第4章信息系统安全测评方法课件.pptx

第四章 信息系统安全测评方法,主要内容,4.1 测评流程及方法4.2 测评对象及内容4.3 测评工具与接入测试4.4 信息系统安全测评风险分析与规避4.5 常见问题及处置建议,测评分类,信息系统安全测评分为自测评（即自查）和检查测评两种：自查：由本单位自行开展，也可委托第三方机构进行。检查测评：需要由有信息系统安全测评资质和条件的测评机构完成，检查后要出具测评报告。根据管理办法和标准的要求，达到一定安全级别的信息系统（如等级保护三级以上系统）必须强制定期进行信息系统安全测评。,4.1.1 测评流程,GB/T 284492012信息系统安全等级保护测评过程指南将等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。,测评准备活动：,测评准备活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。这一阶段的主要任务是掌握被测系统的详细情况，为实施测评做好文档及测试工具等方面的准备。具体包括项目启动、信息收集与分析、工具和表单准备三个过程。,方案编制活动：,主要是整理测评准备活动中获取的信息系统相关资料，为现场测评活动提供最基本的文档和指导方案。主要包括确定测评对象、确定测评指标、确定测试工具接入点、确定测试内容、测评实施手册开发、测评方案制定。,现场测评活动：,与被测单位进行沟通和协调，依据测评方案实施现场测评工作，将测评方案和测评工具等具体落实到现场测评活动中，取得分析与报告编制活动所需的、足够的证据和资料。具体包括现场测评准备、现场测评和结果记录、结果确认和资料归还。,分析与报告编制活动：,在现场测评工作结束后，测评机构应对现场测评获得的测评结果（或称测评证据）进行汇总分析，形成等级测评结论，并编制测评报告。该阶段主要包括单项测评结果判定、单项测评结果汇总分析、系统整体测评分析、综合测评结论形成及测评报告编制。,4.1.2 测评方法,1访谈访谈是指测评人员通过引导信息系统相关人员进行有目的（有针对性）的交流，以帮助测评人员理解、澄清或取得证据的过程。,访谈对象,访谈的对象是被查信息系统的工作人员，典型的包括系统三员，即系统管理员、安全管理员、系统审计员。除此三员外，有的单位还设置了信息安全主管、网络管理员、资产管理员等，这些人员也都是访谈对象。,2检查,检查是指测评人员通过对测评对象（如制度文档、各类设备等）进行观察、查验、分析，以帮助测评人员理解、澄清或取得证据的过程。,以主机安全检查为例：,在技术层面上，运用各种操作指令进行手工查看其访问控制、身份鉴别、网络连接、防火墙、防病毒等安全配置是否合理；在管理层面上，主要是对终端、服务器等各类主机对应的相关文档进行检查，对信息系统的相关管理制度、文档、记录进行有无及规范性检查。一般包括：管理职责、安全管理规章制度、安全知识、安全记录、安全报告等相关安全文件。,3测试,测试是指测评人员使用预定的方法或工具使测评对象（各类设备或安全配置）产生特定的结果，将运行结果与预期结果进行对比的过程。测试一般仅用于技术层面的测评对象，对管理不要求采用测试这种方法。,功能性测试,安全功能性测试是对系统的安全功能进行验证性测试，主要有：标识鉴别，审计，通信，密码支持，用户数据保护，安全管理，安全功能保护，资源利用，系统访问，可信路径/信道安全。,渗透测试,渗透测试主要针对系统的脆弱点，通过扫描工具对系统网络层、操作系统层、数据库和应用系统进行脆弱性扫描，必要时由测试人员手工对系统进行穿透性测试。,4.2 测评对象及内容,我国的安全测评标准主要包括测评基础、产品测评和系统测评三个子类。本节以基于等级保护的信息系统为例，介绍其安全测评对象及测评内容。,测评标准,GB/T284482012信息系统安全等级保护测评要求GB/T 284492012信息系统安全等级保护测评过程指南,单元测评,单元测评是等级测评工作的基本活动每个单元测评包括测评指标、测评实施和结果判定三部分。,整体测评,整体测评是在单元测评的基础上，通过进一步分析信息系统的整体安全性，对信息系统实施的综合安全测评。