基于测评目标分类
按照测评的目标,网络安全测评分为三种:
①网络信息系统安全等级测评:采用网络等级保护2.0标准;
②网络信息系统安全验收测评:评价该项目是否满足安全验收要求中的各项安全技术指标和安全考核目标;
③网络信息系统安全风险测评:评估系统面临的威胁及脆弱性导致安全事件的可能性,并提出有针对性的抵御措施。
依据网络信息系统构成要素,网络安全测评可分成两类:
①技术安全测评:包括物理环境、网络通信、操作系统、数据库系统、应用系统、数据及存储系统等相关技术方面的安全性测试和评估。
②管理安全测评:包括管理机构、管理制度、管理流程、人员管理、系统建设、系统运维等方面的安全性评估。
基于实施方式的分类
按照网络安全测评的实施方式,测评包括:
①安全功能测试;
②安全管理测试;
③代码安全审查;
④安全渗透;
⑤信息系统攻击测试。
基于测评对象保密性分类
按照测评对象的保密性性质,网络安全测评可以分为两种:
①涉密信息系统安全测评;
②非涉密信息系统安全测评。
网络安全等级保护测评流程与内容
网络信息系统安全等级测评主要包括:
①技术安全测评:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;
②管理安全测评:安全管理制度、安全管理结构、安全管理人员、安全建设管理、安全运维管理。
网络安全等保2.0标准规范,网络信息系统安全等级测评过程包括:①测评准备活动②方案编制活动③现场测评活动④报告编制活动。
常用漏洞扫描工具
①网络安全漏洞扫描器:通过远程网访问,获取测评对象的安全漏洞信息。网络漏洞扫描工具有Nmap、Nessus、OpenVAS。
②主机安全漏洞扫描器:安装在测评目标主机上,通过运行安全漏洞扫描工具软件,获取目标的安全漏洞信息。典型的主机漏洞扫描工具有微软安全基线分析器(MBSA)、COPS等。
③数据库安全漏洞扫描器:针对目标系统的数据库进行安全漏洞检查,分析数据库帐号、配置、软件版本漏洞信息。典型的数据库漏洞扫描工具有安华金和数据库漏洞扫描系统(商业产品)、THC-Hydra、SQLMap等。
④Web应用安全漏洞扫描器:对Web应用系统存在1安全隐患进行检查。Web应用扫描工具有W3AF、Nikto、AppScan、Acunetix Wvs等。
安全渗透测试
分为三种:
①黑盒测试:授权测试团队从指定的测试点进行测试;
②白盒测试:对系统进行搞级别的安全测试。改方式适合高级持续威胁着模拟;
③灰盒测试:获取部分代码进行测试。该方式适合手机银行和代码安全测试。
安全渗透测试常用的工具有:Metasploit、字典生成器、GDB、Backtrack 4、Burpsuit、OllyDbg、IDAPro等。
