏设备层面我们测评常见的类型包含信息安全产品分级评估锐捷防火墙它是满足三级的安全要求对产品有一个证书评测由中国信息安全认证中心出还有信息安全产品的认定评测你是不是一个信息安全产品。信息技术产品自主原创测评还有源代码安全风险评估选型测试、定制测试等等出一系列的测试报告包括功能测试像安全产品功能测试有些时候会有一些测试报告我们在项目投标的过程当中会用到包括我们做一些项目控标提供测试报告提供就得两分不提供不得分。这是针对产品的一个评测有证书或者有相应的测试报告
第二个是针对信息系统的安全评测是对系统的安全性进行测试评估认定。根据我们测评依据测评内容主要包括信息系统信息系统就是一个软件对我们软件进行安全风险评估安全等级评测、验收评测、渗透测试还有信息系统安全保障能力评估包含很多方面我们评测的对象要么是产品要么是信息系统产品的话就是底层的支撑组成要素这就是评测的内容
网络安全测评类型—基于测评目标分类
等级测评验收测评测过了验收通过测不过继续测评
基于实施方式分类安全功能测评安全管理测评代码安全审计安全渗透测试信息系统攻击测试。功能测试顾名思义安全管理测评对管理层面的管理制度进行测试。代码安全审查这是偏向于软件的渗透测试就是模拟黑客进行攻击通过渗透测试进行的测试。信息系统攻击测试我们可以对信息系统进行比如说拒绝服务攻击包括分布式拒绝服务攻击比如说窃取密码等等通过各种方式来验证我们系统的安全性
基于测评对象保密性分类可以分成涉密的和非涉密的。首先基于测评目标的分类等保测评、验收测评、风险测评。等保评测是专业的评测机构要取得等保测评的证书才能做测评。
专业的机构根据国家的法律法规主要分两个层面管理和技术对涉及国家秘密的相关系统进行检查评估用分级保护。
等保评测是对非涉及国家秘密的网络信息系统的安全等级保护状况进行检查评估。关键点等保就是只能干非涉密系统他干不了涉密系统。对于不符合要求的信息系统我们要分析评估潜在的威胁提出整改建议并且在系统整改后要进行复测。
目前我们国家做等保评测最新的标准是等级保护二点零的标准。等保目前就只有二点零就第二代。等保五个级别我们常做的就三级等保。无论是等保一点零的标准还是二点零的标准都是信息系统的安全标准都是分成五级的我们常做的就是三级。
三级等保每年要复测一次二级等保是每两年测一次四级等保是每半年就要复测一次。等保评测结合网络安全法的要求我们的日志要保存六个月。
验收测试根据验收目标验收范围包括招标的一些要求来进行相应的考核验收
网络安全风险评测风险评测主要是评估我们系统面临的威胁和脆弱性。基于不同目标的分类最核心的就是等保评测它的目标就是要过等保如果测一次没过整改之后接着测第二次第二次不过接着整改测第三次测过为止。第一个基于评测目标分类第二个基于实施方式分类。
网络安全测评类型—基于实施方式分类
安全功能检测对信息系统的安全功能进行评估检查它是否满足目标和设计的要求主要的方法访谈调研现场查看文档审查、社会工程然后漏洞扫描深度测试形式化的分析验证。
检查漏洞做安全功能检查通过漏洞扫描模拟黑客进行测试这是实际项目的做法。
安全管理检测检查分析管理要素机制的安全状况评估安全的管理是否满足目标要求从管理层面要有安全管理制度安全管理机构、安全管理人员这都是等保二点零里边的要求。
有专门负责安全运维的组织机构要有人员还要有制度这些都是偏向于管理的。管理的要素是机构、人员、制度这是落地的说法。
代码安全审查对源代码进行静态的扫描审查识别可能的一些漏洞检查代码一般是程序员干的事情一般网络安全工程师能做代码审查的不多。
安全渗透测试通过模拟黑客对目标系统进行攻击如果攻击成功那就证明它有相应的漏洞我们根据漏洞的利用来做最后的整改。
信息系统攻击测试根据用户提出各种攻击测试要求比如说搞一个注入测试DOS测试通过这些攻击来分析应用系统现有的安全防护技术确定攻击测试方案测试内容对应用系统的抗攻击能力最后给出相应的测试报告。
信息系统的攻击测试跟渗透测试有差别。模拟黑客叫渗透测试根据用户的要求来进行的测试叫攻击测试。攻击测试是有具体的倾向性你要求我测什么我就测什么。渗透测试没啥要求就是你给我攻击能把它搞定就行了。渗透测试相当于是一个黑盒测试而我们的攻击测试偏向于白盒客户给了你一些要求包括他还会给你一些内部信息。
网络安全测评类型—基于测评对象保密性分类
