商業(yè)銀行滲透測試解決方案

1、商業(yè)銀行滲透測試解決方案一、滲透測試背景銀行是網(wǎng)絡(luò)信息技術(shù)應(yīng)用最密集、應(yīng)用水平最高的行業(yè)之一，基于計(jì)算機(jī)網(wǎng)絡(luò)的各類銀行信息系統(tǒng)已經(jīng)成為銀行產(chǎn)品的開發(fā)推廣、銀行業(yè)務(wù)的展開、銀行日常管理和決策的所依賴的關(guān)鍵組成部分。這種依賴性使得銀行面臨著由于網(wǎng)絡(luò)信息系統(tǒng)本身所帶來的銀行信息技術(shù)風(fēng)險(xiǎn)。銀行信息技術(shù)風(fēng)險(xiǎn)的主要挑戰(zhàn)來自于基礎(chǔ)網(wǎng)絡(luò)信息技術(shù)的復(fù)雜性和變化，其中面對互聯(lián)網(wǎng)主要有以下幾個(gè)方面風(fēng)險(xiǎn)：基于網(wǎng)絡(luò)的電子銀行，需要有完善的安全體系架構(gòu)；面向Internet的銀行業(yè)務(wù)面臨著各種各樣的互聯(lián)網(wǎng)威脅；遠(yuǎn)程移動(dòng)用戶接入和內(nèi)部用戶接入Internet，都可能引入不同類型的威脅源；釣魚網(wǎng)站對于銀行網(wǎng)上業(yè)務(wù)和企業(yè)信譽(yù)的

2、損害。伴隨銀行業(yè)務(wù)的發(fā)展，原有的網(wǎng)上銀行、門戶網(wǎng)站等都進(jìn)行了不同程度的功能更新和系統(tǒng)投產(chǎn)，同時(shí)，行內(nèi)系統(tǒng)安全要求越來越高，可能受到的惡意攻擊包括：信息篡改與重放、信息銷毀、信息欺詐與抵賴、非授權(quán)訪問、網(wǎng)絡(luò)間諜、“黑客”入侵、病毒傳播、特洛伊木馬、蠕蟲程序、邏輯炸彈等。這些攻擊完全能造成信息系統(tǒng)癱瘓、重要信息流失。二、滲透測試的目標(biāo)本項(xiàng)目通過滲透測試的方式，模擬黑客的攻擊思路與技術(shù)手段，達(dá)到以下目標(biāo)：從攻擊者角度，發(fā)現(xiàn)網(wǎng)銀系統(tǒng)、信用卡網(wǎng)站、門戶網(wǎng)站和中間業(yè)務(wù)等應(yīng)用系統(tǒng)及網(wǎng)關(guān)入口設(shè)備存在的安全隱患；檢測對外提供服務(wù)的業(yè)務(wù)系統(tǒng)（如網(wǎng)銀系統(tǒng)、信用卡網(wǎng)站、門戶網(wǎng)站等）以及行內(nèi)重要業(yè)務(wù)系統(tǒng)的威脅防御能力。

3、深度挖掘滲透測試范圍內(nèi)應(yīng)用系統(tǒng)各個(gè)層面（應(yīng)用層、網(wǎng)絡(luò)層、系統(tǒng)層）的安全漏洞；檢驗(yàn)當(dāng)前安全控制措施的有效性，針對發(fā)現(xiàn)的安全風(fēng)險(xiǎn)及時(shí)進(jìn)行整改，增強(qiáng)系統(tǒng)自身防御能力，提升安全保障體系的整體健壯性。三、滲透測試原則與風(fēng)險(xiǎn)控制原則遵循規(guī)范滲透測試通過可控的安全測試技術(shù)對限定范圍內(nèi)的應(yīng)用系統(tǒng)進(jìn)行滲透測試，同時(shí)結(jié)合以下業(yè)界著名的測試框架組合成最佳實(shí)踐進(jìn)行操作：ISECOM制定的開源安全測試方法OSSTMM-v2.2開放Web應(yīng)用安全項(xiàng)目OWASP-v3風(fēng)險(xiǎn)控制滲透測試過程最大的風(fēng)險(xiǎn)在于測試過程中對業(yè)務(wù)產(chǎn)生影響，為此我們在實(shí)施滲透測試中采取以下措施來減小風(fēng)險(xiǎn)：雙方確認(rèn)進(jìn)行每一階段的滲透測試前，必須獲得客戶方的

