gbt36627-2018信息安全技術 網(wǎng)絡安全等級保護測試評估技術指南-征求意見稿

1、<p>　　ICS?35.040</p><p><b>　　L 80</b></p><p>　　中華人民共和國國家標準</p><p>　　GB/T XXXX—XXXX</p><p>　　信息安全技術 網(wǎng)絡安全等級保護測試評估技術指南</p><p>　　Information s

2、ecurity technology—Testing and evaluation technology guide for Cybersecurity Classified Protection</p><p>　　XXXX - XX - XX發(fā)布</p><p>　　XXXX - XX - XX實施</p><p><b>　　目??次</b&g

3、t;</p><p><b>　　前言II</b></p><p><b>　　引言III</b></p><p><b>　　1 范圍1</b></p><p>　　2 規(guī)范性引用文件1</p><p><b>　　3 術語和定義1

4、</b></p><p>　　4 等級測評過程與方法概述2</p><p>　　4.1 規(guī)劃階段2</p><p>　　4.2 方案編制階段2</p><p>　　4.3 測評執(zhí)行階段2</p><p>　　4.4 分析與報告編制階段2</p><p>　　5 等級等級測評

5、技術概述3</p><p>　　5.1 等級測評技術分類3</p><p>　　5.2 等級測評技術選擇3</p><p>　　6 等級測評技術實現(xiàn)3</p><p>　　6.1 檢查技術3</p><p>　　6.2 目標識別和分析技術5</p><p>　　6.3 目標漏洞驗證技

6、術6</p><p><b>　　附錄A9</b></p><p>　　A.1 滲透測試階段9</p><p>　　A.2 滲透測試方案10</p><p><b>　　參考文獻12</b></p><p><b>　　前??言</b><

7、/p><p>　　本標準按照GB/T1.1—2009給出的規(guī)則起草。</p><p>　　本標準由全國信息安全標準化技術委員會（SAC/TC260）提出并歸口。</p><p>　　本標準起草單位：公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心、公安部信息安全等級保護評估中心、公安部第三研究所、中國信息安全研究院有限公司、中國電子技術標準化研究所、中國信息安全認證中心、國

8、家信息技術安全研究中心。</p><p>　　本標準主要起草人：。</p><p><b>　　引??言</b></p><p>　　本標準為實現(xiàn)重要信息系統(tǒng)的安全等級測評提供技術指導。</p><p>　　目前信息系統(tǒng)等級保護相關的測評標準主要有GB/T 22239-2008《信息安全技術 信息系統(tǒng)安全等級保護基本要求

9、》、GB/T 28448-2012《信息安全技術 信息系統(tǒng)安全等級保護測評要求》（以下簡稱《測評要求》）和GB/T 28449-2012《信息安全技術 信息系統(tǒng)安全等級保護測評過程指南》（以下簡稱《測評過程指南》）等。其中GB/T 22239-2008是系統(tǒng)等級保護測評的基礎性標準，GB/T 28448-2012是針對GB/T 22239-2008中的要求，提出了不同安全等級信息系統(tǒng)的測評要求； GB/T 28449-2012主要規(guī)定了

10、信息系統(tǒng)安全等級保護測評工作的測評過程。 </p><p>　　本標準與《測評要求》和《測評過程指南》的區(qū)別在于：《測評要求》主要描述了各級信息系統(tǒng)單元測評的具體測評要求和測評流程，《測評過程指南》則主要對等級測評的活動、工作任務以及每項任務的輸入/輸出產(chǎn)品等提出指導性建議，二者均未涉及安全測評中具體的測試方法和技術； </p><p>　　本標準對信息系統(tǒng)安全測評中的相關測評技術進行明確

11、的分類和定義，系統(tǒng)地歸納并闡述系統(tǒng)測評的技術方法，概述技術性安全測試和評估的關鍵要素，重點放在具體技術的實現(xiàn)功能、原則等，并提出建議供使用。因此本標準在應用于系統(tǒng)等級保護測評時可作為對《測評要求》和《測評過程指南》的補充。</p><p>　　如果沒有特殊指定，本標準中的信息系統(tǒng)主要指計算機信息系統(tǒng)。</p><p>　　信息安全技術 網(wǎng)絡安全等級保護測試評估技術指南</p>

12、<p><b>　　范圍</b></p><p>　　本標準面向等級保護測評人員、系統(tǒng)和網(wǎng)絡管理員，及其他負責系統(tǒng)安全技術的技術人員，規(guī)定了信息系統(tǒng)安全等級測評過程中現(xiàn)場測評階段涉及的相關技術。</p><p>　　本標準適用于測評機構、信息系統(tǒng)的主管部門及運營使用單位對重要信息系統(tǒng)的安全等級測評，為信息系統(tǒng)的安全等級測評工作的技術規(guī)范性提供方法依據(jù)。管理

13、者也可以利用本標準提供的信息，促進與信息系統(tǒng)安全等級保護測試評估相關的技術決策過程。</p><p><b>　　規(guī)范性引用文件</b></p><p>　　下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。</p><p>　　GB 17

14、859-1999 計算機信息系統(tǒng)安全保護等級劃分準則</p><p>　　GB/T 20271-2006 信息安全技術 信息系統(tǒng)安全通用技術要求</p><p>　　GB/T 22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求</p><p>　　GB/T 25069－2010 信息安全技術 術語</p><p><b&g

