18.1、网络安全策略分类 流程 内容

网络安全测评概况

网络安全测评，它是指参照一定的标准规范要求，等保二点零要求，等保二点零里面有对技术和管理的要求。通过这些要求，我们从技术和管理两个层面来获取我们被评估对象网络安全的状况，最后给出一个综合评判，你现在是安全还是不安全。安全评测，跟我们前面讲的风险评估，虽然是在不同的阶段，但是它们的本质其实是差不多的。如果按照等保流程来讲，我们首先做风险评估，看有哪些问题，有问题的话我们及时修补，修补完之后，到后期，比如说你要过等保，那就要做测评，找专业的评测公司来给你做测评，到底你三级等保满不满足要求，满足要求，整好就过，如果不满足要求，就要整改，它的整个过程跟风险评估在技术层面，说实话真的是一模一样。你把它放到等保项目流程里面，风险评估在前面，评估完我们再整改，整改完之后再做评测，所以从流程来讲，它的确是两个东西，但是在技术层面，其实是差不太多的

安全评测，评测两方面，第一方面是信息系统组成要素，就是产品设备，一个清洗系统，肯定底层有服务器，交换机，防火墙，数据库等等，这就是它的组成要素。第二个就是信息系统本身，就是软件平台

测评对象两个方面，第一个是产品，操作系统、数据库、交换机、路由器等等，偏设备层面，我们测评常见的类型包含信息安全产品分级评估，锐捷防火墙，它是满足三级的安全要求，对产品有一个证书，评测由中国信息安全认证中心出，还有信息安全产品的认定，评测你是不是一个信息安全产品。信息技术产品自主原创测评，还有源代码安全风险评估，选型测试、定制测试等等，出一系列的测试报告，包括功能测试，像安全产品功能测试，有些时候会有一些测试报告，我们在项目投标的过程当中会用到，包括我们做一些项目控标，提供测试报告，提供就得两分，不提供不得分。这是针对产品的一个评测，有证书或者有相应的测试报告

第二个是针对信息系统的安全评测，是对系统的安全性进行测试评估认定。根据我们测评依据，测评内容主要包括信息系统，信息系统就是一个软件，对我们软件进行安全风险评估，安全等级评测、验收评测、渗透测试，还有信息系统安全保障能力，评估包含很多方面，我们评测的对象，要么是产品，要么是信息系统，产品的话就是底层的支撑，组成要素，这就是评测的内容

网络安全测评类型—基于测评目标分类

等级测评，验收测评，测过了验收通过，测不过继续测评

基于实施方式分类，安全功能测评，安全管理测评，代码安全审计，安全渗透测试，信息系统攻击测试。功能测试，顾名思义，安全管理测评对管理层面的管理制度进行测试。代码安全审查，这是偏向于软件的，渗透测试就是模拟黑客进行攻击，通过渗透测试进行的测试。信息系统攻击测试，我们可以对信息系统进行，比如说拒绝服务攻击，包括分布式拒绝服务攻击，比如说窃取密码等等，通过各种方式来验证我们系统的安全性

基于测评对象保密性分类，可以分成涉密的和非涉密的。首先基于测评目标的分类，等保测评、验收测评、风险测评。等保评测是专业的评测机构，要取得等保测评的证书，才能做测评。

专业的机构根据国家的法律法规，主要分两个层面，管理和技术，对涉及国家秘密的相关系统进行检查评估，用分级保护。

等保评测是对非涉及国家秘密的网络信息系统的安全等级保护状况进行检查评估。关键点等保就是只能干非涉密系统，他干不了涉密系统。对于不符合要求的信息系统，我们要分析评估潜在的威胁，提出整改建议，并且在系统整改后要进行复测。

目前我们国家做等保评测，最新的标准是等级保护二点零的标准。等保目前就只有二点零就第二代。等保五个级别，我们常做的就三级等保。无论是等保一点零的标准还是二点零的标准，都是信息系统的安全标准，都是分成五级的，我们常做的就是三级。

