等级测评的方法有哪些?
大家好,今天想跟大家简单介绍一下等级测评中常用的方法有哪些。我总结了以下三点。
·第一种方法是访谈。举个例子,在管理制度中,要求必须有机房安全管理制度。那么,我就会去访谈你是否有这些管理制度,包括数据安全管理制度。我还需要去访谈你是否有数据安全管理制度。这个访谈比较简单。
·第二种方法是检查。检查主要用于网络设备、安全设备、主机数据库、中间键、应用系统等方面,例如身份鉴别、身份验证、登录策略等。
例如,在登录应用系统时,我需要通过用户名和口令登录。同时,我还需要配置登录超时策略和登录失败处理策略。
·第三种方法是访问控制。要检查系统管理员和审计管理员的权限是否分开,是否分离。同时,安全审计中是否开启了自身安全审计策略等。
·第四种方法是测试。测试包括两个方面,一是漏洞扫描,二是渗透测试。漏洞扫描主要用于网络安全设备、主机Windows和类Linux操作系统中是否存在高危漏洞。渗透测试主要用于应用系统层面,检查是否存在通用应用系统漏洞。这是三种检查方式。第三种测试是对第二步检查阶段发现的问题进行验证。这是三种方法。
