網(wǎng)絡與信息安全測評課件

網(wǎng)絡與信息平安測評內(nèi)容安全測評在信息安全保障工作中的基礎性作用在世界各國獲得廣泛共識TCSECITSECCCSSE-CMMBS7799

…

…FIPS65NISTSP800IATFOCTAVE

…

…COBRABDSSCRAMM@RISK

…

…標準指南工具測評類型測評對象測評目標安全認證差距分析風險評估隱患排查通過綜合評判系統(tǒng)各個層面的脆弱性，分析遭受入侵的脆弱性利用路徑及其可能性，從而為系統(tǒng)的安全防護提供參考和依據(jù)的一種安全測評技術(shù)。概述技術(shù)介紹系統(tǒng)建模目標建模（1）模型化（2）脆弱性分析脆弱性探測脆弱性規(guī)范化描述脆弱性利用圖生成（3）脆弱性評估評估指標評估算法評估結(jié)果展現(xiàn)SMV檢測NuSMV檢測拓撲網(wǎng)絡分析最小平安措施分析可靠性分析入侵成功概率計算代表工作：

Kuang&NetKuang

攻擊模版匹配攻擊路徑開掘代表工作：攻擊樹

特權(quán)圖

利用依賴圖

狀態(tài)轉(zhuǎn)移圖攻擊行為表示脆弱性評估及量化分析代表技術(shù)概述技術(shù)介紹代表技術(shù)概述技術(shù)介紹資產(chǎn)脆弱性威脅風險外因內(nèi)因構(gòu)成存在于暴露利用增加增加資產(chǎn)分析威脅分析脆弱性分析資產(chǎn)價值脆弱性程度威脅頻率業(yè)務影響可能性安全風險代表技術(shù)概述技術(shù)介紹合規(guī)性測評依據(jù)滲透測試是在用戶授權(quán)情況下，通過模擬黑客的攻擊方法（包括對系統(tǒng)任何弱點、缺陷和漏洞的分析以及系統(tǒng)缺點/缺陷/漏洞利用），來評估目標系統(tǒng)安全的一種評估方法。評估過程可假定從任何攻擊者可能的位置出發(fā)對系統(tǒng)進行攻擊。評估的目的在于發(fā)掘目標系統(tǒng)的薄弱環(huán)節(jié)，為安全加固提供參考依據(jù)。概述技術(shù)介紹滲透點挖掘遠程利用/本地利用權(quán)限提升脆弱性掃描弱點探測網(wǎng)絡監(jiān)聽腳本注入緩沖區(qū)溢出攻擊拒絕效勞攻擊木馬注入口令破解會話劫持攻擊JPEG漏洞：在處理JPEG圖像格式時存在緩沖區(qū)溢出漏洞，此漏洞可能允許在受影響的系統(tǒng)上遠程執(zhí)行代碼。成功利用此漏洞的攻擊者可以完全控制受影響的系統(tǒng)。漏洞存在于系統(tǒng)圖像處理的根底庫程序中，所有涉及圖像編輯和處理的軟件均存在問題，包括IE、資源管理器等用戶普遍認為圖像文件中僅存數(shù)據(jù)，不會存在病毒等惡意代碼，因此用戶對圖像文件的警惕性差，滲透測試的成功率較高例如一：利用軟件漏洞文件頭：圖像顏色信息、圖像大小信息等附屬信息：附屬信息大小、附屬信息文本等用戶不可見數(shù)據(jù)用戶不可見數(shù)據(jù)圖像數(shù)據(jù)，用戶可見數(shù)據(jù)JPEG文件根本結(jié)構(gòu)文件頭：特殊構(gòu)造的文件頭，以觸發(fā)漏洞附屬信息：惡意代碼，用戶不可見包含惡意代碼的圖片文件X處理函數(shù)接口指針附屬區(qū)域預分配內(nèi)存大小根據(jù)文件頭信息分配附屬信息載入并造成溢出X處理函數(shù)接口指針X處理函數(shù)……Moveax,ecx……惡意代碼圖像處理程序內(nèi)存空間×文本文本內(nèi)外網(wǎng)間信息交換通過移動存儲介質(zhì)〔U盤〕來實現(xiàn)。在傳統(tǒng)理念下，一般認為這種離線交換方式可以保證內(nèi)網(wǎng)信息的平安。