15、t;　　術語和定義</b></p><p>　　GB/T 17859-1999、GB/T 20271-2006、GB/T 22239-2008和GB/T 25069－2010界定的以及下列術語和定義適用于本文件。</p><p>　　測評對象 testing object</p><p>　　等級保護測評實施的對象，即測評過程中涉及到的信息系統(tǒng)、制度文檔

16、、網(wǎng)絡基礎設施及其安全配置和相關人員等。</p><p>　　網(wǎng)絡嗅探 network sniffer</p><p>　　一種監(jiān)視網(wǎng)絡通信、解碼協(xié)議，并對關注的信息頭部和有效載荷進行檢查的被動技術，同時也是一種目標識別和分析技術。</p><p>　　規(guī)則集 rule set</p><p>　　一種用于比較網(wǎng)絡流量或系統(tǒng)活動以決定響應措施

17、（如發(fā)送或拒絕一個數(shù)據(jù)包，創(chuàng)建一個告警，或允許一個系統(tǒng)事件）的規(guī)則的集合。</p><p>　　檢查技術 review technology</p><p>　　被動地檢查系統(tǒng)、應用程序、網(wǎng)絡、政策和策略以發(fā)現(xiàn)安全漏洞的過程，通常包括：文檔檢查、日志檢查、規(guī)則集檢查、系統(tǒng)配置檢查和文件完整性檢查。</p><p>　　文件完整性檢查 file integrity c

18、hecking</p><p>　　通過建立文件校驗數(shù)據(jù)庫，計算、存儲每一個保留文件的校驗，將已存儲的校驗重新計算以比較當前值和存儲值，從而識別文件是否被修改。</p><p>　　等級測評過程與方法概述</p><p><b>　　規(guī)劃階段 </b></p><p>　　本階段是開展等級測評工作的前提和基礎，是整個等級

19、測評過程有效性的保證。本階段的主要任務是掌握被測系統(tǒng)的詳細情況，收集執(zhí)行評估所必需的信息，如系統(tǒng)數(shù)據(jù)（待等級評估的資產(chǎn)）、威脅數(shù)據(jù)（資產(chǎn)的利益威脅）和用于減少這些威脅的安全控制要求，并制定評估方法準備測試工具，為編制測評方案做好準備。同時為等級保護測試評估設立項目管理計劃，制定項目目的和目標、范圍、要求、團隊的角色和責任，限制性、成功要素、假設條件、資源、時間和交付結(jié)果。</p><p><b>　　方

20、案編制階段 </b></p><p>　　本階段是開展等級測評工作的關鍵活動，為現(xiàn)場測評提供最基本的文檔和指導方案。本階段的主要任務是確定與被測信息系統(tǒng)相適應的測評對象、測評指標及測評內(nèi)容等，并根據(jù)需要重用或開發(fā)測評指導書，形成測評方案。</p><p><b>　　測評執(zhí)行階段 </b></p><p>　　本階段是開展等級測評工

21、作的核心階段。本階段的主要任務是按照測評方案的總體要求，采用各類等級測評技術，分步實施所有測評項目，以了解系統(tǒng)的真實保護情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題與漏洞；并通過分析已發(fā)現(xiàn)的問題和漏洞，確定根源，制定風險減緩建議。</p><p>　　等級測評是確認主機、網(wǎng)絡、應用、數(shù)據(jù)等評估對象滿足特定安全目標的有效性的過程，通常采用訪談、檢查和測試三種測評方法：</p><p>　　訪談

22、是指測評人員通過引導信息系統(tǒng)有關人員（個人/群體）有目的的（有針對性的）進行交流、討論等活動，實現(xiàn)理解、釋明或獲得證據(jù)以證明信息系統(tǒng)安全等級保護措施是否有效的一種方法；</p><p>　　檢查是指測評人員通過對測評對象（如制度文檔、各類設備、安全配置等）進行觀察、查驗或分析等活動，使之便于理解、達到釋明或獲得證據(jù)以證明信息系統(tǒng)安全等級保護措施是否有效的一種方法；</p><p>　　測試

23、是指測評人員使用預定的方法/工具使測評對象產(chǎn)生特定的行為，通過查看、分析這些行為的結(jié)果，并與預期的結(jié)果進行比對，獲取證據(jù)以證明信息系統(tǒng)安全等級保護措施是否有效的一種方法。</p><p>　　分析與報告編制階段 </p><p>　　本階段是總結(jié)被測系統(tǒng)整體安全保護能力的綜合評價階段。本階段的主要任務是根據(jù)現(xiàn)場測評結(jié)果和GB/T 22239-2008的有關要求，找出整個系統(tǒng)的安全保護現(xiàn)狀與

24、相應等級的保護要求之間的差距，并分析這些差距導致被測系統(tǒng)面臨的風險，從而給出等級測評結(jié)論，形成測評報告文本。</p><p>　　等級等級測評技術概述</p><p><b>　　等級測評技術分類</b></p><p>　　目前有許多技術性安全測試和檢驗技術可用于信息系統(tǒng)安全等級保護評估，這些技術主要可分成以下三類：</p>&