4、書面同意和授權(quán)。對于任何滲透測試的對象的變更和測試條件的變更也都必須獲得雙方的同意并達(dá)成一致意見，方可執(zhí)行。工具選擇為防止造成真正的攻擊，在滲透性測試項(xiàng)目中，啟明星辰會(huì)嚴(yán)格選擇測試工具，杜絕因工具選擇不當(dāng)造成的將病毒和木馬植入的情況發(fā)生。時(shí)間選擇為減輕滲透性測試對用戶網(wǎng)絡(luò)和系統(tǒng)的影響，安排在不影響正常業(yè)務(wù)運(yùn)作的時(shí)間段進(jìn)行，具體時(shí)間主要限制雙方協(xié)調(diào)和商定的時(shí)間范圍內(nèi)。范圍控制啟明星辰承諾不會(huì)對授權(quán)范圍之外的網(wǎng)絡(luò)設(shè)備、主機(jī)和系統(tǒng)進(jìn)行漏洞檢測、攻擊測試，嚴(yán)格按照滲透測試范圍內(nèi)限定的應(yīng)用系統(tǒng)進(jìn)行測試。策略選擇為防止?jié)B透性測試造成用戶網(wǎng)絡(luò)和系統(tǒng)的服務(wù)中斷，啟明星辰在滲透性測試中不使用含有拒絕服務(wù)的測試策

5、略，不使用未經(jīng)許可的方式進(jìn)行滲透測試。操作過程審計(jì)為保證測試過程可審計(jì)，啟明星辰將在測試過程中開啟測試工具的審計(jì)日志功能，階段性測試目標(biāo)測試結(jié)束后，會(huì)將審計(jì)日志提交用戶，以便用戶監(jiān)控測試過程。項(xiàng)目溝通啟明星辰建議：在項(xiàng)目實(shí)施過程中，除了確定不同階段的測試人員以外，還要確定各階段的客戶方配合人員，建立雙方直接溝通的渠道；項(xiàng)目實(shí)施過程中需要客戶方人員同時(shí)在場配合工作，并保持及時(shí)、充分、合理的溝通。系統(tǒng)備份和恢復(fù)措施為避免實(shí)際滲透測試過程中可能會(huì)發(fā)生不可預(yù)知的風(fēng)險(xiǎn)，因此在滲透測試前相關(guān)管理人員應(yīng)對系統(tǒng)或關(guān)鍵數(shù)據(jù)進(jìn)行備份、確保相關(guān)的日志審計(jì)功能正常開啟，一旦在出現(xiàn)問題時(shí)，可以及時(shí)的恢復(fù)運(yùn)轉(zhuǎn)。四、滲透測試工作內(nèi)容與方法滲透測試方法滲透測試完全模擬黑客的入侵思路與技術(shù)手段，黑客的攻擊入侵需要利用目標(biāo)網(wǎng)絡(luò)的安全弱點(diǎn)，滲透測試也是同樣的道理。以人工滲透為主，以攻擊工具的使用為輔助，這樣保證了整個(gè)滲透測試過程都在可以控制和調(diào)整的范圍之內(nèi)。滲透測試流程滲透測試流程嚴(yán)格依照下圖執(zhí)行，采用可控制的、非破壞性質(zhì)的滲透測試，并在執(zhí)行過程中把握好每一個(gè)步驟的信息輸入/輸出，控制好風(fēng)險(xiǎn)，確保對光大銀行網(wǎng)絡(luò)不造成破壞性的損害，保證滲透測試前