01 网络安全概述
自1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行安全等级保护以来,等级保护工作经过了近25年的发展历程,成为了我国网络安全保护的重要举措之一。
而与之伴随的则是网络安全与信息技术的飞速发展带来的层出不穷的新漏洞与攻击手段。
为应对这些新的挑战与要求,在等级保护测评过程中合理应用渗透测试手段,成了及时发现系统存在的安全风险、验证网络安全等级保护基本要求的防护能力、落实网络安全法对于网络的安全防护要求的一个重要举措。
02 渗透测试概述
渗透测试指由测试人员通过模拟黑客的真实攻击手段,结合掌握的漏洞信息、攻击方法、攻击策略等,对目标系统采用工具和人工的方式进行分析和利用的过程。
在这个过程中,测试人员会灵活运用所掌握的方式,以发现通过单一工具测试、漏洞扫描等自动化检测手段难以检测到的、可以被利用的"系统脆弱性",因此对于工具测试是一种更全面和更准确的补充。
同时又由于渗透测试通常是基于授权的黑盒或灰盒测试,因此又具有危害低的特点。
03 渗透测试流程
1、现场授权在等级保护测评的准备阶段,测评项目组会连同等级保护现场测评组,向被测单位申请渗透测试的授权,以确定在此次项目实施的过程中是否开展渗透测试工作,若不开展则要求被测单位出具《自愿放弃验证测试声明》; 2、信息收集在对被测系统开展测试工作之前,通过收集等级保护测评相关信息、公开信息查询等方式,对被测系统的网络构成、资产构成等信息进行收集和整理,以便后续开展渗透测试; 3、测试实施根据前期收集到的信息和授权书中约定的时间,正式开展渗透测试,包含了人工测试和工具测试,可以从等级保护方案中约定的不同接入点进行渗透测试,作为工具测试的补充和验证; 4、风险分析根据测试过程中发现的系统弱点以及利用的难易程度进行风险分析,并与等级保护相关测评项关联起来,对等级保护测评进行一定程度地补充; 5、报告编制整理前期的工作内容,编制《渗透测试报告》。
04 等级保护测评中渗透测试实施
1、对被测网站及服务器造成异常运行或停机的可能; 2、被测网站和服务器的数据处理速度可能会减慢; 3、网络的处理能力和传输速度可能会减慢; 4、可能会产生少部分测试数据。为最大程度规避上述风险,可以采取以下规避措施: 4.1 渗透测试实施前,制订测试方案与策略,经过双方协商和确认后签订测试授权,并提前做好被测系统备份工作以及应急处置的准备工作; 4.2 渗透测试期间,选择合适的测试时间,并安排运维人员实时监控网站运行情况,及时对出现的异常问题进行记录和处置,尽可能减少渗透测试对正常业务运行造成的影响; 4.3 对于攻击策略,应当尽量选择危害性较小的操作,只验证漏洞的存在或只进行非危害性利用,而不对文件、数据和原有配置进行操作,同时尽量避免采用DDoS等对被测系统带来极大压力的测试方法; 4.4 渗透测试实施后,测试人员确认清理测试数据及残留后门程序等,并确认网站运行恢复正常,与被测系统运维人员确认后签署测试结束确认单。
05 渗透测试对等级测评结论的影响
06 结论