內(nèi)外網(wǎng)信息交換方式1例如二：利用擺渡木馬本文本傳統(tǒng)木馬病毒傳統(tǒng)木馬病毒如SUB7、BO2000、冰河等攻擊時需要建立網(wǎng)絡連接以竊取信息網(wǎng)絡上的木馬病毒擺渡木馬病毒不需要網(wǎng)絡連接，通過存儲介質(zhì)建立連接通路

網(wǎng)絡上存在“擺渡”木馬安全隱患2

傳統(tǒng)木馬病毒攻擊原理示意圖3本文本“擺渡”木馬攻擊原理示意圖4二、平安測評工具與支撐平臺2.1信息獲取類工具信息獲取類工具類型用途示例典型工具1配置信息獲取類安全配置檢查微軟基線分析工具、配置獲取腳本2脆弱性分析類主機安全掃描啟明天鏡、綠盟極光、安氏領信、Nessus、X-Scan、AppScan等漏洞掃描器數(shù)據(jù)庫安全掃描應用安全掃描3網(wǎng)絡信息獲取類網(wǎng)絡拓撲發(fā)現(xiàn)第三方開源工具網(wǎng)絡連接可視化安全元素感知工具，多為原型系統(tǒng)網(wǎng)絡數(shù)據(jù)分析SnifferPro4其它安全審計SOC2.2平安測試類工具安全測試類工具類型用途示例典型工具1產(chǎn)品測試類芯片安全檢測廠商自測或機構(gòu)自備檢測工具防火墻安全檢測2性能測試類網(wǎng)絡性能測試Spirent

SmartBits,IXIA網(wǎng)絡測試儀3密碼檢測類密碼算法檢測密碼算法檢測分析平臺、可信計算機密碼檢測工具密碼模塊檢測4基線檢測類等保合規(guī)性檢驗NERCIS等級保護測評工具配置基線檢測主機配置審計工具2.3測評管理類平臺測評管理類平臺類型用途示例說明1測評流程類風險評估流程面向風險評估流程的軟件平臺，如NERCIS風險評估支撐平臺等級測評流程面向等級測評流程管理的工具平臺，如NERCIS等級保護測評管理系統(tǒng)管理核查流程面向管理評估的支撐系統(tǒng)2管理支撐類等級保護管理面向等級備案及等級數(shù)據(jù)信息管理的支撐平臺風險管理面向風險管理生命周期的支撐平臺2.4滲透測試類工具滲透測試類工具類型用途示例典型工具1綜合類綜合性滲透測試MetaSploit、Webravor2口令破解類FTP口令破解ftpspy郵件口令破解pop3spyWindows口令破解SAMInside、winkeydSQL口令破解EnterpriseManagerPassView遠程終端口令破解RemoteDesktopPassView3數(shù)據(jù)恢復類IE口令獲取IEPasRec14磁盤數(shù)據(jù)恢復Badcopy、Easyrecovery、Raidfix等4SQL注入類SQL破解SQLCrackerSQL探測SQLScanner、SQLPing等滲透測試類工具類型用途示例典型工具5網(wǎng)絡監(jiān)聽類網(wǎng)絡監(jiān)聽分析Uhack、Listen、jcsend、HYWirelessSnifferDNS協(xié)議交換監(jiān)聽DNSsniffer賬號密碼捕獲Pwsniffer、psmonitor路由器密碼掃描登錄BdsFastNetportScanner6掃描類遠程或本地掃描Nmap、SuperScan、NBSI、pangolin、明小子注入7遠程注入工具Asp注入Asp解密機ASP木馬aspbackdoorJsp木馬注入jspcmdPerl注入perlcmdPhp注入phpcmd等級保護生命周期等級保護生命周期等級測評等級測評2.5等級測評配套工具等級測評等級測評等級測評工程啟動信息收集與分析工具和表單準備目標系統(tǒng)信息探測測評對象確定測評指標確定測評工具接入點確定測評內(nèi)容確定測評實施手冊開發(fā)測評方案編制測評實施準備現(xiàn)場測評和結(jié)果記錄結(jié)果確認和資料歸還單項測評結(jié)果判定單項測評結(jié)果匯總分析系統(tǒng)整體測評分析綜合測評結(jié)論形成測評報告編制安全功能深度測試專項掃描工具滲透測試工具單項測評結(jié)果分析單元測評結(jié)果分析安全配置信息獲取報告文檔生成報告文檔生成報告文檔生成報告文檔生成信息管理信息管理信息管理性能測試工具信息管理等保測評工具序號工具備注1等保測評工具定制開發(fā)，兼容等級測評流程，信息處理與信息管理并重2脆弱性掃描工具啟明天鏡、Nmap、Nessus、X-Scan、中科網(wǎng)威漏洞掃描、天融信漏洞掃描、數(shù)據(jù)庫安全掃描、應用安全掃描3安全配置獲取工具安全配置獲取腳本、微軟基線分析工具4網(wǎng)絡信息獲取工具網(wǎng)絡拓撲發(fā)現(xiàn)工具（第三方開源）、防火墻安全策略可視化工具、安全審計管理工具4管理評估工具定制開發(fā)管理評估類工具5安全功能驗證工具研究性質(zhì)原型工具，例如：強制訪問控制功能測試工具、安全策略一致性檢驗工具6性能測試工具IXIA性能測試儀7滲透測試工具口令破解、遠程掃描、遠程注入、漏洞利用，可以使用的任何攻擊性質(zhì)工具安全基線測評模式：