整体测评主要包括安全控制点间、层面间和区域间相互作用的安全测评，以及系统结构的安全测评等。,测评对象的确定是等保测评最基本的工作,在确定测评对象时，需遵循以下要求和方法： 恰当性，选择的设备、软件系统等应能满足相应等级的测评强度要求； 重要性，应抽查对被测系统来说重要的服务器、数据库和网络设备等； 安全性，应抽查对外暴露的网络边界； 共享性，应抽查共享设备和数据交换平台/设备； 代表性，抽查应尽量覆盖系统各种设备类型、操作系统类型、数据库系统类型和应用系统类型。,4.2.1 技术层安全测评对象及内容,信息系统安全等级保护技术测评对象包括五大类：物理安全、主机安全、网络安全、应用安全数据安全备份恢复,1物理安全, 身份鉴别：,也称为身份认证，是对用户或其他实体（如进程等）进行确认，判断其是否就是所声称的用户或实体的过程。身份鉴别一般依据实体“所知”，“所有”或“特征”三个因素来判断是否是所声称的实体。“所知”如口令、密码等；“所有”如U 盾，证书等；“特征”如虹膜、指纹等。在进行系统测评时，根据具体系统的身份鉴别的内容，通过“访谈”、“检查”、“测试”等手段测评该信息系统是否部署了与系统等级相符的认证方法。, 访问控制：,是指对用户的访问权进行管理，使得系统能为合法用户提供授权服务，非法的用户不能非授权使用资源或服务；同时，拒绝合法用户越权使用服务或资源。, 安全审计：,安全审计是对系统内重要用户行为、系统资源的异常和重要系统命令的使用等重要的安全相关事件进行记录，以便于查看违规、破坏等操作，防止系统被破坏。, 剩余信息保护：,剩余信息保护就是主机存储“敏感信息”的空间被释放或再分配给其他用户前，原来存储在该空间的重要信息需要得到完全清理。, 恶意代码防范：,通过采取恶意代码检测和查杀等方法，及时查找和消灭对系统、应用及文件等造成破坏的代码。, 资源控制：,限定系统内用户对系统资源的最大或最小使用限度，同时限定系统外部用户对系统资源的使用。资源控制与访问控制的区别在于：对内，资源控制更强调某个用户（或进程）所占用的资源不能过多，同时控制其对外访问的能力；对外，防止外部非法用户对系统实施拒绝服务攻击等强占系统资源的情况发生。,3网络安全,重点测评对象如下 整个系统的网络拓扑结构。 安全设备，如防火墙、入侵检测设备和防病毒网关等。 边界网络设备，包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等。 对整个信息系统或其局部的安全性起作用的网络互连设备，如核心交换机、汇聚层交换机、路由器等。,网络安全测评,GB/T 284482012信息系统安全等级保护测评要求第三级网络安全测评对象的具体测评单元和内容包括：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等。, 结构安全：了解整个系统的网络拓扑结构，从网络架构上把握网络基础设计建设是否合理、安全。, 边界完整性检查：,防止内部网络和外部网络之间的非法连接。包括对非授权设备私自内部网络的行为，以及内部用户私自外联到外部网络行为的监控和有效阻断等。, 入侵防范：,是指能够监视网络或网络设备的传输和运行行为，能够及时中断、调整或隔离一些不正常或是具有伤害性的行为。网络入侵防范的检测对象主要是入侵检测设备，了解入侵防范措施，检查入侵检测设备的防范范围是否恰当，配置是否合理，规则库是否最新，检测策略是否有效等。,4应用安全,GB/T 28448-2012信息系统安全等级保护测评要求第三级应用安全测评单元包括：身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制。, 剩余信息保护：,与主机安全测评原理相似，应用系统存储“敏感信息”的空间被释放或再分配给其他用户前，原来存储在该空间的重要信息需要得到完全清理。特别是用户登录系统操作后，在该用户退出后用另一用户登录，试图操作（读取、修改或删除等）其他用户产生的文件、目录和数据库记录等资源，查看操作是否成功，验证系统提供的剩余信息保护功能是否正确。