网络安全测评是指参照一定的标准规范要求，通过一系列的技术和管理方法，获取评估对象的网络安全状况信息，对其给出相应的网络安全情况综合判定。网络安全测评对象通常包括信息系统的组成要素或信息系统自身。

CC 标准提出了“保护轮廓”概念，将评估过程分为“功能”和“保证”两部分，是目前最全面的信息技术安全评估标准。

我国发布了《计算机信息系统安全保护等级划分准则》(GB 17859一1999)，将计算机信息系统安全保护能力划分为5 个等级：第一级是用户自主保护级；第二级是系统审计保护级；第三级是安全标记保护级；第四级是结构化保护级；第五级是访问验证保护级。

1||| 网络信息系统安全等级测评

2||| 网络信息系统安全验收测评

3||| 网络信息系统安全风险测评

1||| 技术安全测评

2||| 管理安全测评

1||| 安全功能检测

2||| 安全管理检测

3||| 代码安全审查

4||| 安全渗透测试

5||| 信息系统攻击测试

1||| 涉密信息系统测评

2||| 非涉密信息系统测评

网络信息系统安全等级测评主要包括技术安全测评、管理安全测评。其中，技术安全测评的主要内容有安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；管理安全测评的主要内容有安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

根据网络安全等级保护2.0标准规范，网络信息系统安全等级测评过程包括测评准备活动、方案编制活动、现场测评活动和报告编制活动四个基本测评活动。

1||| 委托受理阶段

2||| 准备阶段

3||| 实施阶段

4||| 综合评估阶段

5||| 结题阶段

略...

模拟攻击者对测评对象进行安全攻击

安全渗透测试可以分为三种类型

对测评对象的源代码或二进制代码进行安全符合性检查。典型的代码安全缺陷类型有缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数等。

用于检测协议的安全性。常见的网络协议分析工具有TCPDump、Wireshark。

检查测评对象的承载性能压力或安全对性能的影响。

网络安全测评质量管理是测评可信的基础性工作，网络安全测评质量管理工作主要包括测评机构建立质量管理体系、测评实施人员管理、测评实施设备管理、测评实施方法管理、测评实施文件控制、测评非符合性工作控制、体系运行监督、持续改进。目前，有关测评机构的质量管理体系的建立主要参考的国际标准是IS09000。

中国合格评定国家认可委员会（简称CNAS）负责对认证机构、实验室和检查机构等相关单位的认可工作，对申请认可的机构的质量管理体系技术能力分别进行确认。

略