標準符合性測評

安全隱患排查

風險量化評估

安全狀況檢查報告模版庫項目信息管理表單方案生成測評數(shù)據(jù)獲取單項測評分析單元測評分析風險分析整體測評分析等級測評報告測評方案生成測評標準庫測評方法庫測評信息庫拓撲發(fā)現(xiàn)工具脆弱性掃描工具配置檢查工具性能測試儀滲透測試工具網(wǎng)絡信息平安信息節(jié)點信息GB/T22239-2008《信息系統(tǒng)安全等級保護基本要求》GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》《信息系統(tǒng)安全等級保護測評要求》《信息系統(tǒng)安全等級保護測評過程指南》平安威脅脆弱性技術(shù)原理舉例：強制訪問控制功能測評強訪機制存在與否強訪身份鑒別強訪主客體粒度強訪主客體覆蓋范圍能力覆蓋范圍策略有效性強訪策略存儲加密強訪審計模擬仿真驗證強訪測評指標強訪測評關(guān)鍵技術(shù)（策略有效性）日志庫提取策略信息提取強訪審計信息有效提取信息組合有效性判斷日志相關(guān)主客體還原主客體相關(guān)訪問實現(xiàn)性判斷日志結(jié)果記錄與判斷結(jié)果比對強訪測評關(guān)鍵技術(shù)（策略有效性）隨機抽取帶敏感標記主客體模擬強訪的訪問規(guī)則判定生成測試用例進行操作帶有等級改變情況下判定程序模擬結(jié)果與實際操作結(jié)果比對強訪測評關(guān)鍵技術(shù)（模擬仿真驗證）審計策略提取主客體信息提取訪問策略提取等級改變策略提取強訪仿真驗證訪問用例生成強訪程序仿真強訪實現(xiàn)驗證元素描述標準強訪模擬仿真結(jié)果滿足信息系統(tǒng)平安等級保護標準的合規(guī)性流程管理---?信息系統(tǒng)平安等級保護測評過程指南?測評標準---?信息系統(tǒng)平安等級保護根本要求?測評方法---?信息系統(tǒng)平安等級保護測評要求?自動化文檔支持等保測評方案文檔等級測評方案測評作業(yè)指導書等級測評報告各類統(tǒng)計報表三、平安測評業(yè)務實踐3.1信息系統(tǒng)等級測評定義政策要求系統(tǒng)定級規(guī)劃設計安全運維集成實施等級測評系統(tǒng)終止定級指南基本要求方案指南實施指南測評準則測評流程基本要求方案指南實施指南措施調(diào)整等級變更系統(tǒng)調(diào)查系統(tǒng)定級定級報告定級備案安全需求分析安全策略設計解決方案設計安全建設規(guī)劃安全產(chǎn)品采購技術(shù)措施實施管理措施實施安全建設集成安全評估加固安全狀態(tài)監(jiān)控安全應急響應安全持續(xù)改進測評準備方案編制現(xiàn)場測評報告編制等級保護標準建設實施流程各階段工作等級測評測評準則測評流程測評準備方案編制現(xiàn)場測評報告編制工作環(huán)節(jié)訪談－通過與信息系統(tǒng)用戶〔個人/群體〕進行交流、討論等活動，獲取相關(guān)證據(jù)證明信息系統(tǒng)平安保護措施是否落實的一種方法。檢查－通過對測評對象〔設備、文檔、現(xiàn)場等〕進行觀察、查驗、分析等活動，獲取相關(guān)證據(jù)證明信息系統(tǒng)平安保護措施是否有效的一種方法。測試－利用預定的方法/工具使測評對象產(chǎn)生特定的行為活動，查看輸出結(jié)果與預期結(jié)果的差異，以獲取證據(jù)證明信息系統(tǒng)平安保護措施是否有效的一種方法。測評工作方式工作方式測評對象工具說明訪談人員調(diào)查問卷、管理核查表主要針對信息安全主管、信息系統(tǒng)安全管理員、系統(tǒng)管理員、網(wǎng)絡管理員、資產(chǎn)管理員等檢查文檔、環(huán)境、設備、機制各類核查表測試設備、機制掃描檢測工具、網(wǎng)絡協(xié)議分析儀、滲透工具可進行安全功能測試、性能測試或滲透測試測評強度測評流程測評準備階段工作內(nèi)容項目內(nèi)容工作詳細內(nèi)容成果輸出實施周期項目啟動1.組建測評項目組向用戶提交