, 资源控制：,其原理和思想与主机安全测评类似，但应用安全中的资源控制主要针对应用系统，具体包括：限制单个账户的多重并发会话，限制系统的最大并发会话连接数，根据安全策略设定主题的服务安全优秀级，根据优先级分配系统资源，查看是否对一个访问账户或一个请求进程占用的资源分配最大限额和最小限额等。,5数据安全及备份恢复,GB/T 284482012信息系统安全等级保护测评要求第三级数据安全及备份恢复测评单元包括数据完整性、数据保密性、备份恢复。,4.2.2 管理层安全测评对象及内容,根据GB/T 284482012信息系统安全等级保护测评要求，三级系统的安全管理测评类包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五部分。,测评对象,在整个管理层的测评对象都是两类，即人和制度。包括信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人，以及涉及信息系统安全的所有管理制度和记录。, 审核和检查,组织人员定期对信息系统进行全面安全检查，包括系统日常运行、系统漏洞和数据备份等情况，及时通报，并形成安全检查管理制度文档。,3人员安全管理,人员安全管理的测评内容包括：人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。,4系统建设管理,系统建设管理的测评内容包括系统建设全流程的实施和文档管理，具体包括：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、安全服务商选择。,5系统运维管理,系统运维管理的测评内容包括：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。,4.2.3 不同安全等级的测评对象,1第一级信息系统测评对象第一级信息系统的等级测评，测评对象的种类和数量比较少，重点抽查关键的设备、设施、人员和文档等。,4.2.4 不同安全等级测评指标对比,4.2.5 不同安全等级测评强度对比,4.3 测评工具与接入测试,工具测评，就是根据测评指导书，利用技术工具对系统进行测试，主要包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。针对主机、服务器、网络设备、安全设备等设备，主要进行漏洞扫描和性能测试；针对应用系统的完整性和保密性要求，进行协议分析；针对一般脆弱性和来自内部与外部的威胁，进行渗透测试。因此，测评工具也称测试工具。,4.3.1 测评工具,测试工具也可以从发现和解决问题的角度，分为安全问题发现类工具（如漏洞扫描工具、木马扫描工具）、安全问题分析与定位类工具（如网络协议分析工具、源代码安全审计工具）、安全问题验证类工具（如渗透测试工具）。,测评中不能过于依赖测试工具,一是有些测试工作如果完全使用测试工具的批量自动化处理功能，会非常耗时，从而影响测评时间进度；二是测试工具存在不同程度的误报、漏报和重报，特别是误报和重报容易影响测评的可信度；三是测试工具一般都只针对通用问题，大量的业务类、逻辑类问题是无法靠测试工具自动发现和解决的。,测评工具除了作为技术手段的测试工具，还包括安全配置检查工具、测评过程管理辅助工具、测评文档管理辅助工具、测评报告编写辅助工具。,必配工具,根据公安部信息安全等级保护测评工具选用指引，测评工具分为必配工具和选配工具。必须配置的测试工具包括： 漏洞扫描探测工具，包括网络安全漏洞扫描系统和数据库安全扫描系统； 木马检查工具，包括专用木马检查工具和进程查看与分析工具。,选用配置的测试工具包括：, 漏洞扫描探测工具 软件代码安全分析工具； 安全攻击仿真工具； 网络协议分析工具； 系统性能压力测试工具，包括网络性能压力测试工具和应用软件性能压力测试工具；, 网络拓扑生成工具； 物理安全测试工具，包括接地电阻测试仪和电磁屏蔽性能测试仪； 渗透测试工具； 安全配置检查工具； 等级保护测评管理工具。