网络安全测评技术与标准

18.1 概况

1）概念

：指参照一定的标准规范要求，通过一系列的技术和管理方法，获取评估对象的网络安全状况信息，对其给出相应的网络安全情况综合判定。

网络安全测评对象通常包括信息系统的组成要素或信息系统自身。

2）发展

1983年，美国国防部颁布《可信计算机系统评估准则 TCSEC》
1991年，欧洲发布《信息技术安全评估准则 ITSEC》
1993年，美国发布《信息技术安全评估联邦准则 FC》
1996年，六国七方提出《信息技术安全评价通用准则 CC 1.0版》
1998年，六国七方发布 CC 2.0 版
1999年，ISO 接受CC作为国际标准 ISO/IEC 15408 标准
1995年，英国制定《信息安全管理要求》，后续演变成 ISO/IEC 27001
1999年，我国发布《计算机信息系统安全保护等级划分准则 GB 17859-1999》
2001年，参考 ISO/IEC 15408，我国发布《信息技术安全技术信息技术安全性评估准则 GB/T 18336-2001》
2008年，我国建立了自成体系的信息系统安全等级保护标准

18.2 类型

1）基于目标分类

1.安全等级测评

：是测评机构依据国家网络安全等级保护相关法律法规，按照有关管理规范和技术标准，对非涉及国家秘密的网络信息系统的安全等级保护状况进行检测评估的活动。网络信息系统安全等级测评主要检测和评估信息系统在安全技术、安全管理等方面是否符合已确定的安全等级的要求;对于尚未符合要求的信息系统，分析和评估其潜在威胁、薄弱环节以及现有安全防护措施，综合考虑信息系统的重要性和面临的安全威胁等因素，提出相应的整改建议，并在系统整改后进行复测确认，以确保网络信息系统的安全保护措施符合相应安全等级的基本安全要求。

2.验收测评

：是依据相关政策文件要求，遵循公开、公平和公正原则，根据用户申请的项目验收目标和验收范围，结合项目安全建设方案的实现目标和考核指标，对项目实施状况进行安全测试和评估，评价该项目是否满足安全验收要求中的各项安全技术指标和安全考核目标，为系统整体验收和下一步的安全规划提供参考依据。

3.风险测评

：是从风险管理角度，评估系统面临的威胁以及脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对系统造成的影响，提出有针对性的抵御威胁的方法措施，将风险控制在可接受的范围内，达到系统稳定运行的目的，为保证信息系统的安全建设、稳定运行提供技术参考。

网络信息系统安全风险测评从技术和管理两方面进行，主要内容包括系统调查、资产分析、威胁分析、技术及管理脆弱性分析、安全功能测试、风险分析等，出具风险评估报告，提出安全建议。

2）基于内容分类

依据网络信息系统构成的要素，网络安全测评可分成两大类型:技术安全测评和管理安全测评。其中，技术安全测评主要包括物理环境、网络通信、操作系统、数据库系统、应用系统数据及存储系统等相关技术方面的安全性测试和评估。管理安全测评主要包括管理机构、管理制度、管理流程、人员管理、系统建设、系统运维等方面的安全性评估。