基于測評目標分類

按照測評的目標，網絡安全測評分為三種：

①網絡信息系統安全等級測評：采用網絡等級保護2.0標準；

②網絡信息系統安全驗收測評：評價該項目是否滿足安全驗收要求中的各項安全技術指標和安全考核目標；

③網絡信息系統安全風險測評：評估系統面臨的威脅及脆弱性導致安全事件的可能性，并提出有針對性的抵御措施。

依據網絡信息系統構成要素，網絡安全測評可分成兩類：

①技術安全測評：包括物理環境、網絡通信、操作系統、數據庫系統、應用系統、數據及存儲系統等相關技術方面的安全性測試和評估。

②管理安全測評：包括管理機構、管理制度、管理流程、人員管理、系統建設、系統運維等方面的安全性評估。

基于實施方式的分類

按照網絡安全測評的實施方式，測評包括：

①安全功能測試；

②安全管理測試；

③代碼安全審查；

④安全滲透；

⑤信息系統攻擊測試。

基于測評對象保密性分類

按照測評對象的保密性性質，網絡安全測評可以分為兩種：

①涉密信息系統安全測評；

②非涉密信息系統安全測評。

網絡安全等級保護測評流程與內容

網絡信息系統安全等級測評主要包括：

①技術安全測評：安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心；

②管理安全測評：安全管理制度、安全管理結構、安全管理人員、安全建設管理、安全運維管理。

網絡安全等保2.0標準規范，網絡信息系統安全等級測評過程包括：①測評準備活動②方案編制活動③現場測評活動④報告編制活動。

常用漏洞掃描工具

①網絡安全漏洞掃描器：通過遠程網訪問，獲取測評對象的安全漏洞信息。網絡漏洞掃描工具有Nmap、Nessus、OpenVAS。

②主機安全漏洞掃描器：安裝在測評目標主機上，通過運行安全漏洞掃描工具軟件，獲取目標的安全漏洞信息。典型的主機漏洞掃描工具有微軟安全基線分析器（MBSA）、COPS等。

③數據庫安全漏洞掃描器：針對目標系統的數據庫進行安全漏洞檢查，分析數據庫帳號、配置、軟件版本漏洞信息。典型的數據庫漏洞掃描工具有安華金和數據庫漏洞掃描系統（商業產品）、THC-Hydra、SQLMap等。

④Web應用安全漏洞掃描器：對Web應用系統存在1安全隱患進行檢查。Web應用掃描工具有W3AF、Nikto、AppScan、Acunetix Wvs等。

安全滲透測試

分為三種：

①黑盒測試：授權測試團隊從指定的測試點進行測試；

②白盒測試：對系統進行搞級別的安全測試。改方式適合高級持續威脅著模擬；

③灰盒測試：獲取部分代碼進行測試。該方式適合手機銀行和代碼安全測試。

安全滲透測試常用的工具有：Metasploit、字典生成器、GDB、Backtrack 4、Burpsuit、OllyDbg、IDAPro等。

總結

以上是生活随笔為你收集整理的信息安全工程师笔记-网络安全测评技术与标准的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。