,4.3.2 漏洞扫描工具,包括主机漏洞扫描工具、远程系统扫描工具、网站安全检测工具、数据库系统安全检测工具、应用安全检测工具、恶意代码检测工具等,世界主流漏洞库, 美国国家漏洞数据库（National Vulnerability Database，NVD），漏洞编号格式为CVE-YYYY-XXXX，其中YYYY 为年份，XXXX 为当年漏洞序号。如著名的MS08-067 NetAPI32.dll 远程缓冲区溢出漏洞，其CVE 编号为 CVE-2008-4250。, 中国国家信息安全漏洞库（China National Vulnerability Database of Information Security，CNNVD），是由中国信息安全测评中心负责建设运维的国家级信息安全漏洞库。漏洞编号格式为CNNVD-YYYYMM-XXX，其中YYYY 为年份，MM 为月份，XXX 为当月漏洞编号。如MS08-067 NetAPI32.dll 远程缓冲区溢出漏洞， 其CNNVD 编号为CNNVD-200810-406。, 国家信息安全漏洞共享平台（China National Vulnerability Database，CNVD），是由国家计算机网络应急技术处理协调中心（CNCERT）联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。漏洞编号格式为CNVD-YYYY-XXXXX，其中YYYY 为年份，XXXXX 为当年漏洞序号。, 微软通常有2 个编号：安全公告MS 编号、KB 编号。安全公告是MSxx-xxx 命名，具体细节可以到http:/ 中查看。每个安全公告都对应一篇KB，就是KBxxxxxx。KB 是Knowledge Base（知识库）的简称。其指的是某个补丁对应微软知识库中哪一篇文章。例如，KB888111 就是对应知识库中888111 号文章。,1主机漏洞扫描工具,这里所称的主机漏洞扫描工具，指运行在本地主机，并对本地主机的文件、进程、内存、本机开放端口等进行安全扫描，以期发现本地主机脆弱性的测评工具。扫描对象主要是本地操作系统和中间件等。,基于主机的漏洞扫描工具通常采用C/S 结构。需要在目标系统上安装了一个客户端（Client），或称为代理（Agent）或服务（Services），以便在目标主机开机时自动启动，并且能够访问目标系统所有的文件与进程。每个目标系统上的客户端，都可以在出现安全警报时或定时向中央服务器反馈信息，也可以随时接受服务器的指令完成指定的扫描任务。中央服务器通过远程控制台对各目标主机及其客户端进行管理。,主机漏洞扫描工具需要安装部署到被测主机上，这通常不适合第三方测评人员使用，而更适合于自测评，即信息系统的运行使用单位在自己的主机上部署主机漏洞扫描工具，并配置为定时自动扫描或根据需要进行扫描。,2远程系统扫描工具,这里所称的远程系统扫描工具，是指无须在目标系统上部署任何程序就可以实现对目标系统的存活性、开放端口、操作系统类别及版本号、系统用途、存在的漏洞等进行扫描判断的工具。远程系统扫描工具，简称远程扫描器，通常可以对多个IP 地址或网段进行批量扫描，并报告其中存活的主机、开放的端口、系统类型等信息。典型的远程扫描工具是Nmap。,远程扫描器的工作原理是基于网络协议的，即通过向目标系统发送定制的数据包并监测目标系统的反应，从而做出判断。所以，远程扫描器的扫描结果实际上是一种猜测和推理。目标系统也可能会进行伪装欺骗，因而不可过于依赖远程扫描器的扫描结果。,远程扫描器不需要部署到目标系统上，这个特点使得它非常适合测评人员使用。测评人员可以利用远程扫描器进行系统网络拓扑结构、网络边界、子网划分、开放网络端口等多种探测，可以验证网络设备、安全设备、主机系统等的配置是否正确。,3网站安全检测工具,这里所称的网站安全检测工具，是指对远程网站的Web 服务容器、中间件、Web 应用等可能存在的漏洞进行自动化扫描并生成检测报告的软件工具。通过构造多种畸形Web 访问请求，根据服务器反馈信息来判断Web 应用程序是否存在安全漏洞。