gbt36627-2018信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測試評(píng)估技術(shù)指南-征求意見稿

1、<p>　　ICS?35.040</p><p><b>　　L 80</b></p><p>　　中華人民共和國國家標(biāo)準(zhǔn)</p><p>　　GB/T XXXX—XXXX</p><p>　　信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測試評(píng)估技術(shù)指南</p><p>　　Information s

2、ecurity technology—Testing and evaluation technology guide for Cybersecurity Classified Protection</p><p>　　XXXX - XX - XX發(fā)布</p><p>　　XXXX - XX - XX實(shí)施</p><p><b>　　目??次</b&g

3、t;</p><p><b>　　前言II</b></p><p><b>　　引言III</b></p><p><b>　　1 范圍1</b></p><p>　　2 規(guī)范性引用文件1</p><p><b>　　3 術(shù)語和定義1

4、</b></p><p>　　4 等級(jí)測評(píng)過程與方法概述2</p><p>　　4.1 規(guī)劃階段2</p><p>　　4.2 方案編制階段2</p><p>　　4.3 測評(píng)執(zhí)行階段2</p><p>　　4.4 分析與報(bào)告編制階段2</p><p>　　5 等級(jí)等級(jí)測評(píng)

5、技術(shù)概述3</p><p>　　5.1 等級(jí)測評(píng)技術(shù)分類3</p><p>　　5.2 等級(jí)測評(píng)技術(shù)選擇3</p><p>　　6 等級(jí)測評(píng)技術(shù)實(shí)現(xiàn)3</p><p>　　6.1 檢查技術(shù)3</p><p>　　6.2 目標(biāo)識(shí)別和分析技術(shù)5</p><p>　　6.3 目標(biāo)漏洞驗(yàn)證技

6、術(shù)6</p><p><b>　　附錄A9</b></p><p>　　A.1 滲透測試階段9</p><p>　　A.2 滲透測試方案10</p><p><b>　　參考文獻(xiàn)12</b></p><p><b>　　前??言</b><

7、/p><p>　　本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。</p><p>　　本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）提出并歸口。</p><p>　　本標(biāo)準(zhǔn)起草單位：公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、公安部信息安全等級(jí)保護(hù)評(píng)估中心、公安部第三研究所、中國信息安全研究院有限公司、中國電子技術(shù)標(biāo)準(zhǔn)化研究所、中國信息安全認(rèn)證中心、國

8、家信息技術(shù)安全研究中心。</p><p>　　本標(biāo)準(zhǔn)主要起草人：。</p><p><b>　　引??言</b></p><p>　　本標(biāo)準(zhǔn)為實(shí)現(xiàn)重要信息系統(tǒng)的安全等級(jí)測評(píng)提供技術(shù)指導(dǎo)。</p><p>　　目前信息系統(tǒng)等級(jí)保護(hù)相關(guān)的測評(píng)標(biāo)準(zhǔn)主要有GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求

9、》、GB/T 28448-2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求》（以下簡稱《測評(píng)要求》）和GB/T 28449-2012《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南》（以下簡稱《測評(píng)過程指南》）等。其中GB/T 22239-2008是系統(tǒng)等級(jí)保護(hù)測評(píng)的基礎(chǔ)性標(biāo)準(zhǔn)，GB/T 28448-2012是針對(duì)GB/T 22239-2008中的要求，提出了不同安全等級(jí)信息系統(tǒng)的測評(píng)要求； GB/T 28449-2012主要規(guī)定了

10、信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)工作的測評(píng)過程。 </p><p>　　本標(biāo)準(zhǔn)與《測評(píng)要求》和《測評(píng)過程指南》的區(qū)別在于：《測評(píng)要求》主要描述了各級(jí)信息系統(tǒng)單元測評(píng)的具體測評(píng)要求和測評(píng)流程，《測評(píng)過程指南》則主要對(duì)等級(jí)測評(píng)的活動(dòng)、工作任務(wù)以及每項(xiàng)任務(wù)的輸入/輸出產(chǎn)品等提出指導(dǎo)性建議，二者均未涉及安全測評(píng)中具體的測試方法和技術(shù)； </p><p>　　本標(biāo)準(zhǔn)對(duì)信息系統(tǒng)安全測評(píng)中的相關(guān)測評(píng)技術(shù)進(jìn)行明確

11、的分類和定義，系統(tǒng)地歸納并闡述系統(tǒng)測評(píng)的技術(shù)方法，概述技術(shù)性安全測試和評(píng)估的關(guān)鍵要素，重點(diǎn)放在具體技術(shù)的實(shí)現(xiàn)功能、原則等，并提出建議供使用。因此本標(biāo)準(zhǔn)在應(yīng)用于系統(tǒng)等級(jí)保護(hù)測評(píng)時(shí)可作為對(duì)《測評(píng)要求》和《測評(píng)過程指南》的補(bǔ)充。</p><p>　　如果沒有特殊指定，本標(biāo)準(zhǔn)中的信息系統(tǒng)主要指計(jì)算機(jī)信息系統(tǒng)。</p><p>　　信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測試評(píng)估技術(shù)指南</p>

12、<p><b>　　范圍</b></p><p>　　本標(biāo)準(zhǔn)面向等級(jí)保護(hù)測評(píng)人員、系統(tǒng)和網(wǎng)絡(luò)管理員，及其他負(fù)責(zé)系統(tǒng)安全技術(shù)的技術(shù)人員，規(guī)定了信息系統(tǒng)安全等級(jí)測評(píng)過程中現(xiàn)場測評(píng)階段涉及的相關(guān)技術(shù)。</p><p>　　本標(biāo)準(zhǔn)適用于測評(píng)機(jī)構(gòu)、信息系統(tǒng)的主管部門及運(yùn)營使用單位對(duì)重要信息系統(tǒng)的安全等級(jí)測評(píng)，為信息系統(tǒng)的安全等級(jí)測評(píng)工作的技術(shù)規(guī)范性提供方法依據(jù)。管理

13、者也可以利用本標(biāo)準(zhǔn)提供的信息，促進(jìn)與信息系統(tǒng)安全等級(jí)保護(hù)測試評(píng)估相關(guān)的技術(shù)決策過程。</p><p><b>　　規(guī)范性引用文件</b></p><p>　　下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。</p><p>　　GB 17

14、859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則</p><p>　　GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)安全通用技術(shù)要求</p><p>　　GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求</p><p>　　GB/T 25069－2010 信息安全技術(shù) 術(shù)語</p><p><b&g

15、t;　　術(shù)語和定義</b></p><p>　　GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008和GB/T 25069－2010界定的以及下列術(shù)語和定義適用于本文件。</p><p>　　測評(píng)對(duì)象 testing object</p><p>　　等級(jí)保護(hù)測評(píng)實(shí)施的對(duì)象，即測評(píng)過程中涉及到的信息系統(tǒng)、制度文檔

