网络安全测评的类型。基于评估目标的分类。网络信息系统安全等级评估(根据网络安全等

级保护2.0标准，对不涉及国家秘密的网络信息系统的等级保护状态进行测试和评估)网络信息

系统安全验收评估(根据验收目标和范围，结合实现目标和评估指标，进行安全测试和评估)网

络信息系统安全风险评估(技术+管理，内容:系统调查、资产分析、威胁分析、技术与管理漏洞

分析、安全功能测试、风险分析、出具风险评估报告、提出安全建议)

 

 

 

基于测评内容的分类。技术安全评估:物理环境、网络通信、操作系统、数据库系统、应用系统

、存储系统。管理安全评价:管理组织、管理体系、管理流程、人员管理、体系建设、体系运行

维护。基于实现的分类。安全功能检测(访谈研究、现场检查、文档审查、社会工程、漏洞扫描

、渗透测试、正式分析)安全管理测试(访谈调查、现场检查、文件审查、安全基线比较、社会工

程)代码安全审查(静态安全扫描，审查)安全渗透测试(验证主机安全漏洞、敏感信息泄露、SQL

注入漏洞、跨站点脚本漏洞和弱密码漏洞)信息系统攻击测试(指标:防御攻击的类型和能力)

 

 

基于评价对象保密性的分类。分类信息系统评价。非涉密信息系统评估。

 

 

网络安全测评流程和内容。网络安全等级保护评估流程及内容。网络安全渗透测试流程及内容

。委托验收阶段。(签署:《保密协议》和《网络信息系统渗透测试合同》)准备阶段。(确定日期

、人员、范围和计划；签署“网络信息系统渗透测试用户授权表”)

 

实施阶段。(实施、整理数据，形成《网络信息系统渗透测试报告》)综合评价阶段。(《网络信

息系统渗透测试报告》，召开评审会议，可复试)收尾阶段。(归档)

 

 

 

 

网络安全评估技术和工具。漏洞扫描。安全渗透试验。黑盒模型(只需要提供测试目标地址，

授权团队从测试点开始测试)白盒模型(提供尽可能详细的目标对象信息，制定计划，并进行高

级别渗透)灰盒模型(提供部分测试对象信息，根据获取的信息模拟不同级别的威胁渗透，适用

于手机银行和代码安全测试)代码安全性审查。代码安全缺陷:缓冲区溢出、代码注入、跨站点

脚本、输入验证、API误用、密码管理、配置错误、危险功能。代码:CERTC/C++/Java安全

编码标准，ISO/gosor24772，CWE，OWASPTOP10。