《項目計劃書》

《提供資料清單》一周2.編制《項目計劃書》3.確定測評委托單位應提供的資料信息收集分析

1.定級報告分析《系統(tǒng)基本情況分析報告》2.整理調(diào)查表單3.發(fā)放調(diào)查表單給測評委托單位4.協(xié)助測評委托單位填寫調(diào)查表5.收回調(diào)查結(jié)果6.分析調(diào)查結(jié)查工具和表單準備1.調(diào)試測評工具確定測評工具（測評工具清單）

《現(xiàn)場測評授權(quán)書》

《測評結(jié)果記錄表》

《文檔交接單》2.模擬被測系統(tǒng)搭建測評環(huán)境3.模擬測評4.準備打印表單現(xiàn)狀調(diào)研表單方案編制階段工作內(nèi)容項目工作內(nèi)容工作詳細任務輸出成果實施周期一、測評對象確認識別被測系統(tǒng)等級《測評方案》的測評對象部分兩天識別被測系統(tǒng)的整體結(jié)構(gòu)識別被測系統(tǒng)的邊界識別被測系統(tǒng)的網(wǎng)絡區(qū)域識別被測系統(tǒng)的重要節(jié)點和業(yè)務應用確定測評對象二、測評指標確定識別被測系統(tǒng)業(yè)務信息和系統(tǒng)服務安全保護等級《測評方案》的測評指標部分選擇對應等級的ASG三類安全要求作為測評指標就高原則調(diào)整多個定級對象共用的某些物理安全或管理安全測評指標三、工具測試點確定確定工具測試的測評對象《測評方案》的測試工具接入點部分選擇測試路徑確定測試工具的接入點四、測試內(nèi)容確定識別每個測評對象對象的測評指標《測評方案》的單項測評實施和系統(tǒng)測評實施部分三天識別每個測評對象對應的每個測試指標的測試方法五、測評指導書開發(fā)從已有的測評指導書中選擇與測評對象對應的手冊《測評方案》的測評實施手冊部分針對沒有現(xiàn)成測評指導書的測評對象，開發(fā)新的測評指導書六、測評方案編制描述測評項目基本情況和工作依據(jù)向用戶提交