16、、網(wǎng)絡(luò)基礎(chǔ)設(shè)施及其安全配置和相關(guān)人員等。</p><p>　　網(wǎng)絡(luò)嗅探 network sniffer</p><p>　　一種監(jiān)視網(wǎng)絡(luò)通信、解碼協(xié)議，并對(duì)關(guān)注的信息頭部和有效載荷進(jìn)行檢查的被動(dòng)技術(shù)，同時(shí)也是一種目標(biāo)識(shí)別和分析技術(shù)。</p><p>　　規(guī)則集 rule set</p><p>　　一種用于比較網(wǎng)絡(luò)流量或系統(tǒng)活動(dòng)以決定響應(yīng)措施

17、（如發(fā)送或拒絕一個(gè)數(shù)據(jù)包，創(chuàng)建一個(gè)告警，或允許一個(gè)系統(tǒng)事件）的規(guī)則的集合。</p><p>　　檢查技術(shù) review technology</p><p>　　被動(dòng)地檢查系統(tǒng)、應(yīng)用程序、網(wǎng)絡(luò)、政策和策略以發(fā)現(xiàn)安全漏洞的過程，通常包括：文檔檢查、日志檢查、規(guī)則集檢查、系統(tǒng)配置檢查和文件完整性檢查。</p><p>　　文件完整性檢查 file integrity c

18、hecking</p><p>　　通過建立文件校驗(yàn)數(shù)據(jù)庫，計(jì)算、存儲(chǔ)每一個(gè)保留文件的校驗(yàn)，將已存儲(chǔ)的校驗(yàn)重新計(jì)算以比較當(dāng)前值和存儲(chǔ)值，從而識(shí)別文件是否被修改。</p><p>　　等級(jí)測評(píng)過程與方法概述</p><p><b>　　規(guī)劃階段 </b></p><p>　　本階段是開展等級(jí)測評(píng)工作的前提和基礎(chǔ)，是整個(gè)等級(jí)

19、測評(píng)過程有效性的保證。本階段的主要任務(wù)是掌握被測系統(tǒng)的詳細(xì)情況，收集執(zhí)行評(píng)估所必需的信息，如系統(tǒng)數(shù)據(jù)（待等級(jí)評(píng)估的資產(chǎn)）、威脅數(shù)據(jù)（資產(chǎn)的利益威脅）和用于減少這些威脅的安全控制要求，并制定評(píng)估方法準(zhǔn)備測試工具，為編制測評(píng)方案做好準(zhǔn)備。同時(shí)為等級(jí)保護(hù)測試評(píng)估設(shè)立項(xiàng)目管理計(jì)劃，制定項(xiàng)目目的和目標(biāo)、范圍、要求、團(tuán)隊(duì)的角色和責(zé)任，限制性、成功要素、假設(shè)條件、資源、時(shí)間和交付結(jié)果。</p><p><b>　　方

20、案編制階段 </b></p><p>　　本階段是開展等級(jí)測評(píng)工作的關(guān)鍵活動(dòng)，為現(xiàn)場測評(píng)提供最基本的文檔和指導(dǎo)方案。本階段的主要任務(wù)是確定與被測信息系統(tǒng)相適應(yīng)的測評(píng)對(duì)象、測評(píng)指標(biāo)及測評(píng)內(nèi)容等，并根據(jù)需要重用或開發(fā)測評(píng)指導(dǎo)書，形成測評(píng)方案。</p><p><b>　　測評(píng)執(zhí)行階段 </b></p><p>　　本階段是開展等級(jí)測評(píng)工

21、作的核心階段。本階段的主要任務(wù)是按照測評(píng)方案的總體要求，采用各類等級(jí)測評(píng)技術(shù)，分步實(shí)施所有測評(píng)項(xiàng)目，以了解系統(tǒng)的真實(shí)保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題與漏洞；并通過分析已發(fā)現(xiàn)的問題和漏洞，確定根源，制定風(fēng)險(xiǎn)減緩建議。</p><p>　　等級(jí)測評(píng)是確認(rèn)主機(jī)、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)等評(píng)估對(duì)象滿足特定安全目標(biāo)的有效性的過程，通常采用訪談、檢查和測試三種測評(píng)方法：</p><p>　　訪談

22、是指測評(píng)人員通過引導(dǎo)信息系統(tǒng)有關(guān)人員（個(gè)人/群體）有目的的（有針對(duì)性的）進(jìn)行交流、討論等活動(dòng)，實(shí)現(xiàn)理解、釋明或獲得證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效的一種方法；</p><p>　　檢查是指測評(píng)人員通過對(duì)測評(píng)對(duì)象（如制度文檔、各類設(shè)備、安全配置等）進(jìn)行觀察、查驗(yàn)或分析等活動(dòng)，使之便于理解、達(dá)到釋明或獲得證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效的一種方法；</p><p>　　測試

23、是指測評(píng)人員使用預(yù)定的方法/工具使測評(píng)對(duì)象產(chǎn)生特定的行為，通過查看、分析這些行為的結(jié)果，并與預(yù)期的結(jié)果進(jìn)行比對(duì)，獲取證據(jù)以證明信息系統(tǒng)安全等級(jí)保護(hù)措施是否有效的一種方法。</p><p>　　分析與報(bào)告編制階段 </p><p>　　本階段是總結(jié)被測系統(tǒng)整體安全保護(hù)能力的綜合評(píng)價(jià)階段。本階段的主要任務(wù)是根據(jù)現(xiàn)場測評(píng)結(jié)果和GB/T 22239-2008的有關(guān)要求，找出整個(gè)系統(tǒng)的安全保護(hù)現(xiàn)狀與

24、相應(yīng)等級(jí)的保護(hù)要求之間的差距，并分析這些差距導(dǎo)致被測系統(tǒng)面臨的風(fēng)險(xiǎn)，從而給出等級(jí)測評(píng)結(jié)論，形成測評(píng)報(bào)告文本。</p><p>　　等級(jí)等級(jí)測評(píng)技術(shù)概述</p><p><b>　　等級(jí)測評(píng)技術(shù)分類</b></p><p>　　目前有許多技術(shù)性安全測試和檢驗(yàn)技術(shù)可用于信息系統(tǒng)安全等級(jí)保護(hù)評(píng)估，這些技術(shù)主要可分成以下三類：</p>&

