滲透測試的定義
滲透測試是一種安全性測試,在該類測試中,測試人員將模擬攻擊者,利用攻擊者常用的工具和技術(shù)對應(yīng)用程序、信息系統(tǒng)或者網(wǎng)絡(luò)的安全功能發(fā)動真實的攻擊。相對于單一的漏洞,大多數(shù)滲透測試試圖尋找一組安全漏洞,從而獲得更多能夠進入系統(tǒng)的機會。
第三方檢測機構(gòu)滲透測試的作用:
1、判斷系統(tǒng)對現(xiàn)實世界的攻擊模式的容忍度如何。
2、攻擊者需要成功破壞系統(tǒng)所面對的大體復(fù)雜程度;
3、可減少系統(tǒng)威脅的其他對策;
4、防御者能夠檢測攻擊并且做出正確反應(yīng)的能力。
2026年有哪些的政策硬性要求系統(tǒng)必須做滲透測試?
《中華人民共和國網(wǎng)絡(luò)安全法》,第二十一條明確要求“及時處置系統(tǒng)漏洞”等安全風(fēng)險。這是所有合規(guī)要求的根本大法,確立了發(fā)現(xiàn)和修補漏洞是網(wǎng)絡(luò)運營者的基本義務(wù)。
2、《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,第八條明確規(guī)定,網(wǎng)絡(luò)運營者發(fā)現(xiàn)或獲知其系統(tǒng)存在漏洞后,應(yīng)當(dāng)立即采取措施,及時對安全漏洞進行驗證并完成修補。
3、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》,第十七條要求,運營者應(yīng)當(dāng)自行或委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施(如能源、交通、金融等領(lǐng)域)每年進行一次網(wǎng)絡(luò)安全檢測和風(fēng)險評估。并且明確規(guī)定,對其進行漏洞探測、滲透測試等活動,必須事先獲得批準(zhǔn)或授權(quán)。
4、《網(wǎng)絡(luò)安全等級保護制度 (等保2.0)》,等保測評中,漏洞掃描和滲透測試是“工具測試”環(huán)節(jié)的核心內(nèi)容。在高級別系統(tǒng)(如等保三級)的測評要求中,滲透測試是必須進行的檢查項目。
5、海南省的《三醫(yī)真實世界數(shù)據(jù)使用管理暫行辦法》就要求,相關(guān)數(shù)據(jù)存儲系統(tǒng)需通過定期滲透測試和漏洞掃描來確保防護有效性。
進行滲透測試時,可考慮以下評估要素和評估原則:
1、 通過滲透測試評估確認以下漏洞的存在:
(1)系統(tǒng)/服務(wù)類漏洞。
(2)應(yīng)用代碼類漏洞。
(3)權(quán)限旁路類漏洞。
(4)配置不當(dāng)類漏洞。
(5)信息泄露類漏洞。
(6)業(yè)務(wù)邏輯缺陷類漏洞。
2、 充分考慮等級保護對象面臨的安全風(fēng)險,選擇并模擬內(nèi)部攻擊或外部(從互聯(lián)網(wǎng)、第三方機構(gòu)等外部網(wǎng)絡(luò))攻擊。
3、詳細的滲透測試方案內(nèi)容包括滲透測試對象、滲透測試風(fēng)險及規(guī)避措施等內(nèi)容。
廣東騰創(chuàng)具有CNAS、CMA/CCRC、信息安全風(fēng)險評估等資質(zhì)證書,可提供信息安全綜合保障服務(wù)檢測。內(nèi)容包含:漏洞掃描(應(yīng)用、系統(tǒng)、設(shè)備、數(shù)據(jù)庫等)、源代碼安全評估、滲透測試、信息安全風(fēng)險評估、基線核查、信息安全應(yīng)急演練、信息安全應(yīng)急響應(yīng)、系統(tǒng)上線安全評估、信息安全培訓(xùn)、互聯(lián)網(wǎng)暴露面檢測、內(nèi)網(wǎng)資產(chǎn)梳理機風(fēng)險排查、信息安全巡檢、信息安全迎檢等。還能提供電力信息系統(tǒng)代碼檢測,安全檢測(滲透測試、漏洞測試)。
在線客服1
400-004-1069