|
|
知识路径: > 网络安全测评技术与标准 > 网络安全测评类型 > 基于实施方式分类(安全功能检测、安全管理检测、代码安全审查、网络安全渗透、信息系统攻击测试等) >
|
|
相关知识点:8个
|
|
|
|
|
按照网络安全测评的实施方式,测评主要包括安全功能检测、安全管理检测、代码安全审查、安全渗透、信息系统攻击测试等。
|
|
|
|
|
|
安全功能检测依据网络信息系统的安全目标和设计要求,对信息系统的安全功能实现状况进行评估,检查安全功能是否满足目标和设计要求。安全功能符合性检测的主要依据有:《信息安全技术信息系统等级保护安全设计技术要求》(GB/T 25070—2010)、《信息安全技术信息系统通用安全技术要求》(GB/T 20271—2006)、网络信息安全最佳实践、网络信息系统项目安全需求说明书等。主要方法是:访谈调研、现场查看、文档审查、社会工程、漏洞扫描、渗透测试、形式化分析验证等。
|
|
|
|
|
|
安全管理检测依据网络信息系统的管理目标,检查分析管理要素及机制的安全状况,评估安全管理是否满足信息系统的安全管理目标要求。主要方法是:访谈调研、现场查看、文档审查、安全基线对比、社会工程等。
|
|
|
|
|
|
代码安全审查是对定制开发的应用程序源代码进行静态安全扫描和审查,识别可能导致安全问题的编码缺陷和漏洞的过程。
|
|
|
|
|
|
通过模拟黑客对目标系统进行渗透测试,发现、分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、跨站脚本漏洞及弱口令等安全隐患,评估系统抗攻击能力,提出安全加固建议。
|
|
|
|
|
|
根据用户提出的各种攻击性测试要求,分析应用系统现有防护设备及技术,确定攻击测试方案和测试内容;采用专用的测试设备及测试软件对应用系统的抗攻击能力进行测试,出具相应测试报告。测试指标包括:防御攻击的种类与能力,如拒绝服务攻击、恶意代码攻击等。
|
|
|