25、lt;p>　　檢查技術(shù)：被動(dòng)地檢查系統(tǒng)、應(yīng)用軟件、網(wǎng)絡(luò)、策略和規(guī)程，并發(fā)現(xiàn)安全漏洞的檢驗(yàn)技術(shù)。在后文中也叫被動(dòng)型測試技術(shù)。通常采用手動(dòng)方式，主要包括文檔檢查，日志檢查，規(guī)則集檢查，系統(tǒng)配置檢查和文件完整性檢查等。 </p><p>　　目標(biāo)識(shí)別和分析技術(shù)：主動(dòng)識(shí)別系統(tǒng)、端口、服務(wù)以及潛在安全性漏洞的測試技術(shù)。在后文中也叫主動(dòng)型測試技術(shù)。這些技術(shù)可以手動(dòng)執(zhí)行，但一般使用自動(dòng)化的工具，主要包括網(wǎng)絡(luò)發(fā)現(xiàn)、網(wǎng)絡(luò)端口

26、和服務(wù)的識(shí)別、漏洞掃描、無線掃描和應(yīng)用安全檢查等。</p><p>　　目標(biāo)漏洞驗(yàn)證技術(shù)：驗(yàn)證漏洞存在性的測試技術(shù)。這些技術(shù)可以手動(dòng)執(zhí)行或使用自動(dòng)化的工具，主要包括口令破解、滲透測試、遠(yuǎn)程訪問測試等。 </p><p><b>　　等級(jí)測評(píng)技術(shù)選擇</b></p><p>　　當(dāng)選擇和確定用于等級(jí)測評(píng)活動(dòng)的技術(shù)時(shí)，應(yīng)考慮的因素主要包括評(píng)估目標(biāo)，

27、可以獲取信息以支持這些目標(biāo)的技術(shù)種類，測試技術(shù)的風(fēng)險(xiǎn)，以及在每一個(gè)種類當(dāng)中所使用的適當(dāng)?shù)募夹g(shù)，技術(shù)評(píng)估的角度（例如，內(nèi)部與外部），以使得相應(yīng)的技術(shù)可供選擇。</p><p>　　在某些情況下，應(yīng)考慮是否對(duì)生產(chǎn)系統(tǒng)或相同配置的非生產(chǎn)系統(tǒng)進(jìn)行測試，或在業(yè)余時(shí)間限制使用某些技術(shù)以盡量減少對(duì)操作的影響。</p><p><b>　　等級(jí)測評(píng)技術(shù)實(shí)現(xiàn)</b></p>

28、<p><b>　　檢查技術(shù)</b></p><p><b>　　文檔檢查</b></p><p>　　文檔檢查應(yīng)確定策略和規(guī)程在技術(shù)上覆蓋以下方面：</p><p>　　被測方應(yīng)為等級(jí)測評(píng)的評(píng)估者提供適當(dāng)?shù)奈臋n，為系統(tǒng)的安全態(tài)勢提供基礎(chǔ)，確保檢查的全面性；</p><p>　　檢查對(duì)

29、象應(yīng)包括安全策略、體系結(jié)構(gòu)和要求、標(biāo)準(zhǔn)作業(yè)程序、系統(tǒng)安全計(jì)劃和授權(quán)許可、系統(tǒng)間互聯(lián)的諒解和協(xié)議備忘錄、以及事件響應(yīng)計(jì)劃，確保技術(shù)的準(zhǔn)確性和完整性；</p><p>　　應(yīng)發(fā)現(xiàn)可能導(dǎo)致遺漏或不恰當(dāng)?shù)貙?shí)施安全控制措施的缺陷和弱點(diǎn)；</p><p>　　評(píng)估者應(yīng)驗(yàn)證被測系統(tǒng)的文檔是否與系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)法規(guī)相符合，查找有缺陷或已過時(shí)的策略；</p><p>　　文檔檢查的結(jié)

30、果應(yīng)可用于調(diào)整其他的測試技術(shù)，例如，當(dāng)口令管理策略規(guī)定了最小口令長度和復(fù)雜度要求的時(shí)候，該信息應(yīng)可用于配置口令破解工具，以提高口令破解效率。</p><p><b>　　日志檢查</b></p><p>　　應(yīng)對(duì)信息系統(tǒng)中的以下日志信息進(jìn)行檢查：</p><p>　　認(rèn)證服務(wù)器或系統(tǒng)日志，包括成功的或失敗的認(rèn)證嘗試；</p>&l

31、t;p>　　系統(tǒng)日志，包括系統(tǒng)和服務(wù)的啟動(dòng)、關(guān)閉信息，未授權(quán)軟件的安裝，文件訪問，安全策略變更，賬戶變更（例如賬戶創(chuàng)建和刪除、賬戶權(quán)限分配）以及權(quán)限使用；</p><p>　　入侵檢測和預(yù)防系統(tǒng)日志，包括惡意行為和不恰當(dāng)使用；</p><p>　　防火墻和路由器日志，包括影響內(nèi)部設(shè)備的出站連接（如僵尸程序、木馬、間諜軟件等）；</p><p>　　防火墻日志，

32、包括未授權(quán)連接的嘗試和不恰當(dāng)使用；</p><p>　　應(yīng)用日志，包括未授權(quán)的連接嘗試、賬號(hào)變更、權(quán)限使用，以及應(yīng)用程序或數(shù)據(jù)庫的使用信息等；</p><p>　　防病毒日志，包括升級(jí)失敗、軟件過期等其他事件；</p><p>　　安全日志，尤其是補(bǔ)丁管理、IDS和入侵防御系統(tǒng)（IPS）產(chǎn)品，應(yīng)記錄已知漏洞的服務(wù)和應(yīng)用信息。</p><p>

33、<b>　　規(guī)則集檢查</b></p><p>　　規(guī)則集檢查對(duì)象應(yīng)包括如防火墻、IDS/IPS等網(wǎng)絡(luò)設(shè)備以及部署在操作系統(tǒng)或主機(jī)集群中軟件的訪問控制列表、規(guī)則集，以及重要信息系統(tǒng)中數(shù)據(jù)庫、操作系統(tǒng)和應(yīng)用系統(tǒng)的強(qiáng)制訪問控制機(jī)制，具體包括：</p><p><b>　　訪問控制列表</b></p><p>　　每一條規(guī)則都應(yīng)

34、是有效的（例如，因臨時(shí)需求而設(shè)定的規(guī)則，在不需要的時(shí)候應(yīng)立刻移除）；</p><p>　　應(yīng)只允許策略授權(quán)的流量通過，其他所有的流量默認(rèn)禁止。</p><p><b>　　規(guī)則集</b></p><p>　　每一個(gè)規(guī)則都應(yīng)是有效的；</p><p>　　規(guī)則應(yīng)實(shí)施最小權(quán)限訪問，例如限定可信的IP地址或端口；</p&

35、gt;<p>　　特定規(guī)則應(yīng)在通用規(guī)則之前被觸發(fā)；</p><p>　　任何不必要的開放端口應(yīng)關(guān)閉，以增強(qiáng)周邊安全；</p><p>　　規(guī)則集不應(yīng)允許流量避開其他安全防御。</p><p><b>　　強(qiáng)制訪問控制機(jī)制</b></p><p>　　強(qiáng)制訪問控制策略應(yīng)具有一致性，系統(tǒng)中各個(gè)安全子集應(yīng)具有一致

