在等保測(cè)評(píng)中,哪個(gè)機(jī)構(gòu)負(fù)責(zé)進(jìn)行滲透測(cè)試??
執(zhí)行等保測(cè)評(píng)的專業(yè)機(jī)構(gòu)
專業(yè)機(jī)構(gòu)的資質(zhì)要求
GB/T 369592018標(biāo)準(zhǔn):此標(biāo)準(zhǔn)規(guī)定了網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的能力要求和評(píng)估規(guī)范,確保測(cè)評(píng)機(jī)構(gòu)具備專職的滲透測(cè)試人員。
專職滲透測(cè)試人員:根據(jù)標(biāo)準(zhǔn),測(cè)評(píng)機(jī)構(gòu)應(yīng)配備相應(yīng)的專職滲透測(cè)試人員,突出強(qiáng)調(diào)該項(xiàng)工作的重要性,彌補(bǔ)一般測(cè)評(píng)師在技能上的不足。
專業(yè)機(jī)構(gòu)的工作流程
測(cè)評(píng)準(zhǔn)備活動(dòng):包括掌握被測(cè)系統(tǒng)的詳細(xì)情況、準(zhǔn)備測(cè)試工具,為編制測(cè)評(píng)方案做好準(zhǔn)備。
方案編制活動(dòng):整理測(cè)評(píng)資料,為現(xiàn)場(chǎng)測(cè)評(píng)提供基礎(chǔ)文檔和指導(dǎo)方案。
現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng):按照測(cè)評(píng)方案的要求,實(shí)施所有測(cè)評(píng)項(xiàng)目,獲取證據(jù),發(fā)現(xiàn)安全問(wèn)題。
分析與報(bào)告編制活動(dòng):根據(jù)測(cè)評(píng)結(jié)果,進(jìn)行風(fēng)險(xiǎn)分析并形成最終的測(cè)評(píng)報(bào)告。
相關(guān)問(wèn)題與解答
問(wèn)題1: 為何需要滲透測(cè)試作為等保測(cè)評(píng)的一部分?
答案:滲透測(cè)試能夠模擬黑客的真實(shí)攻擊手段,通過(guò)發(fā)現(xiàn)和利用系統(tǒng)脆弱性,對(duì)等保測(cè)評(píng)的風(fēng)險(xiǎn)判定和上文歸納形成提供強(qiáng)有力的支撐,它驗(yàn)證了工具測(cè)試結(jié)果的同時(shí),與關(guān)聯(lián)測(cè)評(píng)項(xiàng)結(jié)合,通過(guò)“測(cè)試”方法進(jìn)一步確定相關(guān)測(cè)評(píng)項(xiàng)的結(jié)果及對(duì)應(yīng)的風(fēng)險(xiǎn)分析,從而影響被測(cè)系統(tǒng)的最終風(fēng)險(xiǎn)分析結(jié)果。
問(wèn)題2: 如何規(guī)避滲透測(cè)試中可能帶來(lái)的風(fēng)險(xiǎn)?
答案:可以采取以下措施來(lái)規(guī)避風(fēng)險(xiǎn):
在滲透測(cè)試前,制訂測(cè)試方案與策略,簽訂測(cè)試授權(quán)書(shū),并進(jìn)行系統(tǒng)備份及應(yīng)急處置準(zhǔn)備。
選擇適當(dāng)?shù)臏y(cè)試時(shí)間,安排運(yùn)維人員實(shí)時(shí)監(jiān)控網(wǎng)站運(yùn)行情況,及時(shí)記錄和處置異常問(wèn)題,減少對(duì)正常業(yè)務(wù)的影響。
對(duì)于攻擊策略,選擇危害性較小的操作,只驗(yàn)證漏洞的存在或進(jìn)行非危害性利用,避免對(duì)文件、數(shù)據(jù)和配置(本文來(lái)源:Www.KengNiao.Com)的操作,盡量不采用DDoS等壓力大的測(cè)試方法。
測(cè)試后清理測(cè)試數(shù)據(jù)和殘留后門(mén)程序,確認(rèn)網(wǎng)站運(yùn)行恢復(fù)正常,并與被測(cè)系統(tǒng)運(yùn)維人員簽署測(cè)試結(jié)束確認(rèn)單。
