¿Cuáles son las categorías de las evaluaciones de ciberseguridad?
1. Clasificación basada en los objetivos de la evaluación
1 La evaluación del nivel de seguridad del sistema de información de la red se basa en las leyes nacionales de protección del nivel de seguridad de la red. regulaciones y especificaciones de gestión relacionadas, normas técnicas y actividades para detectar y evaluar el estado de protección del nivel de seguridad de los sistemas de información que no involucran secretos de estado.
La evaluación del nivel de seguridad del sistema de información de la red detecta y evalúa principalmente si el sistema de información cumple con los requisitos del nivel de seguridad establecido en términos de tecnología de seguridad y gestión de seguridad.
2. La evaluación de la aceptación de la seguridad del sistema de información de la red se basa en los requisitos de los documentos de políticas relevantes, siguiendo los principios de apertura, equidad y justicia, y en los objetivos de aceptación del proyecto y el alcance de aceptación aplicado por el usuario. , combinado con el plan de construcción de seguridad del proyecto, objetivos e indicadores de evaluación, y realizar pruebas de seguridad y evaluación del estado de implementación del proyecto.
3. La evaluación de riesgos de seguridad del sistema de información de la red consiste en evaluar la posibilidad de incidentes de seguridad causados por amenazas y vulnerabilidades que enfrenta el sistema desde la perspectiva de la gestión de riesgos, y juzgar el impacto en el sistema una vez que se haya alcanzado la seguridad. El incidente ocurre en función del valor de los activos involucrados en el impacto de seguridad, controlando así el riesgo dentro de un rango aceptable y logrando el propósito de un funcionamiento estable del sistema.
En segundo lugar, clasificación basada en el contenido de la evaluación
Según los elementos de los sistemas de información de la red, la evaluación de la seguridad de la red se puede dividir en dos tipos: evaluación de la seguridad técnica y evaluación de la seguridad de la gestión. Entre ellos, la evaluación de la seguridad técnica incluye principalmente pruebas de seguridad y evaluación del entorno físico, comunicaciones de red, sistemas operativos, sistemas de bases de datos, sistemas de aplicaciones, sistemas de almacenamiento y datos y otras tecnologías relacionadas.
Tercero, clasificación basada en la implementación
1. Detección de funciones de seguridad, según los objetivos de seguridad y los requisitos de diseño del sistema de información de la red, evalúa e inspecciona el estado de implementación de las funciones de seguridad. del sistema de información Si las características de seguridad cumplen con los objetivos y requisitos de diseño.
2. Detección de la gestión de seguridad: de acuerdo con los objetivos de gestión del sistema de información de la red, inspeccionar y analizar el estado de seguridad de los elementos y mecanismos de gestión, y evaluar si la gestión de seguridad cumple con los requisitos de la gestión de seguridad del sistema de información. objetivos. Los métodos principales incluyen: encuesta por entrevista, inspección in situ, revisión de literatura, comparación de líneas de base de seguridad, ingeniería social, etc.
3. La revisión de seguridad del código es el proceso de escaneo de seguridad estático y revisión del código fuente de la aplicación personalizada para identificar fallas y vulnerabilidades de codificación que pueden generar problemas de seguridad.
4. Pruebas de penetración de seguridad: realice pruebas de penetración en el sistema de destino simulando piratas informáticos para descubrir, analizar y verificar riesgos de seguridad, como vulnerabilidades de seguridad del host, fugas de información confidencial, vulnerabilidades de inyección SQL y secuencias de comandos entre sitios. vulnerabilidades y contraseñas débiles, evaluar la capacidad del sistema para resistir ataques y proponer recomendaciones de refuerzo de seguridad.
5. Pruebas de ataques al sistema de información: de acuerdo con varios requisitos de pruebas ofensivas presentados por los usuarios, analice los equipos y tecnologías de protección existentes del sistema de aplicaciones, determine el plan de pruebas de ataques y utilice equipos de pruebas especializados; y El software de prueba prueba la capacidad antiataque del sistema de aplicación y emite los informes de prueba correspondientes.