滲透測(cè)試的定義
滲透測(cè)試是一種安全性測(cè)試,在該類測(cè)試中,測(cè)試人員將模擬攻擊者,利用攻擊者常用的工具和技術(shù)對(duì)應(yīng)用程序、信息系統(tǒng)或者網(wǎng)絡(luò)的安全功能發(fā)動(dòng)真實(shí)的攻擊。相對(duì)于單一的漏洞,大多數(shù)滲透測(cè)試試圖尋找一組安全漏洞,從而獲得更多能夠進(jìn)入系統(tǒng)的機(jī)會(huì)。
第三方檢測(cè)機(jī)構(gòu)滲透測(cè)試的作用:
1、判斷系統(tǒng)對(duì)現(xiàn)實(shí)世界的攻擊模式的容忍度如何。
2、攻擊者需要成功破壞系統(tǒng)所面對(duì)的大體復(fù)雜程度;
3、可減少系統(tǒng)威脅的其他對(duì)策;
4、防御者能夠檢測(cè)攻擊并且做出正確反應(yīng)的能力。
2026年有哪些的政策硬性要求系統(tǒng)必須做滲透測(cè)試?
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,第二十一條明確要求“及時(shí)處置系統(tǒng)漏洞”等安全風(fēng)險(xiǎn)。這是所有合規(guī)要求的根本大法,確立了發(fā)現(xiàn)和修補(bǔ)漏洞是網(wǎng)絡(luò)運(yùn)營(yíng)者的基本義務(wù)。
2、《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,第八條明確規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者發(fā)現(xiàn)或獲知其系統(tǒng)存在漏洞后,應(yīng)當(dāng)立即采取措施,及時(shí)對(duì)安全漏洞進(jìn)行驗(yàn)證并完成修補(bǔ)。
3、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》,第十七條要求,運(yùn)營(yíng)者應(yīng)當(dāng)自行或委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施(如能源、交通、金融等領(lǐng)域)每年進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估。并且明確規(guī)定,對(duì)其進(jìn)行漏洞探測(cè)、滲透測(cè)試等活動(dòng),必須事先獲得批準(zhǔn)或授權(quán)。
4、《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度 (等保2.0)》,等保測(cè)評(píng)中,漏洞掃描和滲透測(cè)試是“工具測(cè)試”環(huán)節(jié)的核心內(nèi)容。在高級(jí)別系統(tǒng)(如等保三級(jí))的測(cè)評(píng)要求中,滲透測(cè)試是必須進(jìn)行的檢查項(xiàng)目。
5、海南省的《三醫(yī)真實(shí)世界數(shù)據(jù)使用管理暫行辦法》就要求,相關(guān)數(shù)據(jù)存儲(chǔ)系統(tǒng)需通過(guò)定期滲透測(cè)試和漏洞掃描來(lái)確保防護(hù)有效性。
進(jìn)行滲透測(cè)試時(shí),可考慮以下評(píng)估要素和評(píng)估原則:
1、 通過(guò)滲透測(cè)試評(píng)估確認(rèn)以下漏洞的存在:
(1)系統(tǒng)/服務(wù)類漏洞。
(2)應(yīng)用代碼類漏洞。
(3)權(quán)限旁路類漏洞。
(4)配置不當(dāng)類漏洞。
(5)信息泄露類漏洞。
(6)業(yè)務(wù)邏輯缺陷類漏洞。
2、 充分考慮等級(jí)保護(hù)對(duì)象面臨的安全風(fēng)險(xiǎn),選擇并模擬內(nèi)部攻擊或外部(從互聯(lián)網(wǎng)、第三方機(jī)構(gòu)等外部網(wǎng)絡(luò))攻擊。
3、詳細(xì)的滲透測(cè)試方案內(nèi)容包括滲透測(cè)試對(duì)象、滲透測(cè)試風(fēng)險(xiǎn)及規(guī)避措施等內(nèi)容。
廣東騰創(chuàng)具有CNAS、CMA/CCRC、信息安全風(fēng)險(xiǎn)評(píng)估等資質(zhì)證書,可提供信息安全綜合保障服務(wù)檢測(cè)。內(nèi)容包含:漏洞掃描(應(yīng)用、系統(tǒng)、設(shè)備、數(shù)據(jù)庫(kù)等)、源代碼安全評(píng)估、滲透測(cè)試、信息安全風(fēng)險(xiǎn)評(píng)估、基線核查、信息安全應(yīng)急演練、信息安全應(yīng)急響應(yīng)、系統(tǒng)上線安全評(píng)估、信息安全培訓(xùn)、互聯(lián)網(wǎng)暴露面檢測(cè)、內(nèi)網(wǎng)資產(chǎn)梳理機(jī)風(fēng)險(xiǎn)排查、信息安全巡檢、信息安全迎檢等。還能提供電力信息系統(tǒng)代碼檢測(cè),安全檢測(cè)(滲透測(cè)試、漏洞測(cè)試)。
手機(jī):13802798690(鄺經(jīng)理)
電話:020-32200125
傳真:020-32200125
郵編:510663
地址:廣州市黃埔區(qū)彩頻路9號(hào)501-5、501-6、501-7房
賽辰檢測(cè)微信公眾號(hào)
在線客服1
400-004-1069