36、的主、客體標(biāo)記和相同的訪問規(guī)則；</p><p>　　以文件形式存儲(chǔ)和操作的用戶數(shù)據(jù)，在操作系統(tǒng)的支持下，應(yīng)實(shí)現(xiàn)文件級(jí)粒度的強(qiáng)制訪問控制；</p><p>　　以數(shù)據(jù)庫形式存儲(chǔ)和操作的用戶數(shù)據(jù)，在數(shù)據(jù)庫管理系統(tǒng)的支持下，應(yīng)實(shí)現(xiàn)表/記錄、字段級(jí)粒度的強(qiáng)制訪問控制；</p><p>　　檢查強(qiáng)制訪問控制的范圍，應(yīng)限定在已定義的主體與客體。</p><

37、p><b>　　系統(tǒng)配置檢查</b></p><p>　　系統(tǒng)配置檢查應(yīng)能標(biāo)識(shí)安全配置控制的弱點(diǎn)，其檢查內(nèi)容應(yīng)包括：</p><p>　　未依據(jù)安全策略進(jìn)行加固或配置；</p><p>　　發(fā)現(xiàn)不必要的服務(wù)和應(yīng)用；</p><p>　　發(fā)現(xiàn)不當(dāng)?shù)挠脩魩ぬ?hào)和口令設(shè)置；</p><p>　　發(fā)現(xiàn)

38、不正確的日志和備份設(shè)置；</p><p>　　安全配置文件，應(yīng)包括操作系統(tǒng)的安全策略設(shè)置和安全配置文件（如UNIX的inet.d文件）；</p><p>　　重要信息系統(tǒng)中主、客體的敏感標(biāo)記：</p><p>　　應(yīng)包括由系統(tǒng)安全員創(chuàng)建的用戶敏感標(biāo)記、客體（如數(shù)據(jù)）敏感標(biāo)記；</p><p>　　實(shí)施相同強(qiáng)制訪問控制安全策略的主、客體，應(yīng)以相

39、同的敏感信息進(jìn)行標(biāo)記；</p><p>　　檢查標(biāo)記的范圍，應(yīng)擴(kuò)展到系統(tǒng)中的所有主體與客體；</p><p>　　實(shí)施相同強(qiáng)制訪問控制安全策略的各個(gè)場地的主、客體，應(yīng)以相同的敏感信息進(jìn)行標(biāo)記，保證系統(tǒng)中標(biāo)記的一致性。</p><p><b>　　文件完整性檢查</b></p><p>　　實(shí)施文件完整性檢查時(shí)應(yīng)采取以下技

40、術(shù)措施：</p><p>　　應(yīng)由一個(gè)已知安全的系統(tǒng)創(chuàng)建參考數(shù)據(jù)庫，用于系統(tǒng)文件的比對(duì)；</p><p>　　參考數(shù)據(jù)庫應(yīng)采用離線存儲(chǔ)，防止攻擊者通過修改數(shù)據(jù)庫來破壞系統(tǒng)并隱藏蹤跡；</p><p>　　校驗(yàn)數(shù)據(jù)庫應(yīng)通過補(bǔ)丁和其他升級(jí)更新文件保持最新狀態(tài)；</p><p>　　應(yīng)采用強(qiáng)密碼校驗(yàn)等手段，保證校驗(yàn)數(shù)據(jù)庫所存儲(chǔ)的數(shù)據(jù)的完整性。<

41、;/p><p>　　目標(biāo)識(shí)別和分析技術(shù) </p><p><b>　　網(wǎng)絡(luò)嗅探</b></p><p>　　實(shí)施網(wǎng)絡(luò)嗅探應(yīng)遵循以下原則：</p><p>　　應(yīng)對(duì)以下內(nèi)容進(jìn)行網(wǎng)絡(luò)發(fā)現(xiàn)：</p><p>　　監(jiān)控網(wǎng)絡(luò)流量，記錄活動(dòng)主機(jī)的IP地址，并報(bào)告正在使用的端口、在網(wǎng)絡(luò)中發(fā)現(xiàn)的操作系統(tǒng)信息；<

42、/p><p>　　識(shí)別主機(jī)之間的聯(lián)系，包括哪些主機(jī)相互通信，其通信的頻率和所產(chǎn)生的流量的協(xié)議類型；</p><p>　　通過自動(dòng)化工具向常用的端口號(hào)發(fā)送多種類型的網(wǎng)絡(luò)數(shù)據(jù)包（如ICMP pings），分析網(wǎng)絡(luò)主機(jī)的響應(yīng)，并與特定操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)的數(shù)據(jù)包的已知特征相比較，識(shí)別主機(jī)、所運(yùn)行的操作系統(tǒng)、端口及端口的狀態(tài)；</p><p>　　通過防火墻和入侵檢測系統(tǒng)等網(wǎng)絡(luò)設(shè)

43、備進(jìn)行網(wǎng)絡(luò)發(fā)現(xiàn)時(shí)，若掃描安全性較弱的系統(tǒng)時(shí)，評(píng)估者應(yīng)謹(jǐn)慎選擇掃描類型，防止引起系統(tǒng)故障。</p><p>　　應(yīng)在以下測評(píng)需求中采用網(wǎng)絡(luò)嗅探：</p><p>　　捕捉和重放網(wǎng)絡(luò)流量；</p><p>　　實(shí)施被動(dòng)的網(wǎng)絡(luò)發(fā)現(xiàn)（例如，在網(wǎng)絡(luò)中識(shí)別活動(dòng)設(shè)備）；</p><p>　　識(shí)別操作系統(tǒng)、應(yīng)用程序、服務(wù)和協(xié)議，包括不安全協(xié)議（如telnet

44、）和未授權(quán)協(xié)議（如P2P文件共享）；</p><p>　　識(shí)別未授權(quán)和不恰當(dāng)?shù)男袨椋缑舾行畔⒌姆羌用軅鬏敚?lt;/p><p>　　收集信息（例如未加密的用戶名和口令）。</p><p>　　應(yīng)在以下位置部署網(wǎng)絡(luò)嗅探器，包括：</p><p>　　網(wǎng)絡(luò)邊界處，用以評(píng)估進(jìn)出網(wǎng)絡(luò)的流量；</p><p>　　防火墻后端，用

45、以評(píng)估準(zhǔn)確過濾流量的規(guī)則集；</p><p>　　IDS/IPS后端，用以確定簽名是否被觸發(fā)并得到適當(dāng)?shù)捻憫?yīng)；</p><p>　　關(guān)鍵系統(tǒng)和應(yīng)用程序前端，用以評(píng)估活動(dòng)；</p><p>　　具體網(wǎng)段上，用以驗(yàn)證加密協(xié)議的有效性。</p><p><b>　　網(wǎng)絡(luò)端口和服務(wù)識(shí)別</b></p><p&