《測評方案》兩天描述被測系統(tǒng)的整體結(jié)構(gòu)、邊界和網(wǎng)絡區(qū)域描述被測系統(tǒng)的重要節(jié)點和業(yè)務應用描述測評指標描述測評對象描述測評內(nèi)容和方法測評方案與測評指導書現(xiàn)場測評過程管理內(nèi)容項目工作內(nèi)容工作詳細任務輸出實施周期1.現(xiàn)場測評準備現(xiàn)場測評授權(quán)書簽署會議記錄、確認的授權(quán)委托書、更新后的測評計劃和測評方案二天召開現(xiàn)場測評啟動會雙方確認測評方案雙方確認配合人員、環(huán)境等資源確認信息系統(tǒng)已經(jīng)備份測評方案、結(jié)構(gòu)記錄表格等資料更新2.現(xiàn)場測評和結(jié)構(gòu)記錄依據(jù)測評指導書實施測評訪談結(jié)果：技術(shù)安全和管理安全測評的測評結(jié)果記錄或錄音

文檔審查結(jié)果：管理安全測評的測評結(jié)果記錄

配置檢查結(jié)果：技術(shù)安全測評的網(wǎng)絡、主機、應用測評結(jié)果記錄表格

工具測試結(jié)果：技術(shù)安全測評的網(wǎng)絡、主機、應用測評結(jié)果記錄，工具測試完成后的電子輸出記錄，備份的測試結(jié)果文件

實地察看結(jié)果：技術(shù)安全測評的物理安全和管理安全測評結(jié)果記錄

測評結(jié)果確認：現(xiàn)場核查中發(fā)現(xiàn)的問題匯總、證據(jù)和證據(jù)源記錄、被測單位的書面認可文件一周記錄測評獲取的證據(jù)、資料等信息匯總測評記錄，如果需要，實施補充測評3.結(jié)果確認和資料歸還召開現(xiàn)場測評結(jié)束會測評委托單位確認測評過程中獲取的證據(jù)和資料的正確性，并簽字認可測評人員歸還借閱的各種資料測評結(jié)果表單測評報告編制過程管理內(nèi)容項目工作內(nèi)容工作詳細任務工作依據(jù)（模版)實施周期1.單項測評結(jié)果判定分析測評項所對抗威脅的存在情況等級測評報告的單項測評結(jié)果部分五天分析單個測評項是否有多方面的要求內(nèi)容，依據(jù)“優(yōu)勢證據(jù)”法選擇優(yōu)勢證據(jù)，并將優(yōu)勢證據(jù)與預期測評結(jié)果相比較綜合判定單個測評項的測評結(jié)果2.單元測評結(jié)果判定匯總每個測評對象在每個測評單元的單項測評結(jié)果等級測評報告的單項測評結(jié)果匯總分析部分判定每個測評對象的單元測評結(jié)果3.整體測評分析不符合和部分符合的測評項與其他測評項（包括單元內(nèi)、層面間、區(qū)域間）之間的關(guān)聯(lián)關(guān)系及對結(jié)果的影響情況等級測評報告的系統(tǒng)整體測評分析部分分析被測系統(tǒng)整體結(jié)構(gòu)的安全性對結(jié)果的影響情況4.風險分析整體測評后的單項測評結(jié)果再次匯總等級測評報告的風險分析部分分析部分符合項或不符合項所產(chǎn)生的安全問題被威脅利用的可能性分析威脅利用安全問題后造成的影響程度為被測系統(tǒng)面臨的風險驚醒賦值評價風險分析結(jié)果5.等級測評結(jié)論形成統(tǒng)計再次匯總后的單項測評結(jié)果為部分符合和不符合項的項數(shù)等級測評報告的等級測評結(jié)論部分形成等級測評結(jié)論6.測評報告編制概述測評項目情況等級測評報告

提交用戶兩天描述被測系統(tǒng)情況描述測評范圍和方法描述整體測評情況匯總測評結(jié)果描述風險情況給出等級測評結(jié)論和整改建議等級測評報告單項與單元測評