25、lt;p>　　檢查技術：被動地檢查系統(tǒng)、應用軟件、網(wǎng)絡、策略和規(guī)程，并發(fā)現(xiàn)安全漏洞的檢驗技術。在后文中也叫被動型測試技術。通常采用手動方式，主要包括文檔檢查，日志檢查，規(guī)則集檢查，系統(tǒng)配置檢查和文件完整性檢查等。 </p><p>　　目標識別和分析技術：主動識別系統(tǒng)、端口、服務以及潛在安全性漏洞的測試技術。在后文中也叫主動型測試技術。這些技術可以手動執(zhí)行，但一般使用自動化的工具，主要包括網(wǎng)絡發(fā)現(xiàn)、網(wǎng)絡端口

26、和服務的識別、漏洞掃描、無線掃描和應用安全檢查等。</p><p>　　目標漏洞驗證技術：驗證漏洞存在性的測試技術。這些技術可以手動執(zhí)行或使用自動化的工具，主要包括口令破解、滲透測試、遠程訪問測試等。 </p><p><b>　　等級測評技術選擇</b></p><p>　　當選擇和確定用于等級測評活動的技術時，應考慮的因素主要包括評估目標，

27、可以獲取信息以支持這些目標的技術種類，測試技術的風險，以及在每一個種類當中所使用的適當?shù)募夹g，技術評估的角度（例如，內(nèi)部與外部），以使得相應的技術可供選擇。</p><p>　　在某些情況下，應考慮是否對生產(chǎn)系統(tǒng)或相同配置的非生產(chǎn)系統(tǒng)進行測試，或在業(yè)余時間限制使用某些技術以盡量減少對操作的影響。</p><p><b>　　等級測評技術實現(xiàn)</b></p>

28、<p><b>　　檢查技術</b></p><p><b>　　文檔檢查</b></p><p>　　文檔檢查應確定策略和規(guī)程在技術上覆蓋以下方面：</p><p>　　被測方應為等級測評的評估者提供適當?shù)奈臋n，為系統(tǒng)的安全態(tài)勢提供基礎，確保檢查的全面性；</p><p>　　檢查對

29、象應包括安全策略、體系結(jié)構和要求、標準作業(yè)程序、系統(tǒng)安全計劃和授權許可、系統(tǒng)間互聯(lián)的諒解和協(xié)議備忘錄、以及事件響應計劃，確保技術的準確性和完整性；</p><p>　　應發(fā)現(xiàn)可能導致遺漏或不恰當?shù)貙嵤┌踩刂拼胧┑娜毕莺腿觞c；</p><p>　　評估者應驗證被測系統(tǒng)的文檔是否與系統(tǒng)等級保護標準法規(guī)相符合，查找有缺陷或已過時的策略；</p><p>　　文檔檢查的結(jié)

30、果應可用于調(diào)整其他的測試技術，例如，當口令管理策略規(guī)定了最小口令長度和復雜度要求的時候，該信息應可用于配置口令破解工具，以提高口令破解效率。</p><p><b>　　日志檢查</b></p><p>　　應對信息系統(tǒng)中的以下日志信息進行檢查：</p><p>　　認證服務器或系統(tǒng)日志，包括成功的或失敗的認證嘗試；</p>&l

31、t;p>　　系統(tǒng)日志，包括系統(tǒng)和服務的啟動、關閉信息，未授權軟件的安裝，文件訪問，安全策略變更，賬戶變更（例如賬戶創(chuàng)建和刪除、賬戶權限分配）以及權限使用；</p><p>　　入侵檢測和預防系統(tǒng)日志，包括惡意行為和不恰當使用；</p><p>　　防火墻和路由器日志，包括影響內(nèi)部設備的出站連接（如僵尸程序、木馬、間諜軟件等）；</p><p>　　防火墻日志，

32、包括未授權連接的嘗試和不恰當使用；</p><p>　　應用日志，包括未授權的連接嘗試、賬號變更、權限使用，以及應用程序或數(shù)據(jù)庫的使用信息等；</p><p>　　防病毒日志，包括升級失敗、軟件過期等其他事件；</p><p>　　安全日志，尤其是補丁管理、IDS和入侵防御系統(tǒng)（IPS）產(chǎn)品，應記錄已知漏洞的服務和應用信息。</p><p>

33、<b>　　規(guī)則集檢查</b></p><p>　　規(guī)則集檢查對象應包括如防火墻、IDS/IPS等網(wǎng)絡設備以及部署在操作系統(tǒng)或主機集群中軟件的訪問控制列表、規(guī)則集，以及重要信息系統(tǒng)中數(shù)據(jù)庫、操作系統(tǒng)和應用系統(tǒng)的強制訪問控制機制，具體包括：</p><p><b>　　訪問控制列表</b></p><p>　　每一條規(guī)則都應

34、是有效的（例如，因臨時需求而設定的規(guī)則，在不需要的時候應立刻移除）；</p><p>　　應只允許策略授權的流量通過，其他所有的流量默認禁止。</p><p><b>　　規(guī)則集</b></p><p>　　每一個規(guī)則都應是有效的；</p><p>　　規(guī)則應實施最小權限訪問，例如限定可信的IP地址或端口；</p&

35、gt;<p>　　特定規(guī)則應在通用規(guī)則之前被觸發(fā)；</p><p>　　任何不必要的開放端口應關閉，以增強周邊安全；</p><p>　　規(guī)則集不應允許流量避開其他安全防御。</p><p><b>　　強制訪問控制機制</b></p><p>　　強制訪問控制策略應具有一致性，系統(tǒng)中各個安全子集應具有一致

