云计算平台渗透测试实施指南.docxVIP

1

云计算平台渗透测试实施指南

1范围

本文件规定了云计算平台渗透测试实施的过程和方法。

本文件适用于各类渗透测试机构或被渗透组织对云计算平台渗透测试项目的管理，指导渗透测试项目的组织、实施、验收等工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T31168-2014信息安全技术云计算服务安全能力要求

GB/T31509-2015信息安全技术信息安全风险评估实施指南

GB/T28448-2019信息安全技术网络安全等级保护测评要求

3术语和定义

下列术语和定义适用于本文件。

3.1云计算平台Cloudcomputingplatform

云服务商提供的云基础设施及其上的服务软件的集合。

[来源：GB/T31168-2023，3.7]

3.2渗透测试penetrationtesting

以未经授权的动作绕过某一系统的安全机制来检查信息系统的安全功能，以发现信息系统安全问题的手段。

[来源：GB/T25069-2022，3.520]

4渗透测试实施概述

4.1实施原则

4.1.1全面性原则

在规定的测试范围内，应覆盖云计算平台中的全部服务及每个服务中的全部功能。

4.1.2可控性原则

2

在渗透测试项目实施过程中,应严格按照标准的项目管理方法对服务过程、人员和工具等进行控制，以保证渗透测试实施过程的可控和安全。

a)服务可控性:

测试方应事先在测试工作沟通会议中向被测单位介绍测试服务流程,明确需要得到被测单位组织协作的工作内容,确保测试服务工作的顺利进行。

b)人员与信息可控性:

所有参与测试的人员应签署必威体育官网网址协议，以保证项目信息的安全；

应对工作过程数据和结果数据严格管理,未经授权不得泄露给任何单位和个人。c)过程可控性:

应按照项目管理要求,成立项目实施团队,项目组长负责制,达到项目过程的可控。d)工具可控性:

测试人员所使用的测试工具应该事先通告被测单位,且测试人员所使用的测试工具应具有安全产品证书或具有相关恶意代码、后门检测报告，并在项目实施前获得被测单位的许可,包括产品本身、测试策略等。

4.1.3最小影响原则

应采用最小影响原则，与被测单位沟通并进行应急备份,同时提前确定合适的测试时间窗口，选择避开业务的高峰时间进行，即首要保障云计算平台的稳定运行。

4.2实施过程

渗透测试实施过程包括四个基本阶段:准备阶段、方案编制阶段、现场实施阶段、报告编制阶段。测试相关方之间的沟通与洽谈应贯穿整个渗透测试过程。每一测试活动有一组确定的工作任务。具体如表1所示。

实施阶段

主要工作

准备阶段

工作启动

建立联系机制

渗透测试授权

工具和表单准备

环境准备

风险控制

方案编制阶段

确定测试对象

确定测试内容

确定测试工具

确定测试方法

确定测试方案

现场实施阶段

实施准备

渗透测试和结果记录

结果记录确认

渗透测试报告编制

过程描述

风险分析

整改建议

3

报告结论

报告审核

5准备阶段

5.1工作启动

在工作启动任务中,组建测试项目组，获取被测单位及测试对象的基本情况，从基本资料、人员、计划安排等方面为整个测试项目的实施做好充分准备。

5.2建立联系机制

在渗透测试工作开展前，与被测单位沟通确定此次工作的内容、实施时间及联系人信息，确保被测单位做好数据备份及突发情况下的应急预案。

5.3渗透测试授权

测评方应同被测单位签署书面的渗透测试授权书和必威体育官网网址协议。

测试方的渗透测试应在取得被测单位授权的前提下开展。

被测单位应对渗透测试所有细节和风险的知晓，所有过程都在被测单位的控制下进行。

5.4工具和表单准备

测试项目组成员在进行现场测试之前,应熟悉测试对象、调试测试工具、准备各种表单等。

a)测试人员调试本次测试过程中将用到的测试工具,包括漏洞扫描工具、渗透性测试工具、性能测试工具和协议分析工具等。

b)测试人员在测试环境模拟被测定级对象架构，为开发相关的网络及主机设备等测试对象测试指导书做好准备，并进行必要的工具验证。

c)准备和打印表单,包括但不限于:风险告知书、文档交接单、会议记录表单、会议签到表单等。

5.5环境准备

测试环境准备包括但不限于:

a)所需的硬件。

b)所需的软件，包括基础软件和测试工具软件。

c)所需的网络环境，包括网络拓扑、系统架构、服务配置等。

d)测试所需的基础数据。

e)测试实施的物理场地与办公设施。

5.6风险控制

针对渗透测试过程中可能出现的测试风险,测试人员宜向被测单位详细介绍渗透测