基于風險評估的滲透測試方案的研究與實施.pdf

1、隨著計算機網(wǎng)絡技術的飛速發(fā)展，尤其是互聯(lián)網(wǎng)的應用變得越來越廣泛，在帶來了前所未有的海量信息的同時，網(wǎng)絡的開放性和自由性面臨著更大的威脅，網(wǎng)絡信息的安全性變得日益重要起來，如何了解和評價信息安全現(xiàn)狀，提出信息系統(tǒng)的安全需求，選擇最佳的風險控制措施，建立信息安全管理體系，制訂有效的安全策略成為了迫切的需求。風險評估正成為了解網(wǎng)絡安全現(xiàn)狀、明確未來需求的重要部分。同時如何檢驗軟件工程中軟件生命周期(需求、設計、編碼、測試、維護)的各個流程的有

2、效性以及產(chǎn)品的安全性，彌補漏洞帶來的威脅和影響變得更加嚴峻，滲透測試作為真實了解網(wǎng)絡現(xiàn)狀和弱點的最有效方式，能有效的檢測漏洞和威脅，同時與風險相關聯(lián)，能有效真實反映網(wǎng)絡現(xiàn)狀，減少設計、開發(fā)、測試、運營過程中帶來的風險。 本文正是針對上述問題，把滲透測試與風險評估相結(jié)合，從風險角度來看滲透測試，以風險評估中的滲透測試為重點，重要討論了滲透測試的主要技術，優(yōu)化了滲透測試流程和方案，并研究了滲透測試過程中可能存在的風險以及風險應對措施

3、，最后并總結(jié)了滲透測試主要的工具。本文主要工作如下： 1)深入分析了隱藏規(guī)避技術，安全掃描技術，拒絕服務技術，緩沖區(qū)溢出技術，賬號口令破解技術，網(wǎng)絡監(jiān)聽技術，ARP欺騙技術，SQL注入技術以及跨站腳本，社會工程學，無線破解等常見滲透測試技術。 2)參考國際標準，認真分析了目前的滲透測試流程，本文將滲透測試方案分為5個階段10個步驟：計劃和準備階段、偵查階段(信息搜集、目標判別、漏洞掃描)、攻擊階段(獲取權限、權限提升、設

4、置后門、環(huán)境清理)、風險分析階段以及報告階段。并分別討論每個階段的任務、目標以及實現(xiàn)手段，同時滲透測試過程中要注意可能產(chǎn)生的風險并采用風險規(guī)避措施。 3)對實際滲透測試中的風險—技術、管理、人員進行了分析，并分別針對這些情況的風險規(guī)避措施。需要注意的是風險規(guī)避的結(jié)果可能會對滲透測試結(jié)果產(chǎn)生影響，在撰寫滲透測試報告時需要注明。 4)認真搜集、總結(jié)、整理、歸類分析了不同的滲透測試平臺，不同的滲透階段、不同系統(tǒng)、不同應用要用到

5、不同的工具，有效的使用工具可以達到事倍功半的效果。滲透測試工具層出不窮，需要有正確的態(tài)度對待工具的使用。 由于滲透測試的對象較為復雜，滲透測試的技術方法較多，而且滲透測試的結(jié)果與滲透測試人員的水平有很大關系，所以要正確解讀滲透測試結(jié)果。此外，對滲透測試測試用例的說明，對避免滲透測試結(jié)果誤差的控制也是未來探討的范圍。 總之，滲透測試由于其特殊的地位，緊貼客戶的攻擊和防護最前沿，是對客戶網(wǎng)絡防護水平的最直接、最有效的檢驗，必