36、的主、客體標記和相同的訪問規(guī)則；</p><p>　　以文件形式存儲和操作的用戶數(shù)據(jù)，在操作系統(tǒng)的支持下，應實現(xiàn)文件級粒度的強制訪問控制；</p><p>　　以數(shù)據(jù)庫形式存儲和操作的用戶數(shù)據(jù)，在數(shù)據(jù)庫管理系統(tǒng)的支持下，應實現(xiàn)表/記錄、字段級粒度的強制訪問控制；</p><p>　　檢查強制訪問控制的范圍，應限定在已定義的主體與客體。</p><

37、p><b>　　系統(tǒng)配置檢查</b></p><p>　　系統(tǒng)配置檢查應能標識安全配置控制的弱點，其檢查內(nèi)容應包括：</p><p>　　未依據(jù)安全策略進行加固或配置；</p><p>　　發(fā)現(xiàn)不必要的服務和應用；</p><p>　　發(fā)現(xiàn)不當?shù)挠脩魩ぬ柡涂诹钤O置；</p><p>　　發(fā)現(xiàn)

38、不正確的日志和備份設置；</p><p>　　安全配置文件，應包括操作系統(tǒng)的安全策略設置和安全配置文件（如UNIX的inet.d文件）；</p><p>　　重要信息系統(tǒng)中主、客體的敏感標記：</p><p>　　應包括由系統(tǒng)安全員創(chuàng)建的用戶敏感標記、客體（如數(shù)據(jù)）敏感標記；</p><p>　　實施相同強制訪問控制安全策略的主、客體，應以相

39、同的敏感信息進行標記；</p><p>　　檢查標記的范圍，應擴展到系統(tǒng)中的所有主體與客體；</p><p>　　實施相同強制訪問控制安全策略的各個場地的主、客體，應以相同的敏感信息進行標記，保證系統(tǒng)中標記的一致性。</p><p><b>　　文件完整性檢查</b></p><p>　　實施文件完整性檢查時應采取以下技

40、術措施：</p><p>　　應由一個已知安全的系統(tǒng)創(chuàng)建參考數(shù)據(jù)庫，用于系統(tǒng)文件的比對；</p><p>　　參考數(shù)據(jù)庫應采用離線存儲，防止攻擊者通過修改數(shù)據(jù)庫來破壞系統(tǒng)并隱藏蹤跡；</p><p>　　校驗數(shù)據(jù)庫應通過補丁和其他升級更新文件保持最新狀態(tài)；</p><p>　　應采用強密碼校驗等手段，保證校驗數(shù)據(jù)庫所存儲的數(shù)據(jù)的完整性。<

41、;/p><p>　　目標識別和分析技術 </p><p><b>　　網(wǎng)絡嗅探</b></p><p>　　實施網(wǎng)絡嗅探應遵循以下原則：</p><p>　　應對以下內(nèi)容進行網(wǎng)絡發(fā)現(xiàn)：</p><p>　　監(jiān)控網(wǎng)絡流量，記錄活動主機的IP地址，并報告正在使用的端口、在網(wǎng)絡中發(fā)現(xiàn)的操作系統(tǒng)信息；<

42、/p><p>　　識別主機之間的聯(lián)系，包括哪些主機相互通信，其通信的頻率和所產(chǎn)生的流量的協(xié)議類型；</p><p>　　通過自動化工具向常用的端口號發(fā)送多種類型的網(wǎng)絡數(shù)據(jù)包（如ICMP pings），分析網(wǎng)絡主機的響應，并與特定操作系統(tǒng)和網(wǎng)絡服務的數(shù)據(jù)包的已知特征相比較，識別主機、所運行的操作系統(tǒng)、端口及端口的狀態(tài)；</p><p>　　通過防火墻和入侵檢測系統(tǒng)等網(wǎng)絡設

43、備進行網(wǎng)絡發(fā)現(xiàn)時，若掃描安全性較弱的系統(tǒng)時，評估者應謹慎選擇掃描類型，防止引起系統(tǒng)故障。</p><p>　　應在以下測評需求中采用網(wǎng)絡嗅探：</p><p>　　捕捉和重放網(wǎng)絡流量；</p><p>　　實施被動的網(wǎng)絡發(fā)現(xiàn)（例如，在網(wǎng)絡中識別活動設備）；</p><p>　　識別操作系統(tǒng)、應用程序、服務和協(xié)議，包括不安全協(xié)議（如telnet

44、）和未授權協(xié)議（如P2P文件共享）；</p><p>　　識別未授權和不恰當?shù)男袨?，例如敏感信息的非加密傳輸?lt;/p><p>　　收集信息（例如未加密的用戶名和口令）。</p><p>　　應在以下位置部署網(wǎng)絡嗅探器，包括：</p><p>　　網(wǎng)絡邊界處，用以評估進出網(wǎng)絡的流量；</p><p>　　防火墻后端，用

45、以評估準確過濾流量的規(guī)則集；</p><p>　　IDS/IPS后端，用以確定簽名是否被觸發(fā)并得到適當?shù)捻憫?lt;/p><p>　　關鍵系統(tǒng)和應用程序前端，用以評估活動；</p><p>　　具體網(wǎng)段上，用以驗證加密協(xié)議的有效性。</p><p><b>　　網(wǎng)絡端口和服務識別</b></p><p&

