用wireshark、sniffer等软件来进行数据保密性测试。
2．2．2主机安全测评
根据相关国家标准主机安全测评包含8个主要环节，分别为身份鉴别、自主访问控制、强制访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制。主机安全测评的3种主要手段是安全访谈调研、主机安全现场检查、主机安全措施有效性测试。
2．2．3网络安全测评
网络安全测评的主要方面也可以归结为8个环节，即结构安全与网段划分、网络访问控制、拨号访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护。测评方法也是对上述8个方面，利用访谈、检查和测试等手段进行分析。
2．2．4应用安全测评
从目前信息系统安全漏洞统计来看，应用服务漏洞比例占据了80％。应用服务是整个信息系统的灵魂。伴随着应用服务功能的多样化，其存在的漏洞可能性就越多，因此应用安全测评是整个系统安全测评的重中之重。应用服务安全常规的测评对象主要由以下9个环节组成，分别是身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制。对于以上内容的测评方式，可以采用前期访谈分析、现场检查应用配置安全和工具检测测评等手段。
2．3系统整体测评
系统整体测评，以安全控制测评为基础，主要测评分析信息系统的整体安伞性，系统整体测评涉及到信息系统的整体拓扑、局部结构，也关系到信息系统的具体安全功能实现和安全控制配置，与特定信息系统的实际情况紧密相关，内容复杂且充满系统个性。
安全控制间安全测评是指测评分析在同一区域和层面内两个或者两个以上不同安全控制之间由于存在连接、交互、依赖、协调、协同等相互关联关系而产生的安全功能增强、补充或削弱等关联作用对信息系统整体安全保护能力的影响。
层面间安全测评是指测评分析在同一区域内两个或者两个以上不同层面之间由于存在连接、交互、依赖、协调、协同等相互关联关系而产生的安全功能增强、补充或削弱等关联作用对信息系统安全保护能力的影响。
区域间安全测评是指测评分析两个或者两个以上不同物理逻辑区域之问由于存在连接、交互、依赖、协调、协同等相互关联关系产生的安全功能增强、补充或削弱等关联作用对信息系统安伞保护能力的影响。
全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评工程师应根据特定信息系统的具体情况，在安全控制测评的基础上，重点考虑不同安全控制之间、安全层而之间以及不同安全区域之间的相互关联关系，发掘这些因素之间相互影响和带来的安全漏洞。在本文中我们以渗透测试为例来阐述系统整体测评。渗透测试可以通过某一个安全区域(或安全控制或安全层面)为立足点，通过获取操作权限，占领主机并以此为跳板渗透到其他区域(或安全控制或安全层面)，因此渗透测试不失为系统整体测试的一种好方法。
渗透测试(penetration test)作为一种非常规测评方法，任得到授权后，以黑客使用的工具、技术和攻击手段为主，对目标网络和应用系统等进行非破坏性入侵，使用不影响业务系统正常运行的攻击方法进行的测试，从而发现系统存在的安全隐患，检验业务系统的安全防护措施是否有效，各项安全策略是否得到贯彻落实。
渗透测试的过程是一个层叠、循序渐进的过程，其测试手段具备多样化、偶然性、累积性、针对性强的特点。
渗透测试的实施过程分为如下：
如表1所示。
渗透测试作为安全测评中的一项重要环节，其意义主要有如下两种：
(1)凸现最严重的安伞问题。渗透测试通过各种手段搜集获取的信息池，分析建立系统薄弱环节，通过利用漏洞达到入侵目的，验证了系统严重的安全问题。
(2)突出信息安全测评重要性。渗透测试以最直观的形式，以即在事实证据向被评估单位提供安全漏洞的潜在威胁风险，起到震撼效果，消除了部分人员对安全测评工作重要性轻视和质疑。
2．4“人一机合一”
我们在测评过程中发现有些被测评方的管理人员和技术人员对操作系统安全配置不屑一顾，他们没有认识到信息安全遵循的“木桶原理”，即系统安全与否主要取决于“最短板”。不法人员往往就是利用系统的短板来进行攻击和渗透。因此在测评过程中应该与被测评方进行充分有效的沟通和交流，这样我们的安全防范能力才能有所提高。
3结语
信息网络安全技术测砰是电子政务系统安全测评的重要手段，许多安全控制项都必须借助于技术手段来实现，但是单独依靠技术测评还不能全面系统的分析电子政务系统的安全。实践经验证明，仅有安全技术防范，而无严格的安全管理体系是难以保障系统的安全的。因此在测评中我们必须对被测评方制订的一系列安全管理制度进行测评。信息安全管理的测评可以单独进行也可以穿插到技术测评当中。
随着信息技术的发展，信息安全测评工程师面临越来越多的挑战，为提高测评能力和效率，应充分的发挥主观能动性，利用各种现有的各种安全测试工具，开发安全测试工具、报告生成工具等。信息安全测评机构以及电子政务系统的运行、维护方必须共同努力，为我国的信息化发展保驾护航

上一页  [1] [2]