【信息安全等级保护资讯网】专注网络安全等级保护,欢迎您的光临!
等级保护咨询电话:13865983726
信息安全等级保护资讯网
了解最新等级保护动态及等保资讯
等保测评
等保测评 您的位置:首页>等保测评 >
渗透测试在网络安全等级保护测评中的应用
时间:2021-04-14阅读量:2696来源:转载关键词:等保测评 渗透测试 返回列表
网络安全等级保护制度是落实国家网络安全法要求的重要措施之一伴随着信息技术的飞速发展新的安全漏洞层出不穷导致信息系统存在的安全隐患越来越多因此,等级保护测评过程中如何及时准确地发现系统存在的安全风险成为非常迫切的需求渗透测试模拟攻击者的思维采用手动或技术成熟的工具对被测系统的安全性进行全面评估从而最大程度地发现系统存在的安全隐患成为等级保护测评中一个必不可少的重要环节

1.渗透测试概述
1.1渗透测试在等保测评中的必要性
201761中华人民共和国网络安全法正式实施明确要求国内运营的信息系统须实施等级保护制度使等级保护制度成为国家基本制度并上升到法律层面在等级保护的基本要求中虽没有相应的技术标准对信息系统抗渗透能力做明确规定,但针对定级为第三级及以上的信息系统,在基本要求的安全技术层面对系统抵御大规模恶意攻击能力非法入侵检测与防御能力抗恶意代码攻击能力安全事件应急响应及监控等能力做了详细要求同时在安全管理层面要求信息系统须经过公正的第三方安全测试才能上线运行
鉴于上述条件约束被测信息系统若未进行渗透测试则无法满足等级保护相关要求渗透测试在等保测评中的实施一方面检查并验证被测信息系统存在的安全漏洞提供切实可行的修复建议另一方面有助于等级保护测评质量的提升
1.2渗透测试原理
渗透测试主要依据业界公布的或测试人员掌握的安全漏洞信息,采用攻击者的思维方式通过工具或手工方式对目标的应用主机网络数据库等安全性进行深入探测发现系统最脆弱的环节的过程渗透测试一个重要的原则,即所有的测试行为必须在用户的书面明确授权和监督下进行,经授权的渗透测试目的是真实全面地发现信息系统存在的脆弱性并验证其可用不再进行后续渗透操作(如植入后门等) 。因此,一般不会对信息系统造成危害和损失
1.3渗透测试流程
通渗透测试一般包括测试准备信息探测、测试实施报告编制四个阶段。
 (1测试准备阶段 :在获取到单位的书面授权许可后开始渗透测试的实施将实施范围方法工具时间人员等具体方案与单位进行交流沟通可能存在 的测试风险并得到单位的认可整个测试过程都在 单位的监督和控制下进行
(2信息探测阶段:渗透测试过程中根据规定的测试范围收集信息系统相关信息可采用一些商业或开源的安全评估工具进行收集,并对探测到的端口、服务、IP、DNS、OS等信息进行整理,为下一步测试实施阶段提供支撑。
(3测试实施阶段:渗透测试人员对探测到的信息进行分析通过制定渗透策略“准备攻击代码”研究绕过机制等步骤进行测试实施路径主要包括内网和外网两种:

    • 内网测试:从内网发起对信息系统的测试工作目的是避开防火墙等设备的安全防护措施此阶段如能成功可能获得普通用户权限然后通过提权等操作获取系统的最高权限以被控制的服务器作为跳板从而对其他目标进一步渗透测试

    • 外网测试:直接通过互联网对信息系统进行渗透测试操作流程与内网测试类似

(4报告编制阶段:实施人员分析测试结果编写系统渗透测试报告主要包括具体测试结果漏洞结果评估及整改建议等内容
1.4 渗透测试的风险规避
渗透测试是动态变化的测试过程仍可能对应用主机网络等正常运行带来一定的影响为了最大程度上避免测试过程对业务运行造成影响需要实施风险规避的策略具体如下:
(1方案评审:双方签署渗透测试委托书制定并评审渗透测试方案得到双方的认可
(2时间策略:选择合适的测试时间如选择夜间或业务量不高的时间段进行测试,,最大程度上避免测试过程对业务造成影响同时预留风险排除时间 
(3)攻击策略:选择对于实时性要求高的核心业务系统不建议做深入测试测试人员可对结果做分析推测而不验证危险的操作
(4系统备份和恢复:在测试实施前需对被测系统做完整备份当出现问题时可及时恢复针对核心业务系统建议对备份系统进行渗透测试
(5应急策略:当被测系统出现中断响应缓慢等问题时需及时停止测试工作配合被测单位进行故障处置在故障处理完毕后经单位授权才能继续进行剩余的测试
(6沟通策略:双方建立关系人联络表确定接口人对测试过程中出现的问题及时沟通并确保沟通有效
1.5渗透测试工具介绍
在渗透测试过程中测试人员使用操作系统自带网络应用诊断工具或开源及商业软件以及自行开发的安全扫描工具这些工具在技术上已经非常成熟具有高度安全和可控性并能根据测试者的实际要求进行有针对性的测试但安全工具本身也是一把双刃剑需针对系统可能出现的问题提出相应对策以确保在渗透测试的过程中保持在可控状态 
2渗透测试实施
 本文通过一个实例来说明渗透测试是如何在等保测评中实施的在某单位等保三级系统测评中需对用户的WEB系统进行渗透测试以验证信息系统的整体安全防护水平
2.1方案制定
渗透测试小组根据信息系统的规模和实际业务情况制定详细的渗透测试方案,包括制定合理的渗透测试计划选择适当的测试方法充分准备测试工具,分析测试过程中可能带来的风险和相应的风险规避方法等
2.2信息收集
渗透测试人员使用多种系统或工具收集工作,包括信息信息收系统烧苗等,经扫描发现系统开放的端口。针对这些服务从系统层面和WEB层面进行分析,发现系统存在文件共享、远程接入、SQL注入、XML注入等漏洞,为下一步的漏洞利用提供基础
另外针对信息收集阶段的测试方法测试内容及可能存在的风险做了应急处置策略 
2.3测试实施
根据获取的漏洞信息结合信息系统的特点异构性等方面对漏洞进行确认并制定渗透测试策略获取的信息发现高危漏洞,尝试直接利用高危漏洞验证是否可用
2.4报告输出
渗透测试完成后测试人员整理工作内容和成果根据发现的安全漏洞和安全风险提出系统存在的问题并有针对性的提出问题整改建议,形成渗透测试报告》。


Copyright © 2020-2021 信息安全等级保护资讯网 All Rights Reserved. 备案号码:皖ICP备19012162号-3
本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。