对一个商业银行进行渗透测试的方法.docxVIP

PAGE PAGE # 对一个商业银行进行渗透测试的方法 一、渗透测试背景银行是网络信息技术应用最密集.应用水平最岛的行业之一，基于il?算机网络的徐类 银行信息系统已经成为银行产品的开发推广、银行业务的展开、报行日常管理和决策的所依赖的关键组成 部分。这种依赖性使得银行面临着由于网络信息系统木身所带 一、渗透测试背景 银行是网络信息技术应用最密集.应用水平最岛的行业之一.基于计算机网络的各类银行信息系统已经成 为银行产品的开发推广、银行业务的展开、银行日常管理和决策的所依赖的关键组成部分。这种依赖性使 得锲行面临若由于网络信息系统木身所带來的银行信息技术风险。 银行信息技术风险的主要挑战來自于基础网络信息技术的复杂性和变化，其中面对互联网主要有以下几个 方面风险^ 基于网络的电子银行，需要有完善的安全体系架构： 面向Internet的银行业务而临着各种各样的互联网威胁： 远程移动用户接入和内部用户接入Internet.都可能引入不同类型的威胁源： 钓鱼网站对于银行网上业务和企业信誉的损害。 伴随银行业务的发展.原有的网上银行、门户网站等都进行了不同程度的功能更新和系统投产?同时.行 内系统安全婆求越來越岛.可能受到的恶总攻击包括：信息篡改与重放、信息销毁.信息歟诈与抵赖、非 授权访问、网络间谍、“黑客入侵、病毒传播.特洛伊木马、妬虫程序、逻辑炸弹等。这些攻击完全能造 成信息系统瘫痪、重要信息流失 二、渗透测试的目标 木项目通过渗透测试的方式.模拟黑客的攻击思路与技术于?段，达到以下目标： 从攻击者角度.发现网银系统、信用卡网站、门户网站和中间业务等应用系统及网关入口设备存在的安全 隐患： 检测对外提供服务的业务系统（如网张系统、信用卡网站.门户网站等）以及行内重婆业务系统的威胁防 御能力。 深度挖掘渗透测试范圉内应用系统幹个层面（应用层、网络层、系统层）的安全漏洞： 检验、“I前安全控制措施的有效性，针对发现的安全风险及时进行整改.増强系统自身防御能力.提升安全 保障体系的整休健壮性。 路漫漫其修远兮?仔将上下而求索-百度文库 三、渗透测试原则与风险控制原则 遵循规范 渗透测试通过可控的安全测试技术对限定范FPI内的应用系统进行渗透测试?同时结合以下业界著名的测试 框架组合成最佳实践进行操作： ISECOM制定的开源安全测试方法OSSTMM-V2.2 开放Web应用安全项目0WASP-V3 风险控制 浚透测试过程最大的风险在于测试过程中对业务产生影响.为此我们在实施渗透测试中采取以下措施來减 小风险： ?双方确认 进行每一阶段的渗透测试前.必须获得客户方的书面同意和授权。对于任何渗透测试的对彖的变更和测试 条件的变更也都必须获得双方的同总并达成一致意见，方可执行。 ?工具选择 为防止造成真正的攻击.在渗透性测试项目中，启明星辰会严格选择测试匸具，杜绝I大1工具选择不为造成 的将病祷和木马植入的情况发生。 ?时间选择 为减轻渗透性测试对用户网络和系统的影响.安排在不影响正常业务运作的时间段进行，具体时间主要限 制双方协调和商定的时间范碉内。 ?范用控制 启明星辰承诺不会对授权范困之外的网络设备、主机和系统进行漏洞检测、攻击测试.严格按照渗透测试 范圉内限定的应用系统进行测试。 ?策賂选择 为防止渗透性测试造成用户网络和系统的服务中断，启明星辰在渗透性测试中不使用含有拒绝服务的测试 策略.不使用未经许可的方式进行渗透测试。 ?操作过程审计 为保证测试过程可审计.启明星辰将在测试过程中开启测试匚具的审讣日占功能.阶段性测试目标测试结 束后.会将审计日志提交用户，以便用户监控测试过程。 ?项目沟通 卜下而求索-许度文J 启明星辰建议：在项目实施过程中.除r确定不同阶段的测试人员以外，还婆确定各阶段的客户方配合人 员，建立双方直接沟通的渠道：项目实施过程中需要客户方人员同时在场配合丄作，并保持及时、充分. 合理的沟通。 ?系统备份和恢复措施 为避免实际渗透测试过程中可能会发生不可预知的风险?因此在渗透测试前相关管理人员应对系统或关键 数据进行备份、确保相关的日，忐审计功能正常开启.一旦在出现问題时，可以及时的恢复运转c 四、渗透测试丄作内容与方法 ?渗透测试方法 渗透测试完全模拟黑客的入侵思路与技术手段，黑客的攻击入侵需要利用目标网络的安全弱点.渗透测试 也是同样的道埋。以人工渗透为主.以攻击工具的使用为辅助.这样保证了整个渗透测试过程都在可以拎 制和调整的范碉之内c ?应用系统渗透测试方法 针对各应用系统的渗透测试方法包括以下方法但不局限于以下方法： 测试类型 测试描述 信息收集 信息收集是渗透攻击的前提.通过信息收集可以有针对性地制定模拟攻击测试il?划，提岛模拟攻击的成功 率，同时可以有效的降低攻击测试对系统正常运行造