序號測評對象測評指標測評指標1測評指標2測評指標31對象1

（或×）符合項數(shù)/在對象1上測評的測評指標1包含的測評項總數(shù)2對象23對象3小計符合項數(shù)/在上述對象上測評的測評指標1包含的測評項總數(shù)注：“

”表示“符合”，“

”表示部分符合，“×”表示“不符合”，“N/A”表示“不適用”。整體測評

整體測評

序號安全控制測評對象單項判定不符合項能否進行關(guān)聯(lián)互補說明1測評指標1對象1對象2。。。2測評指標1對象1。。。。。。。。。。。。項目小計測評結(jié)果匯總

序號安全分類安全子類符合情況符合部分符合不符合1物理安全物理位置的選擇ü2物理訪問控制ü3防盜竊和防破壞ü4防雷擊ü5防火ü6防水和防潮ü7防靜電ü8溫濕度控制ü9電力供應ü10電磁防護ü………………統(tǒng)計721風險分析

序號問題描述關(guān)聯(lián)資產(chǎn)關(guān)聯(lián)威脅風險值風險評價一二三…

重點針對單項測評中的不符合項進行風險分析測評結(jié)論

測評結(jié)論判別依據(jù)符合等級測評結(jié)果中不存在部分符合項或不符合項基本符合等級測評結(jié)果中存在部分符合項或不符合項，但不會導致信息系統(tǒng)面臨高等級安全風險不符合等級測評結(jié)果中存在部分符合項或不符合項，導致信息系統(tǒng)面臨高等級安全風險幫助用戶單位準確了解信息系統(tǒng)平安現(xiàn)狀,識別平安風險；在平安事故發(fā)生之前防止、減少或轉(zhuǎn)移風險，確保系統(tǒng)平安；為用戶信息平安決策和管理，包括進一步的平安規(guī)劃、建設、運維提供依據(jù)；滿足國家信息平安相關(guān)政策、法規(guī)和標準的要求。3.2信息平安風險評估目標和作用風險評估的開展風險產(chǎn)生的原因風險評估要素風險評估內(nèi)容

問卷調(diào)查人員訪談文檔審查

……

配置檢查現(xiàn)場核查平安漏洞檢查滲透性測試……

管理核查風險評估手段風險評估流程現(xiàn)狀調(diào)研階段調(diào)研項目調(diào)研重點關(guān)注內(nèi)容調(diào)研成果機房環(huán)境調(diào)研機房進出登記記錄，機柜上鎖，顯示器鎖屏，線纜編號，機柜前后距離《機房資產(chǎn)調(diào)研表》網(wǎng)絡資產(chǎn)調(diào)研依據(jù)甲方提供的網(wǎng)絡資產(chǎn)清單表與拓撲核實網(wǎng)絡設備物理位置與邏輯連接《網(wǎng)絡資產(chǎn)調(diào)研表》主機資產(chǎn)調(diào)研依據(jù)甲方提供的主機資產(chǎn)清單表核實主機設備物理位置與邏輯連接《主機資產(chǎn)調(diào)研表》應用業(yè)務調(diào)研業(yè)務內(nèi)容，應用情況，使用現(xiàn)狀，物理及邏輯連接《應用資產(chǎn)調(diào)研表》管理制度調(diào)研人員訪談的方式完成各問卷的調(diào)研工作，核查用戶管理制度文檔，列出管理制度文檔主機目錄結(jié)構(gòu)

《管理核查問卷》

《技術(shù)核查問卷》

《人員資產(chǎn)調(diào)研表》

《網(wǎng)絡整體安全評估表》

《服務器整體安全評估表》現(xiàn)場評估階段評估項目評估重點工作內(nèi)容與工作方式調(diào)研成果主機配置檢查依據(jù)主機配置評估表與操作手冊，結(jié)合利用主機配置提取腳本完成主機系統(tǒng)的評估

