渗透测试在信息系统等级测评中的应用

文章介绍了渗透测试的相关内容、方法以及其在信息系统等级测评过程中的应用。渗透测试作为等级保护过程中的一个手段,从发现漏洞解决漏洞的思路提高了系统的安全性能。     

渗透测试在网络安全等级保护测评中的应用

随着计算机的普及,网络技术的飞速发展,网络安全问题逐渐受到重视,其重要性也日益凸显。在具体的评估过程中,可以通过渗透测试来建立评价体系,从而提高评价的准确度,从而保证网络的安全性。因此,本文从渗透测试的方法和流程出发,探讨了渗透测试在网络安全级别保护测评中的应用。     

信息系统等级测评中网络安全测评初探

随着信息技术的飞速发展和广泛应用,信息系统在给人们日常工作带来便利的同时,也面临着十分严峻的网络安全问题。网络安全测评是等级测评实施中的一个重要组成部分,它能够帮助系统运维、使用单位及时发现信息系统中存在的网络安全问题。本文简要介绍了网络安全测评的内容、方法及工作流程,并对网络安全测评实施中需要注意的问题进行了论述。     

网络安全等级保护测评中测评结论的度量方法优化

文章分析了网络安全等级保护2.0时期国家标准的新变化对等级测评结论可能产生的影响,并用实际案例和数据论述了以往描述的基于测评指标和基于测评对象的定量分析方法存在的局限性。根据网络安全等级保护国家标准结构和内容的新特点,结合新的等级测评结论表述方法,文章提出了调整和优化定量计算产生等级测评结论的思路,给出了缺陷扣分的原理和缺陷扣分的定量计算方法,并比较了各种定量计算方法在计算结果上的差异,提出了适合新标准的测评结论定量计算公式。     

性能测试在等级测评中的应用

为了保证信息系统的可用性和服务质量,《信息系统安全等级保护基本要求》中对于不同等级的信息系统,提出了服务保证类的各项要求。但由于系统的复杂性,等级测评中仅通过访谈和检查,很难准确判定被测系统是否符合相关要求。介绍性能测试的分类、方法,比较性能测试在等级测评和常规测试项目中使用的异同,提出在等级测评中,应引入性能测试以获取具有说服力的判定证据。以LoadRunner为例介绍了性能测试工具的使用,以及等级测评中应用性能测试的特点和注意事项。     

渗透测试在信息系统安全等级测评中的应用

信息安全等级测评中,对于不同等级的信息系统有不同强度的要求,通过渗透技术可以发现该目标系统的漏洞,并验证等级测评中发现的安全问题,渗透技术在等级测评过程中尤为重要。本文简要介绍了信息系统安全等级保护测评方式及工具,同时介绍了渗透技术的原理和步骤,详细说明了渗透测试工具在信息系统安全等级测评中的应用。分析说明合理使用渗透测试可以进一步对系统进行深层的评估,有助于增加等级测评结论的全面性和准确性。     

等级保护2.0中渗透测试技术的研究

等保2.0是中国国家互联网信息办公室制定的网络安全标准,旨在保障我国互联网安全,其中包括渗透测试内容。渗透测试是指企业的信息安全测试,可以确保网络、应用程序和系统的安全性。渗透测试就是测试人员使用攻击手段,模拟黑客的攻击方式,以达到及时发现的漏洞,分析和评估漏洞的危害度,提供针对漏洞及时、有效的修复方案,使信息、业务在网络中得到保护。本篇文章从以下几个方面介绍等保2.0中的渗透测试。     

网络安全等级保护测评中的网络及通信安全测评

2019年颁布的《信息安全技术网络安全等级保护基本要求(GB/T 22239-2019)》(信安字[2019]12号)[1]在原有《网络安全等级保护基本要求(GB/T 22239-2008)》(信安字[2007]12号)[2]基础上进行了修订,使之更加切合当今中国的网络环境。针对新修版中的网络和通信安全层面部分内容,如:通信传输、边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范等控制点安全测评进行了综述,分析了与旧版之间的区别和重要改变,并将今后网络和通信安全测评的主要方法和思路进行了总结。对等保2.0时代的网络和通信安全测评工作有一定的借鉴意义。     

福建气象门户网站渗透测试

福建省气象局门户网站是气象信息与政务信息的集中展示窗口,也是广大终端用户、企业、政府部门访问气象实时信息的便捷通道。然而近年来,门户网站所面临的安全形势越来越严峻,极大地困扰着福建气象门户网站的管理者与维护者。保障门户网站的安全性不仅直接关系到服务质量和客户感知,而且深刻影响到气象部门的公众形象。所以针对门户网站进行渗透测试是非常必要的,重点介绍渗透测试的目标、过程、分析、整改。经过渗透测试后的气象门户网站运行安全稳定,符合等级保护规范要求,成为高效的信息化服务平台。     

