网络与信息安全测评课件.ppt

网络与信息平安测评;内容;;测评

类型;;;;代表技术;;代表技术;;合规性测评依据;;JPEG漏洞：

在处理JPEG图像格式时存在缓冲区溢出漏洞，此漏洞可能允许在受影响的系统上远程执行代码。成功利用此漏洞的攻击者可以完全控制受影响的系统。

漏洞存在于系统图像处理的根底库程序中，所有涉及图像编辑和处理的软件均存在问题，包括IE、资源管理器等

用户普遍认为图像文件中仅存数据，不会存在病毒等恶意代码，因此用户对图像文件的警惕性差，渗透测试的成功率较高;文件头：图像颜色信息、图像大小信息等;文件头：特殊构造的文件头，以触发漏洞;文本;本;;本;二、平安测评工具与支撑平台;2.1信息获取类工具;2.2平安测试类工具;2.3测评管理类平台;2.4渗透测试类工具;;等级保护生命周期

;等级测评;序号;安全基线测评模式：

标准符合性测评

安全隐患排查

风险量化评估

安全状况检查;;技术原理;;;满足信息系统平安等级保护标准的合规性

流程管理---?信息系统平安等级保护测评过程指南?

测评标准---?信息系统平安等级保护根本要求?

测评方法---?信息系统平安等级保护测评要求?

自动化文档支持

等保测评方案文档

等级测评方案

测评作业指导书

等级测评报告

各类统计报表;;三、平安测评业务实践;;;系统定级;访谈－通过与信息系统用户〔个人/群体〕进行交流、讨论等活动，获取相关证据证明信息系统平安保护措施是否落实的一种方法。

检查－通过对测评对象〔设备、文档、现场等〕进行观察、查验、分析等活动，获取相关证据证明信息系统平安保护措施是否有效的一种方法。

测试－利用预定的方法/工具使测评对象产生特定的行为活动，查看输出结果与预期结果的差异，以获取证据证明信息系统平安保护措施是否有效的一种方法。;工作方式;测评强度;测评流程;测评准备阶段工作内容;现状调研表单

;方案编制阶段工作内容;测评方案与测评指导书

;现场测评过程管理内容;测评结果表单

;测评报告编制过程管理内容;等级测评报告

;单项与单元测评

;整体测评

;整体测评

;测评结果汇总

;风险分析

;测评结论

;;风险评估的开展;风险产生的原??;风险评估要素;风险评估内容;问卷调查

人员访谈

文档审查

……;风险评估流程;现状调研阶段;调研项目;现场评估阶段;评估项目;资产分析

平安防护措施有效性分析

脆弱性分析

威胁分析

风险值计算;资产价值;风险值;;识别系统被入侵的可能性；

发现系统存在的平安隐患；

验证系统现在平安措施的防护强度；

在入侵者发起攻击前封堵可能被利用的攻击途径。;

;;;渗透测试流程;四、第一测评实验室简介;第一测评实验室定位;第一测评实验室主营业务;第一测评实验室能力介绍;4.1组织管理能力;4.1组织管理能力;4.2测评实施能力;4.2测评实施能力;4.2测评实施能力;提供面向实际业务系统的模拟验证环境

模拟各种真实的攻击行为

验证业务系统的安全风险

演示安全防护效果;4.3设施和设备能力;4.3设施和设备能力－工具平台;4.3设施和设备能力－工具平台;4.3设施和设备能力－工具平台;4.4质量管理能力;管理制度体系;管理体系持续改进;4.5标准性保证能力;文档化的测评方法;测评过程数据和记录保管;谢谢，敬请批评指正！