46、gt;　　實(shí)施網(wǎng)絡(luò)端口和服務(wù)識(shí)別應(yīng)遵循以下原則：</p><p>　　應(yīng)對(duì)主機(jī)及潛在的漏洞服務(wù)進(jìn)行識(shí)別，并用于確定滲透性測試的目標(biāo)。</p><p>　　應(yīng)優(yōu)先推薦使用外部掃描，以在內(nèi)部測試之前和期間，對(duì)日志進(jìn)行檢查、比對(duì)；</p><p>　　在執(zhí)行外部掃描時(shí)，應(yīng)使用含分離、復(fù)制、重疊、亂序和定時(shí)技術(shù)的工具，并利用工具改變數(shù)據(jù)包，讓數(shù)據(jù)包融入正常流量中，使數(shù)據(jù)包避

47、開IDS/IPS檢測的同時(shí)穿越防火墻；</p><p>　　應(yīng)盡量減少掃描軟件對(duì)網(wǎng)絡(luò)運(yùn)行的干擾，如選擇端口掃描的時(shí)間。</p><p><b>　　漏洞掃描</b></p><p>　　實(shí)施漏洞掃描應(yīng)遵循以下原則：</p><p>　　應(yīng)檢查主機(jī)應(yīng)用程序的使用和安全策略的兼容性；</p><p>

48、　　應(yīng)提供滲透性測試的目標(biāo)的相關(guān)信息；</p><p>　　應(yīng)提供關(guān)于如何減少被發(fā)現(xiàn)漏洞的相關(guān)信息；</p><p>　　應(yīng)識(shí)別主機(jī)的OS和應(yīng)用的錯(cuò)誤配置與漏洞（包括網(wǎng)絡(luò)可利用的和本地可利用的）；</p><p>　　應(yīng)識(shí)別漏洞的風(fēng)險(xiǎn)等級(jí)；</p><p>　　使用漏洞掃描設(shè)備時(shí)應(yīng)限制使用DoS攻擊測試，以降低測試對(duì)掃描對(duì)象產(chǎn)生的風(fēng)險(xiǎn)。<

49、;/p><p><b>　　無線掃描</b></p><p><b>　　掃描規(guī)劃</b></p><p>　　在規(guī)劃無線安全評(píng)估時(shí)，應(yīng)考慮下列因素：</p><p>　　被掃描設(shè)備的位置和范圍。物理位置如果接近公共區(qū)域，如街道、公眾場所，或位于繁忙的中心城區(qū)，可能增加無線威脅的風(fēng)險(xiǎn)；</p>

50、;<p>　　使用無線技術(shù)進(jìn)行數(shù)據(jù)傳輸?shù)南到y(tǒng)安全等級(jí)和數(shù)據(jù)重要性；</p><p>　　掃描環(huán)境中無線設(shè)備連接和斷開的頻繁程度以及該無線設(shè)備的常用通信方式（如偶然性活動(dòng)和經(jīng)常性活動(dòng)）；</p><p>　　可參考利用系統(tǒng)中已有的無線入侵檢測和防御系統(tǒng)中所收集的信息。</p><p><b>　　掃描工具</b></p>

51、<p>　　實(shí)施無線掃描的掃描工具應(yīng)遵循以下原則：</p><p>　　應(yīng)使用安裝配置無線分析軟件的移動(dòng)設(shè)備，如筆記本電腦、手持設(shè)備或?qū)I(yè)設(shè)備；</p><p>　　應(yīng)允許評(píng)估者為具體掃描進(jìn)行設(shè)備配置，以找出與該被測系統(tǒng)的無線安全配置要求的偏差；</p><p>　　應(yīng)適當(dāng)配置掃描工具的掃描間隔時(shí)間，既能捕獲數(shù)據(jù)包，又能有效地掃描每個(gè)頻段；</p

52、><p>　　應(yīng)允許用戶導(dǎo)入平面圖或地圖，以協(xié)助定位被發(fā)現(xiàn)設(shè)備的物理位置；</p><p>　　應(yīng)能捕獲其天線范圍內(nèi)正在傳送的無線流量。就所發(fā)現(xiàn)的無線設(shè)備而言，大多數(shù)工具可提供幾個(gè)關(guān)鍵屬性，包括服務(wù)集標(biāo)識(shí)符（SSID）、設(shè)備類型、頻道、媒體訪問控制（MAC）地址、信號(hào)強(qiáng)度及傳送包的數(shù)目；</p><p>　　應(yīng)能夠?qū)Σ东@的數(shù)據(jù)包進(jìn)行分析，從而確定是否有任何操作上的異?；?/p>

53、威脅；</p><p>　　掃描工具應(yīng)能對(duì)系統(tǒng)中的無線設(shè)備進(jìn)行滲透測試，提供攻擊腳本調(diào)用功能。</p><p><b>　　藍(lán)牙掃描</b></p><p>　　實(shí)施藍(lán)牙掃描過程中，應(yīng)遵循： </p><p>　　在確定測試類型的范圍時(shí)，應(yīng)考慮對(duì)范圍的限制；</p><p>　　機(jī)構(gòu)應(yīng)掃描部署的支

54、持藍(lán)牙的所有基礎(chǔ)設(shè)施，如藍(lán)牙接入點(diǎn)；</p><p>　　機(jī)構(gòu)應(yīng)根據(jù)其既定的策略和過程對(duì)無賴接入點(diǎn)進(jìn)行處理。</p><p><b>　　目標(biāo)漏洞驗(yàn)證技術(shù)</b></p><p><b>　　密碼破解</b></p><p>　　實(shí)施密碼破解應(yīng)遵循：</p><p>　　采用

55、字典攻擊方法生成哈希，</p><p>　　采用混合攻擊方法生成哈希，以字典攻擊的方法為基礎(chǔ)，在字典中增加數(shù)字、符號(hào)字符等，如使用字符和數(shù)字來代替字母，在單詞的詞首或詞尾上添加字符；</p><p>　　采用彩虹表的方法，使用預(yù)先計(jì)算好的哈希值查找表。</p><p><b>　　滲透測試</b></p><p>　　滲

56、透性測試應(yīng)遵循以下原則：</p><p>　　應(yīng)側(cè)重于找出在應(yīng)用程序、系統(tǒng)或網(wǎng)絡(luò)中設(shè)計(jì)并實(shí)施的缺陷；</p><p>　　應(yīng)充分考慮并模擬內(nèi)部攻擊、外部攻擊；</p><p>　　盡可能采用遠(yuǎn)程訪問測試方法；</p><p>　　如果內(nèi)部和外部測試都要執(zhí)行，則應(yīng)優(yōu)先進(jìn)行外部測試；</p><p>　　應(yīng)在評(píng)估者達(dá)到當(dāng)其

