基于測(cè)評(píng)目標(biāo)分類

按照測(cè)評(píng)的目標(biāo)，網(wǎng)絡(luò)安全測(cè)評(píng)分為三種：

①網(wǎng)絡(luò)信息系統(tǒng)安全等級(jí)測(cè)評(píng)：采用網(wǎng)絡(luò)等級(jí)保護(hù)2.0標(biāo)準(zhǔn)；

②網(wǎng)絡(luò)信息系統(tǒng)安全驗(yàn)收測(cè)評(píng)：評(píng)價(jià)該項(xiàng)目是否滿足安全驗(yàn)收要求中的各項(xiàng)安全技術(shù)指標(biāo)和安全考核目標(biāo)；

③網(wǎng)絡(luò)信息系統(tǒng)安全風(fēng)險(xiǎn)測(cè)評(píng)：評(píng)估系統(tǒng)面臨的威脅及脆弱性導(dǎo)致安全事件的可能性，并提出有針對(duì)性的抵御措施。

依據(jù)網(wǎng)絡(luò)信息系統(tǒng)構(gòu)成要素，網(wǎng)絡(luò)安全測(cè)評(píng)可分成兩類：

①技術(shù)安全測(cè)評(píng)：包括物理環(huán)境、網(wǎng)絡(luò)通信、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)及存儲(chǔ)系統(tǒng)等相關(guān)技術(shù)方面的安全性測(cè)試和評(píng)估。

②管理安全測(cè)評(píng)：包括管理機(jī)構(gòu)、管理制度、管理流程、人員管理、系統(tǒng)建設(shè)、系統(tǒng)運(yùn)維等方面的安全性評(píng)估。

基于實(shí)施方式的分類

按照網(wǎng)絡(luò)安全測(cè)評(píng)的實(shí)施方式，測(cè)評(píng)包括：

①安全功能測(cè)試；

②安全管理測(cè)試；

③代碼安全審查；

④安全滲透；

⑤信息系統(tǒng)攻擊測(cè)試。

基于測(cè)評(píng)對(duì)象保密性分類

按照測(cè)評(píng)對(duì)象的保密性性質(zhì)，網(wǎng)絡(luò)安全測(cè)評(píng)可以分為兩種：

①涉密信息系統(tǒng)安全測(cè)評(píng)；

②非涉密信息系統(tǒng)安全測(cè)評(píng)。

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)流程與內(nèi)容

網(wǎng)絡(luò)信息系統(tǒng)安全等級(jí)測(cè)評(píng)主要包括：

①技術(shù)安全測(cè)評(píng)：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心；

②管理安全測(cè)評(píng)：安全管理制度、安全管理結(jié)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理。

網(wǎng)絡(luò)安全等保2.0標(biāo)準(zhǔn)規(guī)范，網(wǎng)絡(luò)信息系統(tǒng)安全等級(jí)測(cè)評(píng)過(guò)程包括：①測(cè)評(píng)準(zhǔn)備活動(dòng)②方案編制活動(dòng)③現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)④報(bào)告編制活動(dòng)。

常用漏洞掃描工具

①網(wǎng)絡(luò)安全漏洞掃描器：通過(guò)遠(yuǎn)程網(wǎng)訪問(wèn)，獲取測(cè)評(píng)對(duì)象的安全漏洞信息。網(wǎng)絡(luò)漏洞掃描工具有Nmap、Nessus、OpenVAS。

②主機(jī)安全漏洞掃描器：安裝在測(cè)評(píng)目標(biāo)主機(jī)上，通過(guò)運(yùn)行安全漏洞掃描工具軟件，獲取目標(biāo)的安全漏洞信息。典型的主機(jī)漏洞掃描工具有微軟安全基線分析器（MBSA）、COPS等。

③數(shù)據(jù)庫(kù)安全漏洞掃描器：針對(duì)目標(biāo)系統(tǒng)的數(shù)據(jù)庫(kù)進(jìn)行安全漏洞檢查，分析數(shù)據(jù)庫(kù)帳號(hào)、配置、軟件版本漏洞信息。典型的數(shù)據(jù)庫(kù)漏洞掃描工具有安華金和數(shù)據(jù)庫(kù)漏洞掃描系統(tǒng)（商業(yè)產(chǎn)品）、THC-Hydra、SQLMap等。

④Web應(yīng)用安全漏洞掃描器：對(duì)Web應(yīng)用系統(tǒng)存在1安全隱患進(jìn)行檢查。Web應(yīng)用掃描工具有W3AF、Nikto、AppScan、Acunetix Wvs等。

安全滲透測(cè)試

分為三種：

①黑盒測(cè)試：授權(quán)測(cè)試團(tuán)隊(duì)從指定的測(cè)試點(diǎn)進(jìn)行測(cè)試；

②白盒測(cè)試：對(duì)系統(tǒng)進(jìn)行搞級(jí)別的安全測(cè)試。改方式適合高級(jí)持續(xù)威脅著模擬；

③灰盒測(cè)試：獲取部分代碼進(jìn)行測(cè)試。該方式適合手機(jī)銀行和代碼安全測(cè)試。

安全滲透測(cè)試常用的工具有：Metasploit、字典生成器、GDB、Backtrack 4、Burpsuit、OllyDbg、IDAPro等。

總結(jié)

以上是生活随笔為你收集整理的信息安全工程师笔记-网络安全测评技术与标准的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。