软考信息安全网络安全测评技术与标准

18.1 网络安全测评概况

• 网络安全测评是网络信息系统和IT技术产品的安全质量保障。

18.1.1 网络安全测评概念

• 网络安全测评是指参照一定的标准规范要求，通过一系列的技术和管理方法，获取评估对象的网络安全状况信息，对其给出相应的网络安全情况综合判定。


• 网络安全测评对象通常包括信息系统的组成要素或信息系统自身。
  
  
  
  • 信息技术产品安全测评。
  
  
  • 信息系统安全测评。
    
    
    
    • 对信息系统的安全性进行测试，评估，认定。按照测评依据和测评内容，主要包括信息系统安全风险评估，信息系统安全等级保护测评，信息系统安全验收测评，信息系统安全渗透测试，信息系统安全保障能力评估等。
    
    
    
    
  
  
  
  

18.1.2 网络安全测评发展

• 网络安全测评是信息技术产品安全质量，信息系统安全运行的重要保障措施。

  
  



• 美国国防部早在1983年颁布了《可信计算机系统评估准则》（简称TCSEC，1985年再版）。

  
  



• 1991年欧洲颁布了《信息技术安全评估准则》（简称ITSEC）。

  
  



• 1993年美国发布了《信息技术安全评估联邦准则》（FC）。

  
  



• 1996年六国七方（英国，加拿大，法国，德国，荷兰，美国国家安全局和美国技术标准研究所）提出《信息技术安全评价通用准则》（The Common Criteria for Information Technology Security Evaluation，CC 1.0版）。

  
  



• 1998年六国七方发布了CC2.0 版。

  
  



• 1999年，ISO接受CC作为国际标准ISO/IEC 15408标准，并正式颁布发行。

  
  



• CC标准提出了“保护轮廓”概念，将评估过程分为“功能”和“保证”两部分，是目前最全面的信息技术安全评估标准。

  
  



• 与此同时，网络信息安全管理国际标准化也在进一步推进。1995年，英国制定了《信息安全管理要求》，后续演变成为国际信息安全管理标准ISO/IEC 27001.

  
  



• ISO/IEC 27001 是国际上具有代表性的信息安全管理体系标准，标准涉及的安全管理控制项目主要包括以下内容：

  
  
  
  
  • 安全策略
  
  
  • 安全组织
  
  
  • 资产分类与控制
  
  
  • 人员安全
  
  
  • 物理与环境安全
  
  
  • 通信与运作
  
  
  • 访问控制
  
  
  • 系统开发与维护
  
  
  • 事故管理
  
  
  • 业务持续性运行
  
  
  • 符合性
  
  
  
  



• 国内网络信息安全测评标准工作也开始了。

  
  



• 1990年，我国发布了《计算机信息系统安全保护等级划分准则》（GB 17859-1999）

  
  



• GB 17859-1999从自主访问控制，强制访问控制，身份鉴别，数据完整性，客体重用，审计，标记，隐蔽通道分析，可信路径和可信恢复等方面将计算机信息系统安全保护能力划分为5个等级：

  
  
  
  
  • 第一级用户自主保护级
  
  
  • 第二级系统审计保护级
  
  
  • 第三级安全标记保护级
  
  
  • 第四级结构化保护级
  
  
  • 第五级访问验证保护级
  
  
  
  



• 2001年参考国际通用准则CC和国际标准ISO/IEC 15408，我国发布了《信息技术 安全技术 信息技术安全性评估准则》（GB/T 18336-2001)

  
  



• GB/T 18336-2001共分为三部分：

  
  
  
  
  • 《第1部分：简介和一般模型》
  
  
  • 《第2部分：安全功能要求》
  
  
  • 《第3部分：安全保证要求》
  
  
  
  



• 2008年国内有《信息安全技术 网络安全等级保护定级指南》，《信息安全技术 信息系统通用安全技术要求》，《信息安全技术 信息系统安全等级保护基本要求》

  
  

18.2 网络安全测评类型

18.2.1 基于测评目标分类

• 分为三种类型：网络信息系统安全等级测评，网络信息系统安全验收测评和网络信息系统安全风险测评。

  
  



• 1.网络信息系统安全等级测评

  
  
  
  
  • 就是我们常做的等保测评
  
  
  
  



• 2.网络信息系统安全验收测评

  
  
  
  
  • 根据用户申请的项目验收目标和验收范围，结合项目安全建设方案的实现目标和考核指标，对项目实施状况进行安全测试和评估。
  
  
  
  



• 3.网络信息系统安全风险测评

  
  
  
  
  • 从风险管理角度，评估系统面临的威胁以及脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对系统造成的影响，提出有针对性的抵御威胁的方法措施，将风险控制在可接受的范围内，达到系统稳定运行的目的，为保证信息系统的安全建设，稳定运行提供技术参考。
  
