返回
GBT36627-2018信息安全技术 网络安全等级保护测试评估技术指南-征求意见稿

GBT36627-2018信息安全技术 网络安全等级保护测试评估技术指南-征求意见稿

ID:35195829

大小:898.50 KB

页数:18页

时间:2019-03-21

GBT36627-2018信息安全技术 网络安全等级保护测试评估技术指南-征求意见稿_第1页
GBT36627-2018信息安全技术 网络安全等级保护测试评估技术指南-征求意见稿_第2页
GBT36627-2018信息安全技术 网络安全等级保护测试评估技术指南-征求意见稿_第3页
GBT36627-2018信息安全技术 网络安全等级保护测试评估技术指南-征求意见稿_第4页
GBT36627-2018信息安全技术 网络安全等级保护测试评估技术指南-征求意见稿_第5页
资源描述:

《GBT36627-2018信息安全技术 网络安全等级保护测试评估技术指南-征求意见稿》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、ICS35.040L80中华人民共和国国家标准GB/TXXXX—XXXX 信息安全技术网络安全等级保护测试评估技术指南Informationsecuritytechnology—TestingandevaluationtechnologyguideforCybersecurityClassifiedProtection(本稿完成日期:2016年9月8日)XXXX-XX-XX发布XXXX-XX-XX实施GB/TXXXXX—XXXX目次前言II引言III1范围12规范性引用文件13术语和定义14等级测评过程与方法概述24.1

2、规划阶段24.2方案编制阶段24.3测评执行阶段24.4分析与报告编制阶段25等级等级测评技术概述35.1等级测评技术分类35.2等级测评技术选择36等级测评技术实现36.1检查技术36.2目标识别和分析技术56.3目标漏洞验证技术6附录A9A.1渗透测试阶段9A.2渗透测试方案10参考文献12IIIGB/TXXXXX—XXXX前言本标准按照GB/T1.1—2009给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:公安部计算机信息系统安全产品质量监督检验中心、公安部信息

3、安全等级保护评估中心、公安部第三研究所、中国信息安全研究院有限公司、中国电子技术标准化研究所、中国信息安全认证中心、国家信息技术安全研究中心。本标准主要起草人:。IIIGB/TXXXXX—XXXX引言本标准为实现重要信息系统的安全等级测评提供技术指导。目前信息系统等级保护相关的测评标准主要有GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》(以下简称《测评要求》)和GB/T28449-2012《信息安全技术信息系统安全等级保护

4、测评过程指南》(以下简称《测评过程指南》)等。其中GB/T22239-2008是系统等级保护测评的基础性标准,GB/T28448-2012是针对GB/T22239-2008中的要求,提出了不同安全等级信息系统的测评要求;GB/T28449-2012主要规定了信息系统安全等级保护测评工作的测评过程。本标准与《测评要求》和《测评过程指南》的区别在于:《测评要求》主要描述了各级信息系统单元测评的具体测评要求和测评流程,《测评过程指南》则主要对等级测评的活动、工作任务以及每项任务的输入/输出产品等提出指导性建议,二者均未涉及安全

5、测评中具体的测试方法和技术;本标准对信息系统安全测评中的相关测评技术进行明确的分类和定义,系统地归纳并阐述系统测评的技术方法,概述技术性安全测试和评估的关键要素,重点放在具体技术的实现功能、原则等,并提出建议供使用。因此本标准在应用于系统等级保护测评时可作为对《测评要求》和《测评过程指南》的补充。如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。IIIGB/TXXXXX—XXXX信息安全技术网络安全等级保护测试评估技术指南1 范围本标准面向等级保护测评人员、系统和网络管理员,及其他负责系统安全技术的技术人员,规定

6、了信息系统安全等级测评过程中现场测评阶段涉及的相关技术。本标准适用于测评机构、信息系统的主管部门及运营使用单位对重要信息系统的安全等级测评,为信息系统的安全等级测评工作的技术规范性提供方法依据。管理者也可以利用本标准提供的信息,促进与信息系统安全等级保护测试评估相关的技术决策过程。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB17859-1999计算机信息系统安全保护等级划分准则GB/T20

7、271-2006信息安全技术信息系统安全通用技术要求GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T25069-2010信息安全技术术语3 术语和定义GB/T17859-1999、GB/T20271-2006、GB/T22239-2008和GB/T25069-2010界定的以及下列术语和定义适用于本文件。3.1 测评对象testingobject等级保护测评实施的对象,即测评过程中涉及到的信息系统、制度文档、网络基础设施及其安全配置和相关人员等。3.2 网络嗅探networksniffer一种

8、监视网络通信、解码协议,并对关注的信息头部和有效载荷进行检查的被动技术,同时也是一种目标识别和分析技术。3.3 规则集ruleset一种用于比较网络流量或系统活动以决定响应措施(如发送或拒绝一个数据包,创建一个告警,或允许一个系统事件)的规则的集合。3.4 11GB/TXXXXX—XXXX检查技术reviewtech

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。