57、他行為會(huì)造成損害的時(shí)間點(diǎn)時(shí)即停止?jié)B透測試；</p><p>　　通過滲透測試的攻擊階段，應(yīng)能確認(rèn)以下幾類漏洞的存在：</p><p>　　配置錯(cuò)誤。安全設(shè)置的配置錯(cuò)誤，特別是不安全的默認(rèn)設(shè)置，通常很容易被利用；</p><p>　　內(nèi)核缺陷。內(nèi)核代碼是操作系統(tǒng)的核心，執(zhí)行該系統(tǒng)的整體安全模型——因此置于整個(gè)系統(tǒng)中內(nèi)核的任何安全漏洞都是危險(xiǎn)的；</p>

58、<p>　　緩沖區(qū)溢出。當(dāng)程序不能充分檢查適當(dāng)長度的輸入時(shí)會(huì)發(fā)生緩沖區(qū)溢出的程序。如果發(fā)生這種情況，則任意代碼都可以被導(dǎo)入到系統(tǒng)中并有權(quán)執(zhí)行——往往是在管理層上——正在運(yùn)行的程序；</p><p>　　缺少足夠的輸入驗(yàn)證。許多應(yīng)用程序不能完全驗(yàn)證他們從用戶中接收到的輸入。例如，一個(gè)在數(shù)據(jù)庫查詢中嵌入了用戶值的Web應(yīng)用程序。如果用戶輸入的是SQL命令而不是或其他所要求的值，那么Web應(yīng)用程序?qū)⒉贿^濾SQ

59、L命令，查詢可能會(huì)以該用戶所請求的惡意修改的方式運(yùn)行，造成SQL注入式攻擊；</p><p>　　符號(hào)鏈接。符號(hào)鏈接（symlink）是一個(gè)文件指向另一個(gè)文件的鏈接。操作系統(tǒng)包括可以改變一個(gè)文件授予權(quán)限的程序。如果這些程序運(yùn)行帶有權(quán)限限制，用戶可以創(chuàng)建符號(hào)策略以欺騙這些程序修改或列出關(guān)鍵系統(tǒng)文件；</p><p>　　文件描述符攻擊。文件描述符在系統(tǒng)中大量使用，用于記錄文件名所代替的文件。

60、文件描述符的具體類型有暗示用途。當(dāng)特權(quán)程序分配一個(gè)不恰當(dāng)?shù)奈募枋龇?，它暴露該文件以示妥協(xié)；</p><p>　　競爭條件。競爭條件可以發(fā)生在一個(gè)程序或進(jìn)程已進(jìn)入特權(quán)模式下的時(shí)候。用戶可以利用特權(quán)升級(jí)的優(yōu)勢定時(shí)進(jìn)行一次攻擊，而該程序或進(jìn)程仍然在特權(quán)模式下；</p><p>　　不正確的文件和目錄權(quán)限。文件和目錄的權(quán)限控制分配給用戶和進(jìn)程的訪問。弱的權(quán)限可能允許多種類型的攻擊，包括密碼文件的

61、閱讀和書寫或其他有可信度的遠(yuǎn)程主機(jī)的名單。</p><p><b>　　遠(yuǎn)程訪問測試技術(shù)</b></p><p>　　遠(yuǎn)程訪問測試應(yīng)遵循以下原則：</p><p>　　發(fā)現(xiàn)除終端服務(wù)器、VPN、SSH、遠(yuǎn)程桌面應(yīng)用、撥號(hào)調(diào)制解調(diào)器之外是否存在其他的應(yīng)防止的接入方式；</p><p>　　發(fā)現(xiàn)未授權(quán)的遠(yuǎn)程訪問服務(wù)。評(píng)估者可

62、通過端口掃描定位經(jīng)常用于進(jìn)行遠(yuǎn)程訪問的公開的端口，通過查看運(yùn)行的進(jìn)程和安裝的應(yīng)用來手工檢測遠(yuǎn)程訪問服務(wù)；</p><p>　　檢測規(guī)則集來查找非法的遠(yuǎn)程訪問路徑。評(píng)估者應(yīng)檢測遠(yuǎn)程訪問規(guī)則集，如在VPN網(wǎng)關(guān)的規(guī)則集，查看其是否存在漏洞或錯(cuò)誤的配置，從而導(dǎo)致非授權(quán)的訪問；</p><p>　　測試遠(yuǎn)程訪問認(rèn)證機(jī)制。評(píng)估者應(yīng)在訪問前確認(rèn)是否需要獲得認(rèn)證授權(quán)。評(píng)估者可嘗試默認(rèn)的賬戶和密碼或暴力攻擊

63、（使用社會(huì)工程學(xué)的方法重設(shè)密碼來進(jìn)行訪問），或嘗試通過self－service服務(wù)認(rèn)證程序來重設(shè)密碼從而獲得訪問權(quán)限；</p><p>　　監(jiān)視遠(yuǎn)程訪問通信。評(píng)估者可以通過網(wǎng)絡(luò)嗅探器監(jiān)視遠(yuǎn)程訪問通信。如果通信沒有被保護(hù)，那么評(píng)估者可能利用這些數(shù)據(jù)作為遠(yuǎn)程訪問的認(rèn)證信息，或者將這些數(shù)據(jù)作為遠(yuǎn)程訪問用戶發(fā)送或接收的數(shù)據(jù)；</p><p>　　主動(dòng)或入侵性遠(yuǎn)程訪問測試，應(yīng)放在盡量減少對(duì)遠(yuǎn)程訪問系

64、統(tǒng)產(chǎn)生干擾的時(shí)間段進(jìn)行。</p><p><b>　　附錄A</b></p><p><b>　?。ㄙY料性附錄）</b></p><p>　　滲透測試的有關(guān)概念說明</p><p>　　滲透測試是一種安全性測試，在這種測試中，攻擊者模擬現(xiàn)實(shí)世界中的方法去攻擊應(yīng)用程序、系統(tǒng)或者網(wǎng)絡(luò)的安全功能。它常常利

65、用攻擊者常用的工具和技術(shù)來對(duì)真實(shí)的系統(tǒng)和數(shù)據(jù)發(fā)動(dòng)真實(shí)的攻擊。大多數(shù)滲透測試試圖尋找一組安全漏洞，相對(duì)于單一的漏洞，這樣可以獲得更多能夠進(jìn)入系統(tǒng)的機(jī)會(huì)。滲透測試也可用于確定：</p><p>　　系統(tǒng)對(duì)現(xiàn)實(shí)世界的攻擊模式的容忍度如何</p><p>　　攻擊者需要成功破壞系統(tǒng)所面對(duì)的大體復(fù)雜程度</p><p>　　可以減少對(duì)系統(tǒng)威脅的其他對(duì)策</p>