,明鉴WEB 应用弱点扫描器,明鉴WEB 应用弱点扫描器（MatriXay）就是一款典型的网站安全检测工具。MatriXay 6.0全面支持OWASP Top 10 检测，可以帮助用户充分了解Web 应用存在的安全隐患，改善并提升应用系统抗各类Web 应用攻击的能力（如注入攻击、跨站脚本、文件包含、钓鱼攻击、信息泄露、恶意编码、表单绕过等），协助用户满足等级保护、内控审计等规范要求。,4数据库安全检测工具,这里所称的数据库安全检测工具，主要是指由安全管理员或系统管理员对本地数据库系统进行的安全检测，以便发现数据库的脆弱点、不安全配置、弱口令、未安装的补丁等。通过授权或非授权模式，自动、深入地识别数据库系统中存在的多种安全隐患。,明鉴数据库漏洞扫描系统（DAS-DBScan）是一款典型的数据库安全检测工具。主要功能和特点如下。 提供全面、准确和最新的弱点知识库。 提供对数据库“弱点、不安全配置、弱口令、补丁”深层次安全检测。 支持主流的数据库包括Oracle、Misowsoft SQL Server、DB2、Informix、MySQL、Sybase、PostgreSQL、达梦、人大金仓等。 敏感数据探测 丰富的扫描报告,5应用安全检测工具,这里所称的应用安全检测工具，主要是指用于检测安装在本地的浏览器、办公软件、媒体播放软件、社交软件等操作系统之外的第三方应用软件安全漏洞的检测工具,6恶意代码检测工具,对病毒、木马、流氓软件等恶意代码的检测功能，通常也包含在主机安全检测工具或者防病毒软件中。,7等保综合检查工具,除了上述的专门工具以外，针对等级保护安全检测的需要，市场上出现了“等级保护安全检查工具箱”这样的一体化产品。如明鉴信息安全等级保护检查工具箱，是一款面向信息安全等级保护监管单位、测评机构、信息系统运营使用运营单位推出的用于等级保护合规监管、测评、自查专用软硬一体移动便携式装备。,明鉴信息安全等级保护检查工具箱,Windows 主机配置检查、Linux 主机配置检查、主机病毒检查、主机木马检查、网站恶意代码检查、网络设备与安全设备配置检查、弱口令检查、数据库安全检查、网站安全检查、系统漏洞检查、SQL 注入验证检查、网络设备信息侦测检查、Wi-Fi 安全检查工具、网站监测预警平台等。,4.3.3 协议分析工具,网络协议分析工具可用于分析网络数据包、了解相关数据包在产生和传输过程中的行为。常用工具有tcpdump、Sniffer Pro、Wireshark、福禄克分析仪等。,Wireshark,Wireshark 是非常流行的网络封包分析软件，功能十分强大，可以捕获各种网络封包，显示网络封包的详细信息。为了安全考虑，Wireshark 只能查看封包，而不能修改封包的内容，或者发送封包。,4.3.4 渗透测试工具,渗透测试是指渗透人员在不同的位置（比如从内网、从外网等位置）利用各种手段对某个特定网络进行测试，以期发现和挖掘系统中存在的漏洞，然后输出渗透测试报告，并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告，可以清晰知晓系统中存在的安全隐患和问题。,渗透测试需要以脆弱性扫描工具扫描的结果为基础信息，结合专用的渗透测试工具开展模拟探测和入侵，判断被非法访问者利用的可能性，从而进一步判断已知的脆弱性是否真正会给系统或网络带来影响。常见工具有流光、Fluxay、Pangolin、Canvas、SQLIer、SQL PowerInjector、SQLNinja、sqlmap、Metasploit、Burp Suite、Hydra 等,SQLmap,sqlmap 是一个用Python 编写的、开源的、自动化的SQL 注入工具，其主要功能是扫描、发现并利用给定的URL 的SQL 注入漏洞.目前支持的数据库包括MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase和SAP MaxDB,Metasploit,Metasploit 是一款开源的安全漏洞检测和利用平台和框架。