  
  • 网络信息系统安全风险测评从技术和管理两方面进行，主要内容包括系统调查，资产分析，威胁分析，技术及管理脆弱性分析，安全功能测试，风险分析等。出具风险评估报告，提出安全建议。
  
  
  
  

18.2.2 基于测评内容分类

• 网络安全测评可分成两大类型：技术安全测评和管理安全测评


• 技术安全测评包括：物理环境，网络通信，操作系统，数据库系统，应用系统，数据及存储系统等相关技术方面得安全性测试和评估。


• 管理安全测评包括：管理机构，管理制度，管理流程，人员管理，系统建设，系统运维等方面得安全性评估。

18.2.3 基于实施方式分类

• 主要包括安全功能检测，安全管理检测，代码安全审计，安全渗透，信息系统攻击测试等。


• 1.安全功能检测
  
  
  
  • 安全功能检测依据网络信息系统的安全目标和设计要求，对信息系统的安全功能实现状况进行评估，检查安全功能是否满足目标目标和设计要求。
  
  
  • 安全功能符合性检测的主要依据有：《信息安全技术 信息系统等级保护安全设计技术要求》（GB/T 25070-2010），《信息安全技术 信息系统通用安全技术要求》（GB/T 20271-2006）,网络信息安全最佳实践，网络信息系统项目安全需求说明书等。
  
  
  • 主要方法是：访谈调研，现场查看，文档审查，社会工程，漏洞扫描，渗透测试，形式化分析验证等。
  
  
  
  


• 2.安全管理检测
  
  
  
  • 依据网络信息系统的管理目标，检查分析管理要素及机制的安全状况，评估安全管理是否满足信息系统的安全管理目标要求。
  
  
  • 主要方法是：调研访谈，现场查看，文档审查，安全基线对比，社会工程等。
  
  
  
  


• 3.代码安全审查


• 4.安全渗透测试


• 5.信息系统攻击测试
  
  
  
  • 根据用户提出的各种攻击性测试要求，分析应用系统现有防护设备及技术，确定攻击测试方案和测试内容。
  
  
  • 采用专用的测试设备及测试软件对应用系统的抗攻击能力进行测试，出具相应的测试报告。
  
  
  • 测试指标包括：防御攻击的种类与能力，如拒绝服务攻击，恶意代码攻击等。
  
  
  
  

18.2.4 基于测评对象保密性分类

• 分为两种类型：涉密信息系统安全测评，非涉密信息系统安全测评。


• 1.涉密信息系统测评
  
  
  
  • 依据国家保密标准，从风险评估的角度，运用科学的分析方法和有效的技术手段，通过对涉密信息系统所面临的威胁及其存在的脆弱性进行分析，发现系统存在的安全保密隐患和风险，同时提出有针对性的防护策略和保障措施。
  
  
  
  


• 2.非涉密信息系统测评
  
  
  
  • 依据公开的国家信息安全标准，行业标准，信息安全规范或业务信息安全需求，利用网络信息安全技术方法和工具，分析信息系统面临的网络安全威胁及存在的安全隐患，综合给出网络安全状况评估和改进建议。
  
  
  
  

18.3 网络安全测评流程与内容

• 常见的网络安全等级保护，安全渗透测试。

18.3.1 网络安全等级保护测评流程与内容

• 测评主要包括技术安全测评，管理安全测评。


• 技术安全测评主要内容如下：
  
  
  
  • 安全物理环境
  
  
  • 安全通信网络
  
  
  • 安全区域边界
  
  
  • 安全计算环境
  
  
  • 安全管理中心
  
  
  
  


• 管理安全测评主要内容如下：
  
  
  
  • 安全管理制度
  
  
  • 安全管理机构
  
  
  • 安全管理人员
  
  
  • 安全建设管理
  
  
  • 安全运维管理
  
  
  
  


• 根据网络安全等级保护2.0标准规范，网络信息系统安全等级测评过程包括测评 准备活动，方案编制活动，现场测评活动和报告编制活动这四个基本测评活动。

18.3.2 网络安全渗透测试流程与内容（站在乙方项目经理的角度）

• 分为委托受理，准备，实施，综合评估和结题五个阶段。


• 1.委托受理阶段
  
  
  
  • 售前与委托单位就渗透测试项目进行前期沟通，签署 保密协议，接收被测单位提交的资料，前期沟通结束后，双方签署“网络信息系统渗透测试合同”。
  
  
  
  


• 2.准备阶段
  
  
  
  • 项目经理组织人员依据客户提供的文档资料和调查数据，编写制定网络信息系统渗透测试方案。
  
  
  • 项目经理与客户沟通测试方案，确定渗透测试的具体日期，客户方配合的人员。
  
  
  • 项目经理协助被测单位填写“网络信息系统渗透测试用户授权单”，并通知客户做好测试前的准备工作。
  
  
  
  


• 3.实施阶段
  
  
  