（系統(tǒng)配置抓圖與腳本工具配置提?。吨鳈C評估表單》《重要問題列表》網(wǎng)絡配置檢查依據(jù)甲方提供的設備配置文檔，利用網(wǎng)絡設備評估表分析設備安全狀況（安全設備配置抓圖）《網(wǎng)絡設備評估表單》《重要問題列表》系統(tǒng)漏洞掃描對主機系統(tǒng)實施現(xiàn)場掃描（單線程）《主機漏洞掃描報告》管理制度核查與主機、網(wǎng)絡配置檢查人員配合，識別管理制度的現(xiàn)狀核查，發(fā)現(xiàn)管理脆弱性，識別安全防護措施的有效性《脆弱性問題匯總報告》資產(chǎn)分析平安防護措施有效性分析脆弱性分析威脅分析風險值計算報告編寫階段資產(chǎn)價值脆弱性嚴重程度威脅發(fā)生頻率平安事件的損失平安事件可能性風險值風險值計算風險值1-67-1213-1819-2324-25風險等級12345風險值計算由于在對資產(chǎn)價值、脆弱性嚴重程度、威脅發(fā)生頻率進行賦值時，是根據(jù)GB20984中推薦的5級方法進行賦值，所以各項資產(chǎn)的風險值為1-25之間的數(shù)值。把所有風險值劃分為5個等級。對所有資產(chǎn)的風險值進行比較，給出柱狀圖，界定中高風險資產(chǎn)，以輔助被評估方?jīng)Q定進行有針對性整改。3.3信息系統(tǒng)滲透測試識別系統(tǒng)被入侵的可能性；發(fā)現(xiàn)系統(tǒng)存在的平安隱患；驗證系統(tǒng)現(xiàn)在平安措施的防護強度；在入侵者發(fā)起攻擊前封堵可能被利用的攻擊途徑。滲透測試目標黑箱測試〔“zero-knowledgetesting〞〕

滲透者完全處于對系統(tǒng)一無所知的狀態(tài)。通常這種類型的測試其最初的信息來自DNS、Web、Email及各種公開對外的效勞器。白盒測試

測試者可以通過正常渠道向被測單位取得各種資料，包括網(wǎng)絡拓撲、員工資料甚至網(wǎng)站或其他程序的代碼片段，也能與單位其他員工進行面對面的溝通，這類測試的目的是模擬企業(yè)內(nèi)部雇員的越權(quán)操作。隱秘測試隱秘是針對被測單位而言的。通常，接受滲透測試的單位網(wǎng)絡管理部門會收到通知：在某些時間段進行測試。因此能夠檢測網(wǎng)絡中出現(xiàn)的變化。但在隱秘測試中，被測單位也僅有極少數(shù)人知曉測試的存在，因此能夠有效地檢驗單位中的信息平安事件監(jiān)控、響應、恢復工作做得是否到位。滲透測試分類滲透測試對象滲透測試位置滲透測試流程四、第一測評實驗室簡介電力行業(yè)采取測試、評審別離的工作模式開展工作電力行業(yè)信息平安等級保護測評中心電監(jiān)會公安部認可華北電力大學與中科院軟件所（信息安全共性技術(shù)國家工程研究中心）聯(lián)合成立的實驗室公安部信息安全等級保護評估中心業(yè)務指導管理第一測評實驗室定位第一測評實驗室主營業(yè)務第一測評實驗室能力介紹實驗室能力質(zhì)量管理能力標準性保證能力組織管理能力測評實施能力設施和設備能力4.1組織管理能力組織架構(gòu)4.1組織管理能力一、質(zhì)量手冊Q/EISE-QM9000-2021質(zhì)量手冊二、程序文件清單編號名稱Q/EISE-QP401-2021文件控制程序Q/EISE-QP402-2021質(zhì)量記錄的控制程序Q/EISE-QP501-2021管理評審控制程序Q/EISE-QP601-2021人力資源控制程序Q/EISE-QP701-2021信息平安效勞控制程序Q/EISE-QP801-2021內(nèi)部審核控制程序Q/EISE-QP802-2021不合格品控制程序Q/EISE-QP803-2021改進控制程序三、管理制度清單編號名稱RL001-2021保密管理制度RL002-2021