基于風(fēng)險評估的滲透測試方案的研究與實施.pdf

1、隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛，在帶來了前所未有的海量信息的同時，網(wǎng)絡(luò)的開放性和自由性面臨著更大的威脅，網(wǎng)絡(luò)信息的安全性變得日益重要起來，如何了解和評價信息安全現(xiàn)狀，提出信息系統(tǒng)的安全需求，選擇最佳的風(fēng)險控制措施，建立信息安全管理體系，制訂有效的安全策略成為了迫切的需求。風(fēng)險評估正成為了解網(wǎng)絡(luò)安全現(xiàn)狀、明確未來需求的重要部分。同時如何檢驗軟件工程中軟件生命周期(需求、設(shè)計、編碼、測試、維護)的各個流程的有

2、效性以及產(chǎn)品的安全性，彌補漏洞帶來的威脅和影響變得更加嚴(yán)峻，滲透測試作為真實了解網(wǎng)絡(luò)現(xiàn)狀和弱點的最有效方式，能有效的檢測漏洞和威脅，同時與風(fēng)險相關(guān)聯(lián)，能有效真實反映網(wǎng)絡(luò)現(xiàn)狀，減少設(shè)計、開發(fā)、測試、運營過程中帶來的風(fēng)險。 本文正是針對上述問題，把滲透測試與風(fēng)險評估相結(jié)合，從風(fēng)險角度來看滲透測試，以風(fēng)險評估中的滲透測試為重點，重要討論了滲透測試的主要技術(shù)，優(yōu)化了滲透測試流程和方案，并研究了滲透測試過程中可能存在的風(fēng)險以及風(fēng)險應(yīng)對措施

3、，最后并總結(jié)了滲透測試主要的工具。本文主要工作如下： 1)深入分析了隱藏規(guī)避技術(shù)，安全掃描技術(shù)，拒絕服務(wù)技術(shù)，緩沖區(qū)溢出技術(shù)，賬號口令破解技術(shù)，網(wǎng)絡(luò)監(jiān)聽技術(shù)，ARP欺騙技術(shù)，SQL注入技術(shù)以及跨站腳本，社會工程學(xué)，無線破解等常見滲透測試技術(shù)。 2)參考國際標(biāo)準(zhǔn)，認(rèn)真分析了目前的滲透測試流程，本文將滲透測試方案分為5個階段10個步驟：計劃和準(zhǔn)備階段、偵查階段(信息搜集、目標(biāo)判別、漏洞掃描)、攻擊階段(獲取權(quán)限、權(quán)限提升、設(shè)

4、置后門、環(huán)境清理)、風(fēng)險分析階段以及報告階段。并分別討論每個階段的任務(wù)、目標(biāo)以及實現(xiàn)手段，同時滲透測試過程中要注意可能產(chǎn)生的風(fēng)險并采用風(fēng)險規(guī)避措施。 3)對實際滲透測試中的風(fēng)險—技術(shù)、管理、人員進行了分析，并分別針對這些情況的風(fēng)險規(guī)避措施。需要注意的是風(fēng)險規(guī)避的結(jié)果可能會對滲透測試結(jié)果產(chǎn)生影響，在撰寫滲透測試報告時需要注明。 4)認(rèn)真搜集、總結(jié)、整理、歸類分析了不同的滲透測試平臺，不同的滲透階段、不同系統(tǒng)、不同應(yīng)用要用到

5、不同的工具，有效的使用工具可以達到事倍功半的效果。滲透測試工具層出不窮，需要有正確的態(tài)度對待工具的使用。 由于滲透測試的對象較為復(fù)雜，滲透測試的技術(shù)方法較多，而且滲透測試的結(jié)果與滲透測試人員的水平有很大關(guān)系，所以要正確解讀滲透測試結(jié)果。此外，對滲透測試測試用例的說明，對避免滲透測試結(jié)果誤差的控制也是未來探討的范圍。 總之，滲透測試由于其特殊的地位，緊貼客戶的攻擊和防護最前沿，是對客戶網(wǎng)絡(luò)防護水平的最直接、最有效的檢驗，必