46、gt;　　實施網(wǎng)絡端口和服務識別應遵循以下原則：</p><p>　　應對主機及潛在的漏洞服務進行識別，并用于確定滲透性測試的目標。</p><p>　　應優(yōu)先推薦使用外部掃描，以在內(nèi)部測試之前和期間，對日志進行檢查、比對；</p><p>　　在執(zhí)行外部掃描時，應使用含分離、復制、重疊、亂序和定時技術的工具，并利用工具改變數(shù)據(jù)包，讓數(shù)據(jù)包融入正常流量中，使數(shù)據(jù)包避

47、開IDS/IPS檢測的同時穿越防火墻；</p><p>　　應盡量減少掃描軟件對網(wǎng)絡運行的干擾，如選擇端口掃描的時間。</p><p><b>　　漏洞掃描</b></p><p>　　實施漏洞掃描應遵循以下原則：</p><p>　　應檢查主機應用程序的使用和安全策略的兼容性；</p><p>

48、　　應提供滲透性測試的目標的相關信息；</p><p>　　應提供關于如何減少被發(fā)現(xiàn)漏洞的相關信息；</p><p>　　應識別主機的OS和應用的錯誤配置與漏洞（包括網(wǎng)絡可利用的和本地可利用的）；</p><p>　　應識別漏洞的風險等級；</p><p>　　使用漏洞掃描設備時應限制使用DoS攻擊測試，以降低測試對掃描對象產(chǎn)生的風險。<

49、;/p><p><b>　　無線掃描</b></p><p><b>　　掃描規(guī)劃</b></p><p>　　在規(guī)劃無線安全評估時，應考慮下列因素：</p><p>　　被掃描設備的位置和范圍。物理位置如果接近公共區(qū)域，如街道、公眾場所，或位于繁忙的中心城區(qū)，可能增加無線威脅的風險；</p>

50、;<p>　　使用無線技術進行數(shù)據(jù)傳輸?shù)南到y(tǒng)安全等級和數(shù)據(jù)重要性；</p><p>　　掃描環(huán)境中無線設備連接和斷開的頻繁程度以及該無線設備的常用通信方式（如偶然性活動和經(jīng)常性活動）；</p><p>　　可參考利用系統(tǒng)中已有的無線入侵檢測和防御系統(tǒng)中所收集的信息。</p><p><b>　　掃描工具</b></p>

51、<p>　　實施無線掃描的掃描工具應遵循以下原則：</p><p>　　應使用安裝配置無線分析軟件的移動設備，如筆記本電腦、手持設備或?qū)I(yè)設備；</p><p>　　應允許評估者為具體掃描進行設備配置，以找出與該被測系統(tǒng)的無線安全配置要求的偏差；</p><p>　　應適當配置掃描工具的掃描間隔時間，既能捕獲數(shù)據(jù)包，又能有效地掃描每個頻段；</p

52、><p>　　應允許用戶導入平面圖或地圖，以協(xié)助定位被發(fā)現(xiàn)設備的物理位置；</p><p>　　應能捕獲其天線范圍內(nèi)正在傳送的無線流量。就所發(fā)現(xiàn)的無線設備而言，大多數(shù)工具可提供幾個關鍵屬性，包括服務集標識符（SSID）、設備類型、頻道、媒體訪問控制（MAC）地址、信號強度及傳送包的數(shù)目；</p><p>　　應能夠?qū)Σ东@的數(shù)據(jù)包進行分析，從而確定是否有任何操作上的異?；?/p>

53、威脅；</p><p>　　掃描工具應能對系統(tǒng)中的無線設備進行滲透測試，提供攻擊腳本調(diào)用功能。</p><p><b>　　藍牙掃描</b></p><p>　　實施藍牙掃描過程中，應遵循： </p><p>　　在確定測試類型的范圍時，應考慮對范圍的限制；</p><p>　　機構應掃描部署的支

54、持藍牙的所有基礎設施，如藍牙接入點；</p><p>　　機構應根據(jù)其既定的策略和過程對無賴接入點進行處理。</p><p><b>　　目標漏洞驗證技術</b></p><p><b>　　密碼破解</b></p><p>　　實施密碼破解應遵循：</p><p>　　采用

55、字典攻擊方法生成哈希，</p><p>　　采用混合攻擊方法生成哈希，以字典攻擊的方法為基礎，在字典中增加數(shù)字、符號字符等，如使用字符和數(shù)字來代替字母，在單詞的詞首或詞尾上添加字符；</p><p>　　采用彩虹表的方法，使用預先計算好的哈希值查找表。</p><p><b>　　滲透測試</b></p><p>　　滲

56、透性測試應遵循以下原則：</p><p>　　應側(cè)重于找出在應用程序、系統(tǒng)或網(wǎng)絡中設計并實施的缺陷；</p><p>　　應充分考慮并模擬內(nèi)部攻擊、外部攻擊；</p><p>　　盡可能采用遠程訪問測試方法；</p><p>　　如果內(nèi)部和外部測試都要執(zhí)行，則應優(yōu)先進行外部測試；</p><p>　　應在評估者達到當其

57、他行為會造成損害的時間點時即停止?jié)B透測試；</p><p>　　通過滲透測試的攻擊階段，應能確認以下幾類漏洞的存在：</p><p>　　配置錯誤。安全設置的配置錯誤，特別是不安全的默認設置，通常很容易被利用；</p><p>　　內(nèi)核缺陷。內(nèi)核代碼是操作系統(tǒng)的核心，執(zhí)行該系統(tǒng)的整體安全模型——因此置于整個系統(tǒng)中內(nèi)核的任何安全漏洞都是危險的；</p>

