一、技术分类
可用于等级测评的测评技术分成以下三类:
检查技术:检查信息系统、配套制度文档、设备设施,并发现相关规程和策略中安全漏洞的测评技术。通常采用手动方式,主要包括文档检查、日志检查、规则集检查、系统配置检查、文件完整性检查、密码检查等。
识别和分析技术:识别系统、端口、服务以及潜在安全性漏洞的测评技术。这些技术可以手动执行,也可使用自动化的工具,主要包括网络嗅探、网络端口和服务识别、漏洞扫描、无线扫描等。
漏洞验证技术:验证漏洞存在性的测评技术。基于检查、目标识别和分析结果,针对性地采取手动执行或使用自动化的工具,主要包括口令破解、渗透测试、远程访问测试等,对可能存在的安全漏洞进行验证确认,获得证据。
二、技术选择
当选择和确定用于等级测评活动的技术方法时,考虑的因素主要包括但不限于测评对象.测评技术适用性.、测评技术对测评对象可能引入的安全风险,以选择合适的技术方法。
当所选择的技术方法在实施过程中可能对测评对象产生影响时,宜优先考虑对与测评对象的生产系统相同配置的非生产系统进行测试,在非业务运营时间进行测试或在业务运营时间仅使用风险可控的技术方法进行测试,以尽量减少对测评对象业务的影响。
实施技术测评后产生的测评结果可用于对测评对象进行威胁分析、改进建议的提出及结果报告的生成等,具体参见附录A。