按照合规、标准对其进行测评
    采用技术+管理获取安全状况

    测评对象:信息系统的组成要素+自身
    CC标准有两个: 功能标准和保证标准
    51CTO: ISO27001适合中国等保三级。
    推荐标准GB/T 18386:
    1.简介一般模型
    2.安全功能要求
    3.安全保证要求

    测评按目标分三类:
    1.等级测评
    2.验收测评
    3.风险测评
    测评按内容分两类:
    1.技术安全测评
    2.管理安全测评
    这两个是信息系统的组成要素
    测评按实施分五类:
    1.安全功能检测
    2.安全管理检测
    3.代码安全审查
    4.安全渗透
    5.攻击测试
    受测对象密级: 涉密 和 非涉密

    等级测评=技术安全测评+管理安全测评
    四个内容:准备、方案编制、现场测评、报告编制

    渗透测试过程:委托受理、准备、实施、评估、结题
    漏扫或渗透(信息收集、测试、利用、后渗透)

    代码审查:按照C、Java、OWASP等安全编程规范对源码或二进制代码审查
    常见类型:溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数等

    协议分析:用wirshark等工具,检测协议是否真如所说
    性能:抗压测试,DDOS啥的

    ISO27001/ISO 9000等保测评