66、<p>　　防御者能夠檢測攻擊并且做出正確的反應(yīng)的能力。</p><p>　　滲透測試是一種非常重要的安全測試，但它是勞動(dòng)密集型的，并且需要豐富的專業(yè)知識(shí)以盡量減少對(duì)目標(biāo)系統(tǒng)的風(fēng)險(xiǎn)。盡管相關(guān)機(jī)構(gòu)很清楚的知道一個(gè)系統(tǒng)是如何被一個(gè)入侵者變得無法使用，但是在滲透測試的過程中，系統(tǒng)往往會(huì)被破壞。雖然有經(jīng)驗(yàn)的測試人員可以降低這種風(fēng)險(xiǎn)，但絕不能完全避免。滲透檢測應(yīng)該是經(jīng)過深思熟慮和認(rèn)真規(guī)劃的。</p>

67、<p>　　滲透測試通常包括非技術(shù)的攻擊方法。例如，一個(gè)測試員可以通過非正常的手段連接到網(wǎng)絡(luò)，以竊取設(shè)備，捕獲敏感信息（可能是通過安裝擊鍵記錄設(shè)備）或者破壞通信。在執(zhí)行人身安全時(shí)，應(yīng)謹(jǐn)慎行事——保安人員應(yīng)該清楚如何驗(yàn)證入侵活動(dòng)的有效性，如通過接觸點(diǎn)或者文檔。另一種非技術(shù)攻擊手段是通過社會(huì)手段，如喬裝成服務(wù)臺(tái)代理，然后打電話詢問用戶的密碼，或者喬裝成用戶，然后打電話給服務(wù)臺(tái)代理要求重置密碼。對(duì)人身安全測試的更多信息，社會(huì)工程技

68、術(shù)，以及其他非技術(shù)手段的滲透攻擊測試，不在本出版物的討論范圍。</p><p>　　A.1 滲透測試階段</p><p>　　圖A.1代表滲透測試的四個(gè)階段。在規(guī)劃階段，確定規(guī)則，管理層審批定稿，記錄在案，并設(shè)定測試目標(biāo)。規(guī)劃階段為一個(gè)成功的滲透測試奠定基礎(chǔ)，在該階段不發(fā)生實(shí)際的測試。</p><p>　　圖A.1 滲透測試的四個(gè)階段</p><

69、p>　　滲透測試的發(fā)現(xiàn)階段包括兩個(gè)部分：</p><p>　　第一部分是實(shí)際測試的開始，包括信息收集和掃描。網(wǎng)絡(luò)端口和服務(wù)標(biāo)識(shí)用于進(jìn)行潛在目標(biāo)的確定。除端口及服務(wù)標(biāo)識(shí)外，還有以下技術(shù)也被用于收集網(wǎng)絡(luò)信息目標(biāo)：</p><p>　　a) 主機(jī)名和IP地址信息可通過許多方法獲取，包括DNS、InterNIC（WHOIS）查詢和網(wǎng)絡(luò)監(jiān)聽；</p><p>　　b)

70、系統(tǒng)內(nèi)部用戶姓名、聯(lián)系方式等可通過搜索系統(tǒng)網(wǎng)站服務(wù)器或目錄服務(wù)器來獲得系統(tǒng)信息，可以通過像NetBIOS枚舉方法和網(wǎng)絡(luò)信息系統(tǒng)來得到應(yīng)用程序和服務(wù)信息，如版本號(hào)。</p><p>　　第二部分是漏洞分析，包括比較服務(wù)、應(yīng)用程序，掃描主機(jī)的操作系統(tǒng)、對(duì)應(yīng)于數(shù)據(jù)庫的漏洞。評(píng)估者可以使用他們自己的數(shù)據(jù)庫，或者是公共數(shù)據(jù)庫來手動(dòng)找出漏洞。 </p><p>　　執(zhí)行攻擊是滲透測試的核心。攻擊階段是

71、一個(gè)通過對(duì)原先確定的漏洞進(jìn)一步探查，進(jìn)而核實(shí)潛在漏洞的過程。如果攻擊成功，漏洞就會(huì)得到驗(yàn)證，保障措施就會(huì)確定以減輕相關(guān)的安全風(fēng)險(xiǎn)。在許多情況下，執(zhí)行探查并不會(huì)讓攻擊者獲得潛在的最大入口。他們反而會(huì)使評(píng)估者了解更多目標(biāo)網(wǎng)絡(luò)和其潛在漏洞的內(nèi)容，或誘發(fā)對(duì)目標(biāo)網(wǎng)絡(luò)的安全狀態(tài)的改變。一些探查，使評(píng)估者提升對(duì)于系統(tǒng)或網(wǎng)絡(luò)的特權(quán)，以獲得額外資源，因此需要額外的分析和測試來確定網(wǎng)絡(luò)安全情況，比如說，確定可以從系統(tǒng)上被搜集、改變或去除的信息的類型。倘若一

72、個(gè)特定漏洞的攻擊證明行不通，評(píng)估者應(yīng)嘗試?yán)昧硪粋€(gè)發(fā)現(xiàn)的漏洞。這些工具用于獲取網(wǎng)絡(luò)上的其他系統(tǒng)或資源，并獲得有關(guān)網(wǎng)絡(luò)或組織的信息。在對(duì)多個(gè)系統(tǒng)進(jìn)行滲透測試的過程中，需要實(shí)施測試和分析，以確定對(duì)手可能獲得的入口水平。這個(gè)過程代表圖B-1中滲透測試階段的攻擊和發(fā)現(xiàn)過程的反饋循環(huán)。</p><p>　　雖然漏洞掃描器只對(duì)可能存在的漏洞進(jìn)行檢查，而滲透測試的攻擊階段利用此漏洞來確認(rèn)它的存在。通過滲透測試可將大多數(shù)的漏洞分

73、為以下幾類：</p><p>　　a) 配置錯(cuò)誤。安全設(shè)置的配置錯(cuò)誤，特別是不安全的默認(rèn)設(shè)置，通常很容易被利用。</p><p>　　b) 內(nèi)核缺陷。內(nèi)核代碼是操作系統(tǒng)的核心，執(zhí)行該系統(tǒng)的整體安全模型——因此置于整個(gè)系統(tǒng)中內(nèi)核的任何安全漏洞都是危險(xiǎn)的</p><p>　　c) 緩沖區(qū)溢出。當(dāng)程序不能充分檢查適當(dāng)長度的輸入時(shí)會(huì)發(fā)生緩沖區(qū)溢出的程序。如果發(fā)生這種情況，則

74、任意代碼都可以被導(dǎo)入到系統(tǒng)中并有權(quán)執(zhí)行正在運(yùn)行的程序。</p><p>　　d) 缺乏足夠的輸入驗(yàn)證。許多應(yīng)用程序不能完全驗(yàn)證他們從用戶中接收到的輸入。例如，一個(gè)在數(shù)據(jù)庫查詢中嵌入了用戶值的Web應(yīng)用程序。如果用戶輸入的是SQL命令而不是或其他所要求的值，那么Web應(yīng)用程序?qū)⒉贿^濾SQL命令，查詢可能會(huì)以該用戶所請求的惡意修改的方式運(yùn)行，導(dǎo)致眾所周知的SQL注入式攻擊</p><p>　　