针对涉密信息系统的测评主要是保密局在负责应用的是保密标准它里面做了一个标准叫分级保护对应着我们非涉密的等级保护。
分级保护和等级保护等级保护是非涉密场景主要是由公安的网安在负责根据最新等保的标准根据等保二点零的规范来进行测评
涉密系统保密局负责的根据保密标准。
网络安全等级保护测评内容
测评内容主要是我们如果是做等级评测主要是做技术和管理两方面的评测技术测评根据最新的等保二点零的要求评测一个中心三重防护加一个安全的物理环境一个中心是安全管理中心三重防护分别指的是安全通信网络安全边界安全计算环境。
管理层面最新的二点零标准这个要求是安全管理制度安全管理机构安全管理人员安全建设管理安全运维管理这五块。
网络安全测评流程与内容
它是以等保二点零为规范去讲的。等级测评的过程包含四个步骤测评活动的准备、方案编制现场测评和报告编制这四个过程。
网络安全渗透测试可以分成五个阶段渗透测试包含委托受理准备、实施、综合评估、结题五个阶段。
第一步委托受理阶段我们跟客户进行前期的沟通签订保密协议和渗透测试的合同。因为你要对它进行攻击所以合同保密协议这些是不可少的然后接收被测单位提交的一些资料比如说对方把网络拓扑、IP地址等等一系列的网络基础的情况提供给你
准备阶段编写渗透测试方案我们要跟客户沟通方案可能有些要修改确定时间客户需要配合的人员
举个例子我到客户那边去测dbs叫数据库审计系统这是一个旁挂设备比如客户的核心交换机下面连了很多接入交换机下面有很多电脑、服务器等等。然后我们把数据库审计给它挂到核心交换机旁边然后在核心交换机上把流量镜像过来。让数据库审计系统去做分析只需要把设备接到核心交换机上然后做一个流量镜像。客户那边觉得这玩意很简单但是最后没测成原因很简单因为要在核心交换机上去做流量镜像。首先要登录核心交换机要去做镜像的配置但是发现他们单位没有谁知道核心交换机的密码。我们不可能给他把核心交换机给重置一下万一影响现网的业务
在线网当中遇到什么不知道用户名密码遇到这个机房里面的线乱的跟鸡窝不知道往哪插。或者是我还遇到过整个楼层做连接有一个箱子有一个锁我们要进去配设备钥匙也是找不到。这种问题工作久了之后会遇到很多的这种问题是比较耗费时间的
真正干活把什么都准备好了干活很快几分钟可能就干完了但是会遇到这种前期准备的事情所以我们要干活你就要提前准备好要客户怎么配合你要他出人还是要他出相应的一些设备的用户名密码你这些要给我出来这些要提前准备这样才能够事半功倍不然就是浪费一两天后面也干不了
设备没密码厂商的人不可能给客户做密码重置密码恢复如果客户下面挂着三万人根本就不敢去恢复万一出问题了谁借你的胆反正我是不敢干这个事情的。
我们只能给客户提供相应的建议如果你要搞的话你自己去操作出了问题之后这个锅甩过来砸的你可不行
项目经理要协助被测单位填写网络信息系统渗透测试用户授权单。你要授权我来做这个事儿而且授权单里边一般都还会提示风险。提示风险就是你搞一些网络攻击特别是你搞渗透测试你是要攻击人家的有可能会全网断网一般这个授权单或者相应的一些保密协议里面都会有说明的这个事情出现的概率可能是1‰但是有这种概率要通知客户要做好准备所以我们测试时间一般还是要选择一个比如说像晚上凌晨去测不能在业务高峰期去搞渗透测试有点危险并通知客户做好相应的一些准备比如做内网测试要客户全程陪同万一出点啥问题及时协调去解决。
准备好了之后就开始干活了实施阶段明确项目组测试人员的测试项有可能是一个人中小型项目一个人就行了有可能是有好几个人好几个人的话不同人的分工你这个要确定清楚测试完成之后我们要整理测试的一些数据测试过程中包括一些截图然后扫描的一些结果要形成官方的正式文档输出来这个文档叫网络信息系统渗透测试报告这个报告很重要
实施完之后我们就进入综合评估阶段。评估阶段就是评估你的安全状况。向客户发送渗透测试报告然后必要时开一个评审会我们做一个PPT来给大家去讲一下你现在网络当中有什么问题针对这些问题应该怎么去解决然后客户就根据我们的整改建议去进行相应的整改整改完成之后如果客户希望还来一次复测由被测单位在整改完毕之后提交整改报告并根据网络项目组根据网络信息渗透整改报告开展复测工作。就是你整改的具体有没有整改到位再给你复测一次最后输出复测的报告这是综合评估的阶段
第五阶段结题阶段我们把过程的一些文档包括一些总结的文档提交给客户这是渗透测试的五个步骤