电子政务外网等级保护测评探讨

信息系统等级保护制度是我国加强信息系统安全防护的重要措施,电子政务外网运行着电子政务的公共服务业务,开展等级保护与等级保护测评非常必要,政务外网[2011]15号文要求开展电子政务外网的等级保护与等级保护测评工作。该文就政务外网某网络系统开展等级保护测评为例,探讨等级保护的定级、测评对象与测评机构的选择、测评内容与方法的确定、骨干网络系统的漏洞测试、安全整改等内容。本次测评在属地电子政务行业产生了良好的示范效应。     

渗透测试在等级测评中的一种规范化处理方法

在信息安全风险评估中,渗透测试是一种常用且非常重要的手段。如何在相关标准框架下,执行渗透测试并确定它在风险评估中的定性和定量作用,已成为业界关注的重点之一。文章提出了一种基于脚本的渗透测试方法和一种渗透测试定性与定量分析思路,通过渗透测试脚本与工具的分离,以及渗透测试与安全事件的内在关系,实现了渗透测试在风险评估中的规范化处理与应用。     

等级保护测试评价方法研究

文章分析了现有的信息系统等级保护测试评价方法,针对测试评价结果易受非技术因素的影响、存在指标无法反应系统真实情况等问题,提出了新的测试评价方法。运用改进层次分析法处理评估中存在的模糊值,简化评价过程。同时,文章以真实测评数据进行实验,对比了改进后的层次分析法在权重值的计算结果对等保测评结果分析的影响。     

信息系统等级保护测评实践

该文针对社会发展对信息化的依赖程度越来越高,而保障重要信息系统安全也是维护国家安全、保障社会稳定的重要组成部分这一事实.随着重要信息系统等级保护工作的深入,信息系统等级自测评与差距分析得到了广泛重视.文章系统阐述了自测评实践中的基本流程、测评方法与测评成果.     

气象信息系统等级保护测评实践

随着信息化的不断推进,气象信息业务系统有了很大的发展,信息系统的安全性、可用性越来越受到重视。以宁夏气象局三级信息系统为例,从信息系统情况调研、等级测评、系统加固等方面,阐述了信息系统安全等级保护主要内容。     

通用基础软件等级保护测评原型的研究

文章提出了一种针对国产通用基础软件的等级保护测评原型。该原型在深入对比分析国内外主要等级保护相关标准的基础上,充分考虑了国产通用基础软件自身的特点。原型的内容既涵盖了软件代码、体系结构风险等常规软件安全测试项目,还包括了身份鉴别、访问控制、完整性等等级保护中的要求。本文提出的测评原型既可以为建立国产通用基础软件的安全测试标准体系提供参考,也可以用来指导国产通用基础软件的安全性测试工作。     

网络安全等级保护建设探索

随着网络安全形势的日益严峻,国家有关部门先后出台了一系列文件,明确了等级保护的重要性。为了履行国家《网络安全法》法律义务,落实网络安全保护责任,单位需开展网络安全等级保护建设工作,按照技术与管理的需求进行建设实施,并加强日常运维与监管。     

信息安全等级保护中等级测评的CAE建模

CAE模型具有很强的层次性与结构性,被广泛用于复杂的信息安全测评过程中.采用CAE模型对等级测评的过程进行建模,将测评过程的多个层面简化为声明论据证据三种层次,并从测评指标的选择和测评结果的融合两个方面具体说明了CAE模型的作用.结果表明等级测评的过程完全可以归纳入CAE模型中,等级测评的过程与CAE模型的分解和推理过程是一致的,进一步验证了信息安全等级保护标准支持下的等级测评的有效性和合理性.     

网络安全渗透测试研究

渗透测试是当前正在发展的一种新的测试方式。文章首先对渗透测试做了简单介绍,分别分析了渗透测试和黑客行为,以及与功能测试的区别,并对渗透测试的实现过程进行研究,绘制出较完善的执行过程流程图,着重对渗透测试前期准备工作进行详细论述。     

等级保护测评过程中的风险分析

信息系统等级保护测评是对信息系统是否满足相应等级要求的符合性验证。在等级保护测评过程中,结合风险分析是等级保护测评的重要补充,使得最终测评结果不仅是信息系统是否达到对应等级的判断依据,也使测评结果更加契合企业实际安全状况,为企业后续改进提供明确的目标,使企业的后续整改工作能更好的落实。以最优的经济效益方式建设企业信息系统,使企业信息系统符合国家等级保护相关政策要求的同时不断提高信息系统安全性。形成一套符合企业实际情况,可以有效保护信息系统安全的等级保护体系。