三级等保每年要复测一次，二级等保是每两年测一次，四级等保是每半年就要复测一次。等保评测，结合网络安全法的要求，我们的日志要保存六个月。

验收测试，根据验收目标，验收范围，包括招标的一些要求来进行相应的考核验收

网络安全风险评测，风险评测主要是评估我们系统面临的威胁和脆弱性。基于不同目标的分类，最核心的就是等保评测，它的目标就是要过等保，如果测一次没过，整改之后接着测第二次，第二次不过，接着整改测第三次，测过为止。第一个基于评测目标分类，第二个基于实施方式分类。

网络安全测评类型—基于实施方式分类

安全功能检测，对信息系统的安全功能进行评估，检查它是否满足目标和设计的要求，主要的方法访谈，调研，现场查看，文档审查、社会工程，然后漏洞扫描，深度测试，形式化的分析验证。

检查漏洞，做安全功能检查，通过漏洞扫描，模拟黑客进行测试，这是实际项目的做法。

安全管理检测，检查分析管理要素，机制的安全状况，评估安全的管理是否满足目标要求，从管理层面，要有安全管理制度，安全管理机构、安全管理人员，这都是等保二点零里边的要求。

有专门负责安全运维的组织，机构要有人员，还要有制度，这些都是偏向于管理的。管理的要素是机构、人员、制度，这是落地的说法。

代码安全审查，对源代码进行静态的扫描审查识别可能的一些漏洞，检查代码一般是程序员干的事情，一般网络安全工程师能做代码审查的不多。

安全渗透测试，通过模拟黑客对目标系统进行攻击，如果攻击成功，那就证明它有相应的漏洞，我们根据漏洞的利用来做最后的整改。

信息系统攻击测试，根据用户提出各种攻击测试要求，比如说，搞一个注入测试，DOS测试，通过这些攻击来分析应用系统现有的安全防护技术，确定攻击测试方案，测试内容，对应用系统的抗攻击能力，最后给出相应的测试报告。

信息系统的攻击测试跟渗透测试有差别。模拟黑客叫渗透测试，根据用户的要求来进行的测试，叫攻击测试。攻击测试，是有具体的倾向性，你要求我测什么我就测什么。渗透测试，没啥要求，就是你给我攻击，能把它搞定就行了。渗透测试，相当于是一个黑盒测试，而我们的攻击测试偏向于白盒，客户给了你一些要求，包括他还会给你一些内部信息。

网络安全测评类型—基于测评对象保密性分类

针对涉密信息系统的测评，主要是保密局在负责，应用的是保密标准，它里面做了一个标准，叫分级保护，对应着我们非涉密的等级保护。

分级保护和等级保护，等级保护是非涉密场景，主要是由公安的网安在负责，根据最新等保的标准，根据等保二点零的规范来进行测评

涉密系统保密局负责的，根据保密标准。

网络安全等级保护测评内容

测评内容主要是，我们如果是做等级评测，主要是做技术和管理两方面的评测技术，测评根据最新的等保二点零的要求，评测一个中心三重防护，加一个安全的物理环境，一个中心是安全管理中心，三重防护分别指的是安全通信网络，安全边界，安全计算环境。

管理层面最新的二点零标准，这个要求是安全管理制度，安全管理机构，安全管理人员，安全建设管理，安全运维管理，这五块。

网络安全测评流程与内容

它是以等保二点零为规范去讲的。等级测评的过程，包含四个步骤，测评活动的准备、方案编制，现场测评和报告编制，这四个过程。

网络安全渗透测试，可以分成五个阶段，渗透测试包含委托受理，准备、实施、综合评估、结题五个阶段。

第一步委托受理阶段，我们跟客户进行前期的沟通，签订保密协议和渗透测试的合同。因为你要对它进行攻击，所以合同保密协议这些是不可少的，然后接收被测单位提交的一些资料，比如说，对方把网络拓扑、IP地址等等一系列的网络基础的情况提供给你