58、<p>　　緩沖區(qū)溢出。當程序不能充分檢查適當長度的輸入時會發(fā)生緩沖區(qū)溢出的程序。如果發(fā)生這種情況，則任意代碼都可以被導入到系統(tǒng)中并有權執(zhí)行——往往是在管理層上——正在運行的程序；</p><p>　　缺少足夠的輸入驗證。許多應用程序不能完全驗證他們從用戶中接收到的輸入。例如，一個在數(shù)據(jù)庫查詢中嵌入了用戶值的Web應用程序。如果用戶輸入的是SQL命令而不是或其他所要求的值，那么Web應用程序?qū)⒉贿^濾SQ

59、L命令，查詢可能會以該用戶所請求的惡意修改的方式運行，造成SQL注入式攻擊；</p><p>　　符號鏈接。符號鏈接（symlink）是一個文件指向另一個文件的鏈接。操作系統(tǒng)包括可以改變一個文件授予權限的程序。如果這些程序運行帶有權限限制，用戶可以創(chuàng)建符號策略以欺騙這些程序修改或列出關鍵系統(tǒng)文件；</p><p>　　文件描述符攻擊。文件描述符在系統(tǒng)中大量使用，用于記錄文件名所代替的文件。

60、文件描述符的具體類型有暗示用途。當特權程序分配一個不恰當?shù)奈募枋龇?，它暴露該文件以示妥協(xié)；</p><p>　　競爭條件。競爭條件可以發(fā)生在一個程序或進程已進入特權模式下的時候。用戶可以利用特權升級的優(yōu)勢定時進行一次攻擊，而該程序或進程仍然在特權模式下；</p><p>　　不正確的文件和目錄權限。文件和目錄的權限控制分配給用戶和進程的訪問。弱的權限可能允許多種類型的攻擊，包括密碼文件的

61、閱讀和書寫或其他有可信度的遠程主機的名單。</p><p><b>　　遠程訪問測試技術</b></p><p>　　遠程訪問測試應遵循以下原則：</p><p>　　發(fā)現(xiàn)除終端服務器、VPN、SSH、遠程桌面應用、撥號調(diào)制解調(diào)器之外是否存在其他的應防止的接入方式；</p><p>　　發(fā)現(xiàn)未授權的遠程訪問服務。評估者可

62、通過端口掃描定位經(jīng)常用于進行遠程訪問的公開的端口，通過查看運行的進程和安裝的應用來手工檢測遠程訪問服務；</p><p>　　檢測規(guī)則集來查找非法的遠程訪問路徑。評估者應檢測遠程訪問規(guī)則集，如在VPN網(wǎng)關的規(guī)則集，查看其是否存在漏洞或錯誤的配置，從而導致非授權的訪問；</p><p>　　測試遠程訪問認證機制。評估者應在訪問前確認是否需要獲得認證授權。評估者可嘗試默認的賬戶和密碼或暴力攻擊

63、（使用社會工程學的方法重設密碼來進行訪問），或嘗試通過self－service服務認證程序來重設密碼從而獲得訪問權限；</p><p>　　監(jiān)視遠程訪問通信。評估者可以通過網(wǎng)絡嗅探器監(jiān)視遠程訪問通信。如果通信沒有被保護，那么評估者可能利用這些數(shù)據(jù)作為遠程訪問的認證信息，或者將這些數(shù)據(jù)作為遠程訪問用戶發(fā)送或接收的數(shù)據(jù)；</p><p>　　主動或入侵性遠程訪問測試，應放在盡量減少對遠程訪問系

64、統(tǒng)產(chǎn)生干擾的時間段進行。</p><p><b>　　附錄A</b></p><p><b>　?。ㄙY料性附錄）</b></p><p>　　滲透測試的有關概念說明</p><p>　　滲透測試是一種安全性測試，在這種測試中，攻擊者模擬現(xiàn)實世界中的方法去攻擊應用程序、系統(tǒng)或者網(wǎng)絡的安全功能。它常常利

65、用攻擊者常用的工具和技術來對真實的系統(tǒng)和數(shù)據(jù)發(fā)動真實的攻擊。大多數(shù)滲透測試試圖尋找一組安全漏洞，相對于單一的漏洞，這樣可以獲得更多能夠進入系統(tǒng)的機會。滲透測試也可用于確定：</p><p>　　系統(tǒng)對現(xiàn)實世界的攻擊模式的容忍度如何</p><p>　　攻擊者需要成功破壞系統(tǒng)所面對的大體復雜程度</p><p>　　可以減少對系統(tǒng)威脅的其他對策</p>

66、<p>　　防御者能夠檢測攻擊并且做出正確的反應的能力。</p><p>　　滲透測試是一種非常重要的安全測試，但它是勞動密集型的，并且需要豐富的專業(yè)知識以盡量減少對目標系統(tǒng)的風險。盡管相關機構很清楚的知道一個系統(tǒng)是如何被一個入侵者變得無法使用，但是在滲透測試的過程中，系統(tǒng)往往會被破壞。雖然有經(jīng)驗的測試人員可以降低這種風險，但絕不能完全避免。滲透檢測應該是經(jīng)過深思熟慮和認真規(guī)劃的。</p>