  • 项目经理明确项目组测试人员承担的测试项。完成测试后，项目组整理渗透测试数据，形成“网络信息系统渗透测试报告”。
  
  
  
  


• 4.综合评估阶段
  
  
  
  • 项目组和客户沟通测试结果，向客户发送“网络信息系统渗透测试报告”。必要时，根据实际情况召开报告评审会。
  
  
  
  


• 5.结题阶段
  
  
  
  • 项目组将测评过程中生成的各类文档，过程记录进行整理，并交档案管理员归档保存。
  
  
  • 项目组质量工作人员请客户填写客户满意度调查表，收集客户反馈意见。
  
  
  
  

18.4 网络安全测评技术与工具

• 介绍常见的网络安全测评技术和工具

18.4.1 漏洞扫描

• nmap,nessus,openvas,hydra,sqlmap,w3af,nikto,appscan,awvs。

18.4.2 安全渗透测试

• 安全渗透测试通过模拟攻击者对测评对象进行安全攻击，以验证安全防护机制的有效性。


• 根据对测评对象掌握信息状况，安全渗透测试可以分为三种类型。


• 1.黑盒模型
  
  
  
  • 只需要提供测试目标地址，授权测试团队从指定的测试点进行测试。
  
  
  
  


• 2.白盒模型
  
  
  
  • 提供尽可能详细的测试对象信息，测试团队根据所获取的信息，指定特殊的渗透方案，对系统进行高级别的安全测试。
  
  
  
  


• 3.灰盒模型
  
  
  
  • 提供部分测试对象信息，测试团队根据所获取的信息，模拟不同级别的威胁者进行渗透。
  
  
  
  

18.4.3 代码安全审查

• 按照C，Java，OWASP等安全编程规范和业务安全规范，对测评对象的源代码或二进制代码进行安全符合性检查。


• HP Fortify（商业产品）


• IBM Rational AppScan Source Edition（商业产品）


• Checkmarx（商业产品）


• FindBugs（开源工具）


• PMD（开源工具）


• 360代码卫视（商业产品）

18.4.4 协议分析

• tcpdump，wireshark


• 1.类型关键字


• 2.传输方向关键字


• 3.协议关键字

18.4.5 性能测试

• 用于评估测评对象的性能状况，检查测评对象的承载性能压力或安全对性能的影响。


• 工具有Apache JMeter（开源）


• LoadRunner（商业产品）


• SmartBits（商业产品）

18.5 网络安全测评质量管理与标准

• 主要介绍网络安全测评的质量管理，同时给出网络安全测评所采用的主要标准。

18.5.1 网络安全测评质量管理

• 测评机构的质量管理体系的建立主要参考国际标准ISO9000


• 中国合格评定国家认可委员会（简称CNAS）

18.5.2 网络安全测评标准

• 1.信息系统安全等级保护测评标准
  
  
  
  • 1）计算机信息系统 安全保护等级划分准则（GB 17859-1999）
  
  
  • 2）信息安全技术 网络安全等级保护基本要求（GB/T 22239-2019）
  
  
  • 3）信息安全技术 网络安全等级保护定级指南（GB/T 22240-2020）
  
  
  • 4）信息安全技术 网络安全等级保护安全设计技术要求（GB/T 25070-2019）
  
  
  • 5）信息安全技术 网络安全等级保护实施指南（GB/T 25058-2019)
  
  
  • 6）信息安全技术 信息系统安全工程管理要求（GB/T 20282-2006)
  
  
  • 7）信息安全技术 应用软件系统安全等级保护通用技术指南（GA/T 711-2007)
  
  
  
  


• 2.产品测评标准
  
  
  
  • 1）信息技术 安全技术 信息技术安全评估准则（GB/T 18336-2015)
  
  
  • 2）信息安全技术 路由器安全技术要求（GB/T 18018-2019)
  
  
  • 3）信息安全技术 路由器安全评估准则（GB/T 20011-2005）
  
  
  • 4）信息安全技术 服务器安全技术要求（GB/T 21028-2007）
  
  
  • 5）信息安全技术 服务器安全测评要求（GB/T 25063-2010）
  
  
  • 6）信息安全技术 网络交换机安全技术要求（GB/T 21050-2019）
  
  
  • 还有很多等等。
  
  
  
  


• 3.信息安全风险评估标准
  
  
  
  • 1）信息安全技术 信息安全风险评估规范（GB/T 20984-2007）
  
  
  • 2）信息安全技术 信息安全风险评估实施指南（GB/T 31509-2015）
  
  
  • 3）信息安全技术 信息安全风险处理实施指南（GB/T 33132-2016）
  
  
  
  


• 4.密码应用安全


• 5.工业控制系统信息安全防护能力评估
  
  
  
  • 工业控制系统信息安全防护指南
  
  
  • 工业控制系统信息安全防护能力评估工作管理方法
  
  
  
  

迷茫的人生，需要不断努力，才能看清远方模糊的志向！