服务器安全等级测试 服务器安全等级a,b,c

等级保护测评几年一次

等级保护0.5-2年测评一次。

创新互联建站10多年成都企业网站定制服务;为您提供网站建设,网站制作,网页设计及高端网站定制服务,成都企业网站定制及推广,对软装设计等多个领域拥有丰富的网站运维经验的网站建设公司。

等保测评是一项周期性、连续性的工作,不同等级要求0.5-2年做一次。

等保测评的全称是信息安全等级保护测评,是公安部认证的有资质的测评机构。根据国家信息安全等级保护规范,受相关单位委托,按照相关管理规范和技术标准,对信息系统安全等级保护状况进行检测和评估。

信息系统安全等级保护测评流程是什么?

信息系统安全等级保护测评准备活动的工作流程:

信息系统安全等级保护测评准备活动的目标是顺利启动测评项目,准备测评所需的相关资料,为顺利编制测评方案打下良好的基础。

信息系统安全等级保护测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项主要任务。这三项任务的基本工作流程见下图:

一、项目启动

在项目启动任务中,测评机构组建等级测评项目组,获取测评委托单位及被测系统的基本情况,从基本资料、人员、计划安排等方面为整个等级测评项目的实施做基本准备。

输入:委托测评协议书。

任务描述:

a) 根据测评双方签订的委托测评协议书和系统规模,测评机构组建测评项目组,从人员方面做好准备,并编制项目计划书。项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。

b) 测评机构要求测评委托单位提供基本资料,包括:被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有),测评委托单位的信息化建设状况与发展以及联络方式等。

输出/产品:项目计划书。

二、 信息收集和分析

测评机构通过查阅被测系统已有资料或使用调查表格的方式,了解整个系统的构成和保护情况,为编写测评方案和开展现场测评工作奠定基础。

输入:调查表格,被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全需求分析报告,安全总体方案,自查或上次等级测评报告(如果有)。

任务描述:

a) 测评机构收集等级测评需要的各种资料,包括测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全需求分析报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等。

b) 测评机构将调查表格提交给测评委托单位,督促被测系统相关人员准确填写调查表格。

c) 测评机构收回填写完成的调查表格,并分析调查结果,了解和熟悉被测系统的实际情况。分析的内容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。这些信息可以重用自查或上次等级测评报告中的可信结果。

d) 如果调查表格填写不准确或不完善或存在相互矛盾的地方较多,测评机构应安排现场调查,与被测系统相关人员进行面对面的沟通和了解。

输出/产品:填好的调查表格。

三、工具和表单准备

测评项目组成员在进行现场测评之前,应熟悉与被测系统相关的各种组件、调试测评工具、准备各种表单等。

输入:各种与被测系统相关的技术资料。

任务描述:

a) 测评人员调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。

b) 测评人员模拟被测系统搭建测评环境。

c) 准备和打印表单,主要包括:现场测评授权书、文档交接单、会议记录表单、会议签到表单等。

输出/产品:选用的测评工具清单,打印的各类表单。

如何进行WEB安全性测试

安全性测试

产品满足需求提及的安全能力

n 应用程序级别的安全性,包括对数据或业务功能的访问,应

用程序级别的安全性可确保:在预期的安全性情况下,主角

只能访问特定的功能或用例,或者只能访问有限的数据。例

如,可能会允许所有人输入数据,创建新账户,但只有管理

员才能删除这些数据或账户。如果具有数据级别的安全性,

测试就可确保“用户类型一” 能够看到所有客户消息(包括

财务数据),而“用户二”只能看见同一客户的统计数据。

n 系统级别的安全性,包括对系统的登录或远程访问。

系统级别的安全性可确保只有具备系统访问权限的用户才能

访问应用程序,而且只能通过相应的网关来访问。

安全性测试应用

防SQL漏洞扫描

– Appscan

n防XSS、防钓鱼

– RatProxy、Taint、Netsparker

nget、post - 防止关键信息显式提交

– get:显式提交

– post:隐式提交

ncookie、session

– Cookie欺骗


本文名称:服务器安全等级测试 服务器安全等级a,b,c
本文URL:http://scyanting.com/article/dojissg.html