67、<p>　　滲透測試通常包括非技術的攻擊方法。例如，一個測試員可以通過非正常的手段連接到網(wǎng)絡，以竊取設備，捕獲敏感信息（可能是通過安裝擊鍵記錄設備）或者破壞通信。在執(zhí)行人身安全時，應謹慎行事——保安人員應該清楚如何驗證入侵活動的有效性，如通過接觸點或者文檔。另一種非技術攻擊手段是通過社會手段，如喬裝成服務臺代理，然后打電話詢問用戶的密碼，或者喬裝成用戶，然后打電話給服務臺代理要求重置密碼。對人身安全測試的更多信息，社會工程技

68、術，以及其他非技術手段的滲透攻擊測試，不在本出版物的討論范圍。</p><p>　　A.1 滲透測試階段</p><p>　　圖A.1代表滲透測試的四個階段。在規(guī)劃階段，確定規(guī)則，管理層審批定稿，記錄在案，并設定測試目標。規(guī)劃階段為一個成功的滲透測試奠定基礎，在該階段不發(fā)生實際的測試。</p><p>　　圖A.1 滲透測試的四個階段</p><

69、p>　　滲透測試的發(fā)現(xiàn)階段包括兩個部分：</p><p>　　第一部分是實際測試的開始，包括信息收集和掃描。網(wǎng)絡端口和服務標識用于進行潛在目標的確定。除端口及服務標識外，還有以下技術也被用于收集網(wǎng)絡信息目標：</p><p>　　a) 主機名和IP地址信息可通過許多方法獲取，包括DNS、InterNIC（WHOIS）查詢和網(wǎng)絡監(jiān)聽；</p><p>　　b)

70、系統(tǒng)內(nèi)部用戶姓名、聯(lián)系方式等可通過搜索系統(tǒng)網(wǎng)站服務器或目錄服務器來獲得系統(tǒng)信息，可以通過像NetBIOS枚舉方法和網(wǎng)絡信息系統(tǒng)來得到應用程序和服務信息，如版本號。</p><p>　　第二部分是漏洞分析，包括比較服務、應用程序，掃描主機的操作系統(tǒng)、對應于數(shù)據(jù)庫的漏洞。評估者可以使用他們自己的數(shù)據(jù)庫，或者是公共數(shù)據(jù)庫來手動找出漏洞。 </p><p>　　執(zhí)行攻擊是滲透測試的核心。攻擊階段是

71、一個通過對原先確定的漏洞進一步探查，進而核實潛在漏洞的過程。如果攻擊成功，漏洞就會得到驗證，保障措施就會確定以減輕相關的安全風險。在許多情況下，執(zhí)行探查并不會讓攻擊者獲得潛在的最大入口。他們反而會使評估者了解更多目標網(wǎng)絡和其潛在漏洞的內(nèi)容，或誘發(fā)對目標網(wǎng)絡的安全狀態(tài)的改變。一些探查，使評估者提升對于系統(tǒng)或網(wǎng)絡的特權，以獲得額外資源，因此需要額外的分析和測試來確定網(wǎng)絡安全情況，比如說，確定可以從系統(tǒng)上被搜集、改變或去除的信息的類型。倘若一

72、個特定漏洞的攻擊證明行不通，評估者應嘗試利用另一個發(fā)現(xiàn)的漏洞。這些工具用于獲取網(wǎng)絡上的其他系統(tǒng)或資源，并獲得有關網(wǎng)絡或組織的信息。在對多個系統(tǒng)進行滲透測試的過程中，需要實施測試和分析，以確定對手可能獲得的入口水平。這個過程代表圖B-1中滲透測試階段的攻擊和發(fā)現(xiàn)過程的反饋循環(huán)。</p><p>　　雖然漏洞掃描器只對可能存在的漏洞進行檢查，而滲透測試的攻擊階段利用此漏洞來確認它的存在。通過滲透測試可將大多數(shù)的漏洞分

73、為以下幾類：</p><p>　　a) 配置錯誤。安全設置的配置錯誤，特別是不安全的默認設置，通常很容易被利用。</p><p>　　b) 內(nèi)核缺陷。內(nèi)核代碼是操作系統(tǒng)的核心，執(zhí)行該系統(tǒng)的整體安全模型——因此置于整個系統(tǒng)中內(nèi)核的任何安全漏洞都是危險的</p><p>　　c) 緩沖區(qū)溢出。當程序不能充分檢查適當長度的輸入時會發(fā)生緩沖區(qū)溢出的程序。如果發(fā)生這種情況，則

74、任意代碼都可以被導入到系統(tǒng)中并有權執(zhí)行正在運行的程序。</p><p>　　d) 缺乏足夠的輸入驗證。許多應用程序不能完全驗證他們從用戶中接收到的輸入。例如，一個在數(shù)據(jù)庫查詢中嵌入了用戶值的Web應用程序。如果用戶輸入的是SQL命令而不是或其他所要求的值，那么Web應用程序?qū)⒉贿^濾SQL命令，查詢可能會以該用戶所請求的惡意修改的方式運行，導致眾所周知的SQL注入式攻擊</p><p>　　

