網絡安全工程師考試試題?按照測評的目标,網絡安全測評可分為三種類型:,下面我們就來聊聊關于網絡安全工程師考試試題?接下來我們就一起去了解一下吧!
按照測評的目标,網絡安全測評可分為三種類型:
1.網絡信息系統安全等級測評
網絡信息系統安全等級測評是測評機構依據國家網絡安全等級保護相關法律法規,按照有關管理規範和技術标準,對非涉及國家秘密的網絡信息系統的安全等級保護狀況進行檢測評估的活動
2.網絡信息系統安全驗收測評
網絡信息系統安全驗收測評是依據相關政策文件要求,遵循公開、公平和公正原則,根據用戶申請的項目驗收目标和驗收範圍,結合項目安全建設方案的實現目标和考核指标,對項目實施狀況進行安全測試和評估,評價該項目是否滿足安全驗收要求中的各項安全技術指标和安全考核目标,為系統整體驗收和下一步的安全規劃提供參考依據
3.網絡信息系統安全風險測評
網絡信息系統安全風險測評是從風險管理角度,評估系統面臨的威脅以及脆弱性導緻安全事件的可能性,并結合安全事件所涉及的資産價值來判斷安全事件一旦發生對系統造成的影響,提出有針對性的抵禦威脅的方法措施,将風險控制在可接受的範圍内,達到系統穩定運行的目的,為保證信息系統的安全建設、穩定運行提供技術參考。
網絡信息系統安全風險測評從技術和管理兩方面進行,主要内容
依據網絡信息系統構成的要素,網絡安全測評可分成兩大類型:
按照網絡安全測評的實施方式,測評主要包括
1.安全功能檢測
安全功能檢測依據網絡信息系統的安全目标和設計要求,對信息系統的安全功能實現狀況進行評估,檢查安全功能是否滿足目标和設計要求。
主要方法
2.安全管理檢測
安全管理檢測依據網絡信息系統的管理目标,檢查分析管理要素及機制的安全狀況,評估安全管理是否滿足信息系統的安全管理目标要求。
主要方法
3.代碼安全審查
代碼安全審查是對定制開發的應用程序源代碼進行靜态安全掃描和審查,識别可能導緻安全問題的編碼缺陷和漏洞的過程
4.安全滲透測試
通過模拟黑客對目标系統進行滲透測試,發現、分析并驗證其存在的主機安全漏洞、敏感信息洩露、SQL 注入漏洞、跨站腳本漏洞及弱口令等安全隐患,評估系統抗攻擊能力,提出安全加固建議。
5.信息系統攻擊測試
根據用戶提出的各種攻擊性測試要求,分析應用系統現有防護設備及技術,确定攻擊測試方案和測試内容;采用專用的測試設備及測試軟件對應用系統的抗攻擊能力進行測試,出具相應測試報告。
測試指标包括防禦攻擊的種類與能力,如拒絕服務攻擊、惡意代碼攻擊 等。
按照測評對象的保密性質,網絡安全測評可分為兩種類型:
1.涉密信息系統測評
涉密信息系統測評是依據國家保密标準,從風險評估的角度,運用科學的分析方法和有效的技術手段,通過對涉密信息系統所面臨的威脅及其存在的脆弱性進行分析,發現系統存在的安全保密隐患和風險,同時提出有針對性的防護策略和保障措施,為國家保密工作部門對涉密信息系統的行政審批提供科學的依據。
2.非涉密信息系統測評
涉密信息系統測評是依據公開的國家信息安全标準、行業标準、信息安全規範或業務信息安全需求,利用網絡信息安全技術方法和工具,分析信息系統面臨的網絡安全威脅及存在的安全隐患,綜合給出網絡安全狀況評估和改進建議,以指導相關部門的信息安全建設和保障工作。
學習參考資料:
信息安全工程師教程(第二版)
建群網培信息安全工程師系列視頻教程
信息安全工程師5天修煉
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!