网络安全工程师考试试题（软考-信息安全工程师学习笔记83）

1.网络信息系统安全等级测评

网络信息系统安全等级测评是测评机构依据国家网络安全等级保护相关法律法规，按照有关管理规范和技术标准，对非涉及国家秘密的网络信息系统的安全等级保护状况进行检测评估的活动

2.网络信息系统安全验收测评

网络信息系统安全验收测评是依据相关政策文件要求，遵循公开、公平和公正原则，根据用户申请的项目验收目标和验收范围，结合项目安全建设方案的实现目标和考核指标，对项目实施状况进行安全测试和评估，评价该项目是否满足安全验收要求中的各项安全技术指标和安全考核目标，为系统整体验收和下一步的安全规划提供参考依据

3.网络信息系统安全风险测评

网络信息系统安全风险测评是从风险管理角度，评估系统面临的威胁以及脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对系统造成的影响，提出有针对性的抵御威胁的方法措施，将风险控制在可接受的范围内，达到系统稳定运行的目的，为保证信息系统的安全建设、稳定运行提供技术参考。

网络信息系统安全风险测评从技术和管理两方面进行，主要内容

依据网络信息系统构成的要素，网络安全测评可分成两大类型：

按照网络安全测评的实施方式，测评主要包括

1.安全功能检测

安全功能检测依据网络信息系统的安全目标和设计要求，对信息系统的安全功能实现状况进行评估，检查安全功能是否满足目标和设计要求。

主要方法

2.安全管理检测

安全管理检测依据网络信息系统的管理目标，检查分析管理要素及机制的安全状况，评估安全管理是否满足信息系统的安全管理目标要求。

主要方法

3.代码安全审查

代码安全审查是对定制开发的应用程序源代码进行静态安全扫描和审查，识别可能导致安全问题的编码缺陷和漏洞的过程

4.安全渗透测试

通过模拟黑客对目标系统进行渗透测试，发现、分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL 注入漏洞、跨站脚本漏洞及弱口令等安全隐患，评估系统抗攻击能力，提出安全加固建议。

5.信息系统攻击测试

根据用户提出的各种攻击性测试要求，分析应用系统现有防护设备及技术，确定攻击测试方案和测试内容；采用专用的测试设备及测试软件对应用系统的抗攻击能力进行测试，出具相应测试报告。

测试指标包括防御攻击的种类与能力，如拒绝服务攻击、恶意代码攻击 等。

按照测评对象的保密性质，网络安全测评可分为两种类型：

1.涉密信息系统测评

涉密信息系统测评是依据国家保密标准，从风险评估的角度，运用科学的分析方法和有效的技术手段，通过对涉密信息系统所面临的威胁及其存在的脆弱性进行分析，发现系统存在的安全保密隐患和风险，同时提出有针对性的防护策略和保障措施，为国家保密工作部门对涉密信息系统的行政审批提供科学的依据。

2.非涉密信息系统测评

涉密信息系统测评是依据公开的国家信息安全标准、行业标准、信息安全规范或业务信息安全需求，利用网络信息安全技术方法和工具，分析信息系统面临的网络安全威胁及存在的安全隐患，综合给出网络安全状况评估和改进建议，以指导相关部门的信息安全建设和保障工作。

学习参考资料：

信息安全工程师教程（第二版）

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