75、e) 符號鏈接。符號鏈接是一個文件指向另一個文件的鏈接。操作系統(tǒng)提供了可以改變一個文件授予權限的程序，如果這些程序運行帶有權限限制，用戶可以創(chuàng)建符號策略以欺騙這些程序修改或列出關鍵系統(tǒng)文件。</p><p>　　f) 文件描述符攻擊。文件描述符在系統(tǒng)中大量使用，用于記錄文件名所代替的文件。文件描述符的具體類型有暗示用途。當特權程序分配一個不恰當?shù)奈募枋龇?，它暴露該文件以示妥協(xié)</p><p&

76、gt;　　g) 競爭條件。競爭條件可以發(fā)生在一個程序或進程已進入特權模式下的時候。用戶可以利用特權升級的優(yōu)勢定時進行一次攻擊，而該程序或進程仍然在特權模式下</p><p>　　h) 不正確的文件和目錄權限。文件和目錄的權限控制分配給用戶和進程的訪問。差的權限可能允許多種類型的攻擊，包括密碼文件的閱讀和書寫或其他有可信度的遠程主機的名單。</p><p>　　在報告階段中同時發(fā)生其他三個階

77、段的滲透測試（見圖A.1）。在規(guī)劃階段，評估計劃或凈資產(chǎn)收益率是不斷更新的。在發(fā)現(xiàn)和攻擊階段，通常是保存書面記錄并定期向系統(tǒng)管理員和/或管理部門報告。在測試結(jié)束后，報告通常是用來描述被發(fā)現(xiàn)的漏洞、目前的風險等級，并就如何彌補發(fā)現(xiàn)的薄弱環(huán)節(jié)進行指導。</p><p>　　A.2 滲透測試方案</p><p>　　滲透測試方案應側(cè)重于找出在應用程序、系統(tǒng)或網(wǎng)絡中設計并實施的缺陷。測試應該重現(xiàn)最

78、可能的和最具破壞性的攻擊模式——包括最壞的情況，諸如由管理員所制造的惡意行為。由于滲透測試方案可以設計，以模擬內(nèi)部攻擊、外部攻擊，或兩者兼而有之，因此外部和內(nèi)部安全測試方法均要考慮到。如果內(nèi)部和外部測試都要執(zhí)行，則通常優(yōu)先執(zhí)行外部測試。</p><p>　　外部測試方案模擬那些假設具備很少或根本沒有具體的目標知識的外部攻擊者。模擬一個外部攻擊，評估者不提供任何關于目標環(huán)境以外的其他特別IP地址或地址范圍情況的真實

79、信息。他們通過公共網(wǎng)頁，新聞，和相似的網(wǎng)站收集目標信息，進行開放源代碼研究。然后，他們使用端口掃描器和漏洞掃描儀，以識別目標主機。由于評估者的流量最有可能穿越防火墻，從內(nèi)部測試的角度來看，從掃描獲取的大量信息，遠遠少于進行測試獲得的信息。在識別一個可以從外部到達的網(wǎng)絡上主機后，評估者嘗試成為被危害主機中的一個。如果成功的話，那么他們可能使用此訪問權限去使得那些不容易從外部網(wǎng)絡主機訪問權限的被危害主機。滲透測試是一個迭代的過程，利用最小的

80、訪問權限取得更大的訪問。</p><p>　　內(nèi)部測試方案模擬內(nèi)部的惡意行為。除了評估者位于內(nèi)部網(wǎng)絡（即防火墻后面）外，內(nèi)部滲透測試與外部測試類似，并給予對網(wǎng)絡或特定的系統(tǒng)的某種程度的訪問權限（通常是作為一個用戶，但有時在更高層次上）。滲透測試評估者可以通過的特權升級爭取更大程度的網(wǎng)絡和系統(tǒng)的訪問權限。</p><p>　　滲透測試決定了一個信息系統(tǒng)的網(wǎng)絡漏洞以及如果網(wǎng)絡受到影響所可能發(fā)生

81、的損害程度。滲透測試對網(wǎng)絡和系統(tǒng)也有高風險，因為它使用真正的資源并對生產(chǎn)系統(tǒng)和數(shù)據(jù)進行攻擊。此外，滲透測試可以在評估者達到當其他行為會造成損害的時間點時即停止。應重視滲透測試的結(jié)果，當結(jié)果可用時，應提交給該系統(tǒng)的管理者。 </p><p><b>　　參考文獻</b></p><p>　　[1]GB/T 18336.1-2015 信息技術 安全技術 信息技術安全評估準

82、則 第1部分：簡介和一般模型</p><p>　　[2]GB/T 18336.2-2015 信息技術 安全技術 信息技術安全評估準則 第2部分：安全功能</p><p>　　[3]GB/T 18336.3-2015 信息技術 安全技術 信息技術安全評估準則 第3部分：安全保障</p><p>　　[5]GB/T 20269-2006 信息安全技術 信息系統(tǒng)安全管理要

83、求</p><p>　　[6]GB/T 20270-2006 信息安全技術 網(wǎng)絡基礎安全技術要求</p><p>　　[7]GB/T 20282-2006 信息安全技術 信息系統(tǒng)安全工程管理要求</p><p>　　[8]GB/T 22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求</p><p>　　[9]GB/T 28448

84、-2012信息安全技術 信息系統(tǒng)安全等級保護測評要求</p><p>　　[10]GB/T 28449-2012信息安全技術 信息系統(tǒng)安全等級保護測評過程指南 </p><p>　　[11]Special Publication 800-115 Technical Guide to Information Security Testing and Assessment</p>