75、e) 符號(hào)鏈接。符號(hào)鏈接是一個(gè)文件指向另一個(gè)文件的鏈接。操作系統(tǒng)提供了可以改變一個(gè)文件授予權(quán)限的程序，如果這些程序運(yùn)行帶有權(quán)限限制，用戶可以創(chuàng)建符號(hào)策略以欺騙這些程序修改或列出關(guān)鍵系統(tǒng)文件。</p><p>　　f) 文件描述符攻擊。文件描述符在系統(tǒng)中大量使用，用于記錄文件名所代替的文件。文件描述符的具體類型有暗示用途。當(dāng)特權(quán)程序分配一個(gè)不恰當(dāng)?shù)奈募枋龇┞对撐募允就讌f(xié)</p><p&

76、gt;　　g) 競爭條件。競爭條件可以發(fā)生在一個(gè)程序或進(jìn)程已進(jìn)入特權(quán)模式下的時(shí)候。用戶可以利用特權(quán)升級(jí)的優(yōu)勢定時(shí)進(jìn)行一次攻擊，而該程序或進(jìn)程仍然在特權(quán)模式下</p><p>　　h) 不正確的文件和目錄權(quán)限。文件和目錄的權(quán)限控制分配給用戶和進(jìn)程的訪問。差的權(quán)限可能允許多種類型的攻擊，包括密碼文件的閱讀和書寫或其他有可信度的遠(yuǎn)程主機(jī)的名單。</p><p>　　在報(bào)告階段中同時(shí)發(fā)生其他三個(gè)階

77、段的滲透測試（見圖A.1）。在規(guī)劃階段，評(píng)估計(jì)劃或凈資產(chǎn)收益率是不斷更新的。在發(fā)現(xiàn)和攻擊階段，通常是保存書面記錄并定期向系統(tǒng)管理員和/或管理部門報(bào)告。在測試結(jié)束后，報(bào)告通常是用來描述被發(fā)現(xiàn)的漏洞、目前的風(fēng)險(xiǎn)等級(jí)，并就如何彌補(bǔ)發(fā)現(xiàn)的薄弱環(huán)節(jié)進(jìn)行指導(dǎo)。</p><p>　　A.2 滲透測試方案</p><p>　　滲透測試方案應(yīng)側(cè)重于找出在應(yīng)用程序、系統(tǒng)或網(wǎng)絡(luò)中設(shè)計(jì)并實(shí)施的缺陷。測試應(yīng)該重現(xiàn)最

78、可能的和最具破壞性的攻擊模式——包括最壞的情況，諸如由管理員所制造的惡意行為。由于滲透測試方案可以設(shè)計(jì)，以模擬內(nèi)部攻擊、外部攻擊，或兩者兼而有之，因此外部和內(nèi)部安全測試方法均要考慮到。如果內(nèi)部和外部測試都要執(zhí)行，則通常優(yōu)先執(zhí)行外部測試。</p><p>　　外部測試方案模擬那些假設(shè)具備很少或根本沒有具體的目標(biāo)知識(shí)的外部攻擊者。模擬一個(gè)外部攻擊，評(píng)估者不提供任何關(guān)于目標(biāo)環(huán)境以外的其他特別IP地址或地址范圍情況的真實(shí)

79、信息。他們通過公共網(wǎng)頁，新聞，和相似的網(wǎng)站收集目標(biāo)信息，進(jìn)行開放源代碼研究。然后，他們使用端口掃描器和漏洞掃描儀，以識(shí)別目標(biāo)主機(jī)。由于評(píng)估者的流量最有可能穿越防火墻，從內(nèi)部測試的角度來看，從掃描獲取的大量信息，遠(yuǎn)遠(yuǎn)少于進(jìn)行測試獲得的信息。在識(shí)別一個(gè)可以從外部到達(dá)的網(wǎng)絡(luò)上主機(jī)后，評(píng)估者嘗試成為被危害主機(jī)中的一個(gè)。如果成功的話，那么他們可能使用此訪問權(quán)限去使得那些不容易從外部網(wǎng)絡(luò)主機(jī)訪問權(quán)限的被危害主機(jī)。滲透測試是一個(gè)迭代的過程，利用最小的

80、訪問權(quán)限取得更大的訪問。</p><p>　　內(nèi)部測試方案模擬內(nèi)部的惡意行為。除了評(píng)估者位于內(nèi)部網(wǎng)絡(luò)（即防火墻后面）外，內(nèi)部滲透測試與外部測試類似，并給予對(duì)網(wǎng)絡(luò)或特定的系統(tǒng)的某種程度的訪問權(quán)限（通常是作為一個(gè)用戶，但有時(shí)在更高層次上）。滲透測試評(píng)估者可以通過的特權(quán)升級(jí)爭取更大程度的網(wǎng)絡(luò)和系統(tǒng)的訪問權(quán)限。</p><p>　　滲透測試決定了一個(gè)信息系統(tǒng)的網(wǎng)絡(luò)漏洞以及如果網(wǎng)絡(luò)受到影響所可能發(fā)生

81、的損害程度。滲透測試對(duì)網(wǎng)絡(luò)和系統(tǒng)也有高風(fēng)險(xiǎn)，因?yàn)樗褂谜嬲馁Y源并對(duì)生產(chǎn)系統(tǒng)和數(shù)據(jù)進(jìn)行攻擊。此外，滲透測試可以在評(píng)估者達(dá)到當(dāng)其他行為會(huì)造成損害的時(shí)間點(diǎn)時(shí)即停止。應(yīng)重視滲透測試的結(jié)果，當(dāng)結(jié)果可用時(shí)，應(yīng)提交給該系統(tǒng)的管理者。 </p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1]GB/T 18336.1-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)

82、則 第1部分：簡介和一般模型</p><p>　　[2]GB/T 18336.2-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則 第2部分：安全功能</p><p>　　[3]GB/T 18336.3-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則 第3部分：安全保障</p><p>　　[5]GB/T 20269-2006 信息安全技術(shù) 信息系統(tǒng)安全管理要

83、求</p><p>　　[6]GB/T 20270-2006 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求</p><p>　　[7]GB/T 20282-2006 信息安全技術(shù) 信息系統(tǒng)安全工程管理要求</p><p>　　[8]GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求</p><p>　　[9]GB/T 28448

84、-2012信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求</p><p>　　[10]GB/T 28449-2012信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南 </p><p>　　[11]Special Publication 800-115 Technical Guide to Information Security Testing and Assessment</p>