2020软考 信息安全工程师(第二版)学习总结【十四】

第十八章 网络安全测评技术与标准

网络安全测评概况

• 网络安全测评概念
  • 参照一定的标准规范要求，通过一系列的技术和管理方法，获取评估对象的网络安全状况信息，对其给出相应的网络安全情况综合判定
• 网络安全测评发展
  
• 网络安全测评作用
  • 信息技术产品安全质量、信息系统安全运行的重要保障措施

网络安全测评类型

• 基于测评目标分类
  • 网络信息系统安全等级测评：测评机构，采用等保2.0标准
  • 网络信息系统安全验收测评：用户申请
  • 网络信息系统安全风险测评：风险管理角度
• 基于测评内容分类
  • 技术安全测评：物理环境、网络通信、操作系统、数据库系统、应用系统、数据及存储系统等
  • 管理安全测评：管理机构、管理制度、管理流程、人员管理、系统建设、系统运维等
• 基于实施方式分类
  • 安全功能检测：访谈调研、现场查看、文档审查、社会工程、漏洞扫描、渗透测试等
  • 安全管理检测：访谈调研、现场查看、文档审查、安全基线对比、社会工程
  • 代码安全审查：静态安全扫描
  • 安全渗透测试
  • 信息系统攻击测试
• 基于测评对象保密性分类
  • 涉密信息系统测评
  • 非涉密信息系统测评

网络安全测评流程与内容

• 网络安全等级保护测评流程与内容

  • 技术安全测评和管理安全测评两部分

  

• 网络安全渗透测试流程与内容

  

网络安全测评技术与工具

• 漏洞扫描
  • 网络安全漏洞扫描器：Nmap,Nessus
  • 主机安全漏洞扫描器:微软安全基线分析器，COPS
  • 数据库安全漏洞扫描器：安华金
  • Web应用漏洞扫描器：w3af、Nikto、AppScan
• 安全渗透
  • 黑盒模型
  • 白盒模型
  • 灰盒模型
• 代码安全审查
• 协议分析
  • TCPDump、Wireshark
• 性能测试
  • 性能监测工具（系统自带）、Apache JMeter（开源）、LoadRunner、SmartBits

网络安全测评质量管理与标准

• 网络安全测评质量管理

  • 网络安全测评质量管理内容
    • 测评机构建立质量管理体系、测评实施人员管理、测评实施设备管理、测评实施方法管理、测评实施文件控制、测评非符合性工作控制、体系运行监督、持续改进
  • 网络安全测评质量管理参考标准
    • ISO9000
  • 网络安全测评相关机构认可管理
    • 中国合格评定国家认可委员会（CNAS）

• 网络安全测评标准

  1. 信息系统安全等级保护测评标准
     • 计算机信息系统 安全保护等级划分准则（GB 17859-1999）
     • 信息安全技术 网络安全等级保护基本要求（GB/T 22239-2019）
     • 信息安全技术 网络安全等级保护定级指南（GB/T 22240-2020）
     • 信息安全技术 网络安全等级保护安全设计技术要求（GB/T25070-2019）
     • 信息安全技术 网络安全等级保护实施指南（GB/T 25058-2019）
     • 信息安全技术 信息系统安全工程管理要求（GB/T 20282-2006）
     • 信息安全技术 应用软件系统安全等级保护通用技术指南（GA/T 711-2007）
     • 信息安全技术 网络安全等级保护级别要求 第2部分：云计算安全扩展要求（GA/T 1390.2-2017）
     • 信息安全技术 网络安全等级保护级别要求 第3部分：移动互联安全扩展要求（GA/T 1390.3-2017）
     • 信息安全技术 网络安全等级保护级别要求 第5部分：工业控制系统安全扩展要求（GA/T 1390.5-2017）
  2. 产品测评标准
     • 信息技术 安全技术 信息技术安全评估准则（GB/T 18336-2015）
     • 信息安全技术 路由器安全技术要求（GB/T 18018-2019）
     • 信息安全技术 路由器安全评估准则（GB/T 20011-2005）
     • 信息安全技术 服务器安全技术要求（GB/T 21028-2007）
     • 信息安全技术 服务器安全测评要求（GB/T 25063-2010）
     • 信息安全技术 网络交换机安全技术要求（GB/T 21050-2019）
     • 信息安全技术 数据库管理系统安全评估准则（GB/T 20009-2019）
     • 信息安全技术 数据库管理系统安全技术要求（GB/T 20273-2019）
     • 信息安全技术 操作系统安全评估准则（GB/T 20008-2005）
     • 信息安全技术 操作系统安全技术要求（GB/T 20272-2019）
     • 信息安全技术 网络入侵监测系统技术要求和测评评价方法（GB/T20275-2013）
     • 信息安全技术 网络和终端隔离产品测试评价方法（GB/T 20277-2015）
     • 信息安全技术 网络脆弱性扫描产品测试评价方法（GB/T 20280-2006）
     • 信息安全技术 防火墙安全技术要求和测试评价方法（GB/T 20281-2020）
     • 信息安全技术 Web应用防火墙安全技术要求与测试评价方法（GB/T 32917-2016）
     • 信息安全技术 信息系统安全审计产品技术要求和测试评价方法（GB/T 20945-2013）
     • 信息安全技术 网络型入侵防御产品技术要求和测试评价方法（GB/T 28451-2012）
     • 信息安全技术 数据备份与恢复产品技术要求与测试评价方法（GB/T 29765-2013）
     • 信息安全技术 信息系统安全管理平台技术要求和测试评价方法（GB/T 34990-2017）
     • 信息安全技术 移动终端安全保护技术要求（GB/T 35278-2017）
  3. 信息安全风险评估标准
     • 信息安全技术 信息安全风险评估规范（GB/T 20984-2007）
     • 信息安全技术 信息安全风险评估实施指南（GB/T 31509-2015）
     • 信息安全技术 信息安全风险处理实施指南（GB/T 33132-2016）
  4. 密码应用安全
     • 安全芯片密码检测准则（GM/T 0008-2012）
     • 可信计算 可信密码模块符合性检测规范（GM/T 0013-2012）
     • 密码模块安全技术要求（GM/T 0028-2014）
     • 服务器密码机技术规范（GM/T 0030-2014）
     • 基于角色的授权管理与访问控制技术规范（GM/T 0032-2014）
     • 证书认证系统检测规范（GM/T 0037-2014）
     • 密码模块安全检测要求（GM/T 0039-2015）
     • 数字证书互操作检测规范（GM/T 0043-2015）
     • 金融数据密码机检测规范（GM/T 0046-2016）
  5. 工业控制系统信息安全防护能力评估
     • 工业控制系统信息安全防护指南（工信部信软（2016）338号）
     • 工业控制系统信息安全防护能力评估工作管理办法（工信部信软（2017）188号）