Metasploit 框架可以从一个漏洞扫描程序导入数据，使用关于有漏洞主机的详细信息来发现可攻击漏洞，然后使用有效载荷对系统发起攻击。漏洞检测、漏洞利用和攻击载荷可以相互独立和协助，使得Metasploit 框架成为一种研究高危漏洞的途径。它集成了各平台上常见的溢出漏洞和流行的shellcode，并且不断更新。,4.3.5 性能测试工具,性能测试是通过自动化的测试工具，模拟多种正常、峰值和异常负载条件，来对系统的各项性能指标进行测试。性能测试包括负载测试和压力测试。,负载测试和压力测试,负载测试用于确定在各种工作负载下系统的性能，目标是测试当负载逐渐增加时，系统各项性能指标的变化情况。压力测试是通过确定一个系统的瓶颈或者不能接收的性能点，来获得系统能提供的最大服务级别的测试。,物理环境检测工具,物理环境检测工具也是一种特殊性能测试工具，是指信息系统的服务器、网络设备、数据存储器等的场所的电磁辐射等物理特性进行检测时所需的工具，如安捷伦的测试仪。,LoadRunner,LoadRunner 是一套预测系统行为和性能的工业标准级负载测试工具。通过 LoadRunner，可以在可控制的峰值负载条件下测试系统，以隔离和标识潜在的客户端、网络和服务器瓶颈。要生成负载，LoadRunner 将运行分布在网络中的数千个虚拟用户，通过使用最少的硬件资源，使这些虚拟用户提供一致的、可重复并可度量的负载，像实际用户一样使用应用程序。,4.3.6 日志分析工具,操作系统、Web 服务器和应用程序等，在运行过程中都会产生大量的日志记录，如系统日志、Web 日志等。通过分析这些记录，有助于发现安全威胁和攻击行为，因此日志分析对于安全防护非常重要。因为日志记录往往十分庞大，完全手工分析基本是不可能的，因此必须借助一些日志分析工具。,Log Parser,Log Parser 是微软公司出品的日志分析工具，它功能强大，使用简单，可以分析基于文本的日志文件、XML 文件、CSV（逗号分隔符）文件，以及操作系统的事件日志、注册表、文件系统、Active Directory 等。它可以像使用 SQL 语句一样查询分析这些数据，甚至可以把分析结果以各种图表的形式展现出来。,4.3.7 代码审计工具,代码安全审计工具指对源代码进行自动化安全审计的工具。源代码主要是指各种高级语言程序代码，尤其是各种Web 网站的代码。对源代码进行安全审计就是发现其中的漏洞，以便及时修补，防患于未然。,RIPS,在源代码的静态安全审计中，使用自动化工具代替人工漏洞挖掘，可以显著提高审计工作的效率。RIPS 是一款开源的，具有较强漏洞挖掘能力的自动化代码审计工具。它使用PHP 语言编写，用于静态审计PHP 代码的安全性,VCG,VCG（Visual Code Grepper）是一款支持C/C+、C#、VB、PHP、Java 和PL/SQL 的免费代码安全审计工具。它是一款基于字典的检测工具，功能简洁，易于使用。可以由用户自定义需要扫描的数据，对源代码中所有可能存在风险的函数和文本做一个快速的定位。,360 代码卫士,360 代码卫士是国内首款源代码审计商业化产品，包括源代码缺陷检测、合规检测、溯源检测三大检测功能同时360 代码卫士还可实现软件安全开发生命周期管理，与企业已有代码版本管理系统、缺陷管理系统、构建工具等对接，将源代码检测融入企业开发流程，实现软件源代码安全目标管理、自动化检测、差距分析、Bug 修复追踪等功能。,4.3.8 接入测试,测评工具接入点确定阶段，首先需要确定工具测试的测评对象。其次，要选择测试路径。然后，根据测试路径，确定测试工具接入点。,1.测试工具接在系统边界设备上,从被测系统边界外接入时，测试工具一般接在系统边界设备（通常为交换设备）上。在该点接入漏洞扫描器，扫描探测被测系统的主机、网络设备对外暴露的安全漏洞情况。在该接入点接入协议分析仪，可以捕获应用程序的网络数据包，查看其安全加密和完整性保护情况。在该接入点使用渗透测试工具集，试图利用被测试系统的主机或网络设备的安全漏洞，跨过系统边界，侵入被测系统主机或网络设备。,2.