准备阶段，编写渗透测试方案，我们要跟客户沟通方案，可能有些要修改，确定时间，客户需要配合的人员

举个例子，我到客户那边去测dbs，叫数据库审计系统，这是一个旁挂设备，比如客户的核心交换机，下面连了很多接入交换机，下面有很多电脑、服务器等等。然后我们把数据库审计给它挂到核心交换机旁边，然后在核心交换机上把流量镜像过来。让数据库审计系统去做分析，只需要把设备接到核心交换机上，然后做一个流量镜像。客户那边觉得这玩意很简单，但是最后没测成，原因很简单，因为要在核心交换机上去做流量镜像。首先要登录核心交换机，要去做镜像的配置，但是发现他们单位没有谁知道核心交换机的密码。我们不可能给他把核心交换机给重置一下，万一影响现网的业务

在线网当中，遇到什么不知道用户名密码，遇到这个机房里面的线乱的跟鸡窝，不知道往哪插。或者是我还遇到过，整个楼层做连接，有一个箱子，有一个锁，我们要进去配设备，钥匙也是找不到。这种问题工作久了之后，会遇到很多的，这种问题是比较耗费时间的

真正干活，把什么都准备好了，干活很快，几分钟可能就干完了，但是会遇到这种，前期准备的事情，所以我们要干活，你就要提前准备好，要客户怎么配合你，要他出人，还是要他出相应的一些设备的用户名密码，你这些要给我出来，这些要提前准备，这样才能够事半功倍，不然就是浪费一两天，后面也干不了

设备没密码，厂商的人不可能给客户做密码重置，密码恢复，如果客户下面挂着三万人，根本就不敢去恢复，万一出问题了，谁借你的胆，反正我是不敢干这个事情的。

我们只能给客户提供相应的建议，如果你要搞的话，你自己去操作，出了问题之后，这个锅甩过来，砸的你可不行

项目经理要协助被测单位填写网络信息系统渗透测试用户授权单。你要授权我来做这个事儿，而且授权单里边一般都还会提示风险。提示风险就是你搞一些网络攻击，特别是你搞渗透测试，你是要攻击人家的，有可能会全网断网，一般这个授权单或者相应的一些保密协议里面都会有说明的，这个事情出现的概率可能是1‰，但是有这种概率，要通知客户，要做好准备，所以我们测试时间一般还是要选择一个，比如说像晚上，凌晨去测，不能在业务高峰期，去搞渗透测试，有点危险，并通知客户，做好相应的一些准备，比如做内网测试，要客户全程陪同，万一出点啥问题，及时协调去解决。

准备好了之后就开始干活了，实施阶段明确项目组测试人员的测试项，有可能是一个人，中小型项目一个人就行了，有可能是有好几个人，好几个人的话，不同人的分工，你这个要确定清楚，测试完成之后，我们要整理测试的一些数据，测试过程中包括一些截图，然后扫描的一些结果，要形成官方的正式文档，输出来，这个文档叫网络信息系统渗透测试报告，这个报告很重要

实施完之后我们就进入综合评估阶段。评估阶段就是评估你的安全状况。向客户发送渗透测试报告，然后必要时开一个评审会，我们做一个PPT来给大家去讲一下，你现在网络当中有什么问题，针对这些问题应该怎么去解决，然后客户就根据我们的整改建议去进行相应的整改，整改完成之后，如果客户希望还来一次复测，由被测单位在整改完毕之后，提交整改报告并根据网络项目组，根据网络信息渗透整改报告开展复测工作。就是你整改的具体有没有整改到位，再给你复测一次，最后输出复测的报告，这是综合评估的阶段

第五阶段结题阶段，我们把过程的一些文档，包括一些总结的文档，提交给客户，这是渗透测试的五个步骤