基於測評目標分類

按照測評的目標，網絡安全測評可分為三種類型：

• 網絡信息系統安全等級測評
• 網絡信息系統安全驗收測評
• 網絡信息系統安全風險測評

1.網絡信息系統安全等級測評

網絡信息系統安全等級測評是測評機構依據國家網絡安全等級保護相關法律法規，按照有關管理規範和技術標準，對非涉及國家秘密的網絡信息系統的安全等級保護狀況進行檢測評估的活動

2.網絡信息系統安全驗收測評

網絡信息系統安全驗收測評是依據相關政策文件要求，遵循公開、公平和公正原則，根據用戶申請的項目驗收目標和驗收範圍，結合項目安全建設方案的實現目標和考核指標，對項目實施狀況進行安全測試和評估，評價該項目是否滿足安全驗收要求中的各項安全技術指標和安全考核目標，為系統整體驗收和下一步的安全規劃提供參考依據

3.網絡信息系統安全風險測評

網絡信息系統安全風險測評是從風險管理角度，評估系統面臨的威脅以及脆弱性導致安全事件的可能性，並結合安全事件所涉及的資產價值來判斷安全事件一旦發生對系統造成的影響，提出有針對性的抵禦威脅的方法措施，將風險控制在可接受的範圍內，達到系統穩定運行的目的，為保證信息系統的安全建設、穩定運行提供技術參考。

網絡信息系統安全風險測評從技術和管理兩方面進行，主要內容

• 系統調查
• 資產分析
• 威脅分析
• 技術及管理脆弱性分析
• 安全功能測試風險分析
• 出具風險評估報告
• 提出安全建議

基於測評內容分類

依據網絡信息系統構成的要素，網絡安全測評可分成兩大類型：

• 技術安全測評：包括物理環境、網絡通信、作業系統、資料庫系統、應用系統、數據及存儲系統等相關技術方面的安全性測試和評估
• 管理安全測評：包括管理機構、管理制度、管理流程、人員管理、系統建設、系統運維等方面的安全性評估

基於實施方式分類

按照網絡安全測評的實施方式，測評主要包括

• 安全功能檢測
• 安全管理檢測
• 代碼安全審查
• 安全滲透
• 信息系統攻擊測試

1.安全功能檢測

安全功能檢測依據網絡信息系統的安全目標和設計要求，對信息系統的安全功能實現狀況進行評估，檢查安全功能是否滿足目標和設計要求。

主要方法

• 訪談調研
• 現場查看
• 文檔審查
• 社會工程
• 漏洞掃描
• 滲透測試
• 形式化分析驗證

2.安全管理檢測

安全管理檢測依據網絡信息系統的管理目標，檢查分析管理要素及機制的安全狀況，評估安全管理是否滿足信息系統的安全管理目標要求。

主要方法

• 訪談調研
• 現場查看
• 文檔審查
• 安全基線對比
• 社會工程

3.代碼安全審查

代碼安全審查是對定製開發的應用程式原始碼進行靜態安全掃描和審查，識別可能導致安全問題的編碼缺陷和漏洞的過程

4.安全滲透測試

通過模擬黑客對目標系統進行滲透測試，發現、分析並驗證其存在的主機安全漏洞、敏感信息泄露、SQL 注入漏洞、跨站腳本漏洞及弱口令等安全隱患，評估系統抗攻擊能力，提出安全加固建議。

5.信息系統攻擊測試

根據用戶提出的各種攻擊性測試要求，分析應用系統現有防護設備及技術，確定攻擊測試方案和測試內容；採用專用的測試設備及測試軟體對應用系統的抗攻擊能力進行測試，出具相應測試報告。

測試指標包括防禦攻擊的種類與能力，如拒絕服務攻擊、惡意代碼攻擊 等。

基於測評對象保密性分類

按照測評對象的保密性質，網絡安全測評可分為兩種類型：

• 涉密信息系統安全測評
• 非涉密信息系統安全測評

1.涉密信息系統測評

涉密信息系統測評是依據國家保密標準，從風險評估的角度，運用科學的分析方法和有效的技術手段，通過對涉密信息系統所面臨的威脅及其存在的脆弱性進行分析，發現系統存在的安全保密隱患和風險，同時提出有針對性的防護策略和保障措施，為國家保密工作部門對涉密信息系統的行政審批提供科學的依據。

2.非涉密信息系統測評

涉密信息系統測評是依據公開的國家信息安全標準、行業標準、信息安全規範或業務信息安全需求，利用網絡信息安全技術方法和工具，分析信息系統面臨的網絡安全威脅及存在的安全隱患，綜合給出網絡安全狀況評估和改進建議，以指導相關部門的信息安全建設和保障工作。

學習參考資料：

信息安全工程師教程（第二版）

建群網培信息安全工程師系列視頻教程

信息安全工程師5天修煉