526互联

【第18章】网络安全测评技术与标准

发布时间 2023-11-18 15:15:57作者: Bear-Run

18.1 网络安全测评概况
18.1.1 网络安全测评概念
网络安全测评是指参照一定的标准规范要求,通过一系列的技术和管理方法,获取评估对象的网络安全状况信息,对其给出相应的网络安全情况综合判定。

18.1.2 网络安全测评发展
1999 年,我国发布了《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
计算机信息系统安全保护能力划分为 5 个等级:
第一级是用户自主保护级;
第二级是系统审计保护级;
第三级是安全标记保护级;
第四级是结构化保护级;
第五级是访问验证保护级。


--------------------


18.2 网络安全测评类型
18.2.1 基于测评目标分类

按照测评的目标,网络安全测评可分为三种类型:网络信息系统安全等级测评、网络信息系统安全验收测评和网络信息系统安全风险测评。

18.2.2 基于测评内容分类
依据网络信息系统构成的要素,网络安全测评可分成两大类型:技术安全测评和管理安全测评。

技术安全测评主要包括:物理环境、网络通信、操作系统、数据库系统、应用系统、数据及存储系统等相关技术方面的安全性测试和评估。

管理安全测评主要包括:管理机构、管理制度、管理流程、人员管理、系统建设、系统运维等方面的安全性评估。

18.2.3 基于实施方式分类
1. 安全功能检测
2. 安全管理检测
3. 代码安全审查
4. 安全渗透测试
5. 信息系统攻击测试

18.2.4 基于测评对象保密性分类
1. 涉密信息系统测评
2. 非涉密信息系统测评


--------------------


18.3 网络安全测评流程与内容
18.3.1 网络安全等级保护测评流程与内容
18.3.2 网络安全渗透测试流程与内容
1. 委托受理阶段
2. 准备阶段
3. 实施阶段
4. 综合评估阶段
5. 结题阶段


--------------------


18.4 网络安全测评技术与工具
18.4.1 漏洞扫描
漏洞扫描常用来获取测评对象的安全漏洞信息,常用的漏洞扫描工具有网络安全漏洞扫描器、主机安全漏洞扫描器、数据库安全漏洞扫描器、Web 应用安全漏洞扫描器。

18.4.2 安全渗透测试
安全渗透测试可以分为三种类型。
1. 黑盒模型
只需要提供测试目标地址,授权测试团队从指定的测试点进行测试。
2. 白盒模型
需要提供尽可能详细的测试对象信息,测试团队根据所获取的信息,制订特殊的渗透方案,对系统进行高级别的安全测试。该方式适合高级持续威胁者模拟。
3. 灰盒模型
需要提供部分测试对象信息,测试团队根据所获取的信息,模拟不同级别的威胁者进行渗透。该方式适合手机银行和代码安全测试。

18.4.3 代码安全审查

典型的代码安全缺陷类型有缓冲区溢出、代码注入、跨站脚本、输入验证、API 误用、密码管理、配置错误、危险函数等。

18.4.4 协议分析
协议分析用于检测协议的安全性。常见的网络协议分析工具有TCPDump 、Wireshark 。

18.4.5 性能测试

性能测试用于评估测评对象的性能状况,检查测评对象的承载性能压力或安全对性能的影响。常用的性能测试工具有性能监测工具(操作系统自带)、 Apache JMeter (开源)、 LoadRunner(商业产品)、SmartBits (商业产品)等。


--------------------


18.5 网络安全测评质量管理与标准

18.5.1 网络安全测评质量管理
网络安全测评质量管理是测评可信的基础性工作,网络安全测评质撬管理工作主要包括测评机构建立质量管理体系、测评实施人员管理、测评实施设备管理、测评实施方法管理、测评实施文件控制、测评非符合性工作控制、体系运行监督、持续改进。目前,有关测评机构的质晕管理体系的建立主要参考的国际标准是 ISO 9000 。

中国合格评定国家认可委员会(简称 CNAS) 负责对认证机构、实验室和检查机构等相关单位的认可工作,对申请认可的机构的质噩管理体系和技术能力分别进行确~。

18.5.2 网络安全测评标准

1. 信息系统安全等级保护测评标准
l) 计算机信息系统安全保护等级划分准则(GB 17859一 1999)
本标准规定了计算机信息系统安全保护能力的五个等级,即第一级为用户自主保护级,第二级为系统审计保护级,第三级为安全标记保护级,第四级为结构化保护级,第五级为访问验证保护级。本标准适用于计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
2) 信息安全技术网络安全等级保护基本要求(GB/T 22239—2019)
3) 信息安全技术网络安全等级保护定级指南(GB/T 22240—2020) (于2020 年11 月1日开始实施)
4) 信息安全技术网络安全等级保护安全设计技术要求(GB/T 25070—2019)
5) 信息安全技术网络安全等级保护实施指南(GB/T 25058—2019)
6) 信息安全技术信息系统安全工程管理要求(GB/T 20282—2006)
...