测试工具接在与被测对象不在同一网段的内部核心交换设备上,从系统内部与测评对象不同网段接入时，测试工具一般接在与被测对象不在同一网段的内部核心交换设备上。在该点接入扫描器，可以直接扫描测试内部各主机和网络设备对本单位其他不同网络所暴露的安全漏洞情况。在该接入点接入网络拓扑发现工具，可以探测信息系统的网络拓扑情况。,3. 测试工具接在与被测对象在同一网段的交换设备上,在系统内部与测评对象同一网段内接入时，测试工具一般接在与被测对象在同一网段的交换设备上。在该点接入扫描器，可以在本地直接测试各被测主机、网络设备对本地网络暴露的安全漏洞情况。一般来说，该点扫描探测出的漏洞数应该是最多的，它说明主机、网络设备在没有网络安全保护措施下的安全状况。如果该接入点所在网段有大量用户终端设备，则可以在该接入点接入非法外联检测设备，测试各终端设备是否出现过非法外联情况。,4.4 信息系统安全测评风险分析与规避,4.4.1 风险分析4.4.2 风险规避,4.4.1 风险分析,测试过程可能对目标系统的网络流量、主机性能、业务功能、业务数据等各方面造成负面的影响（例如，口令探测可能会造成的账号锁定等情况）。测评实施过程中，被测系统可能面临一定的风险。,可能面临的风险,1验证测试影响系统正常运行2工具测试影响系统正常运行3污染日志数据和业务数据4敏感信息泄露,4.4.2 风险规避,风险规避，是指要充分估计测评可能给被测系统带来的影响，向被测系统运营或使用单位揭示风险，要求其提前采取预防措施进行规避。同时，测评机构也应采取与测评委托单位签署委托测评协议、保密协议、现场测评授权书，要求测评委托单位进行系统备份、规范测评活动，及时与测评委托单位沟通等措施规避风险，尽量避免给被测系统和单位带来影响。,规避风险的措施, 要将测评风险书面告知被测系统相关人员； 对于测试过程中的关键步骤、重要证据，要及时利用抓图等取证工具取证； 对于测试过程中出现的异常情况（服务器出现故障、网络中断等等）要及时记录； 测试结束后，需要被测方人员确认被测系统状态正常并签字后离场。,测评行为应当规范, 测评过程应规范。包括：制定内部保密制度；制定过程控制制度；规定相关文档评审流程；指定专人负责保管等级测评的归档文件等。 测评人员行为应规范。包括：测评人员进入现场佩戴工作牌；使用测评专用的电脑和工具；严格按照测评指导书使用规范的测评技术进行测评；准确记录测评证据；不擅自评价测评结果；不将测评结果复制给非测评人员等。,4.5 常见问题及处置建议,4.5.1 测评对象选择4.5.2 测评方案编写4.5.3 测评行为管理,4.5.1 测评对象选择,测评对象选择的总体原则是，在测评种类和数量上逐级增多，覆盖面逐级全覆盖。 网络设备方面，主要是基于重要程度，从系统业务和网络安全角度出发。 机房物理安全测评对象，主要是指支持信息系统运行的设施环境，构成信息系统的硬件设备和介质。, 网络安全测评对象，主要是网络层面构成组件负责支撑信息系统进行网络互联，为信息系统各个构成组件进行安全通信传输，一般包括网络设备、连接线路及它们构成的网络拓扑等。, 系统安全测评对象，系统层面主要是指主机系统，构成组件有服务器、终端/工作站等计算机设备，包括它们的操作系统、数据库系统及其相关环境等。 应用安全测评对象包括商业现货业务应用系统、委托第三方定制开发业务应用系统、移动APP 等。, 数据安全对象，主要包括信息系统安全功能数据和用户数据。 管理人员包括安全主管，主机、应用、网络等安全管理员，机房管理员，文档管理员等。 文档测评对象包括管理文档（策略、制度、规程）、记录类（会议记录、运维记录）、其他类（机房验收证明等）。,4.5.2 测评方案编写,测评方案在编制和讨论评审时，要注意以下几点： 测评对象选择的合理性； 测评指标选择的准确性； 测试工具与手段先进、可溯源； 工具测试接入点及扫描路径的合理性及完备性； 测评内容合适； 风险点查找的全面性；, 风险规避措施的合理性及完备性； 时间计划与资源安排； 信息系统网络边界的确定； 测评对象选择原则的应用； 测试工具接入点的选择； 测评指导书的开发。,4.5.3 测评行为管理,