版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1云計(jì)算平臺(tái)滲透測(cè)試實(shí)施指南本文件規(guī)定了云計(jì)算平臺(tái)滲透測(cè)試實(shí)施的過程和方法。本文件適用于各類滲透測(cè)試機(jī)構(gòu)或被滲透組織對(duì)云計(jì)算平臺(tái)滲透測(cè)試項(xiàng)目的管理,指導(dǎo)滲透測(cè)試項(xiàng)目的組織、實(shí)施、驗(yàn)收等工作。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對(duì)應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T31168-2014信息安全技術(shù)云計(jì)算服務(wù)安全能力要求GB/T31509-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1云計(jì)算平臺(tái)Cloudcomputingplatform云服務(wù)商提供的云基礎(chǔ)設(shè)施及其上的服務(wù)軟件的集合。3.2滲透測(cè)試penetrationtesting以未經(jīng)授權(quán)的動(dòng)作繞過某一系統(tǒng)的安全機(jī)制來檢查信息系統(tǒng)的安全功能,以發(fā)現(xiàn)信息系統(tǒng)安全問題的手段。4滲透測(cè)試實(shí)施概述4.1實(shí)施原則4.1.1全面性原則在規(guī)定的測(cè)試范圍內(nèi),應(yīng)覆蓋云計(jì)算平臺(tái)中的全部服務(wù)及每個(gè)服務(wù)中的全部功能。4.1.2可控性原則2在滲透測(cè)試項(xiàng)目實(shí)施過程中,應(yīng)嚴(yán)格按照標(biāo)準(zhǔn)的項(xiàng)目管理方法對(duì)服務(wù)過程、人員和工具等進(jìn)行控制,以保證滲透測(cè)試實(shí)施過程的可控和安全。a)服務(wù)可控性:測(cè)試方應(yīng)事先在測(cè)試工作溝通會(huì)議中向被測(cè)單位介紹測(cè)試服務(wù)流程,明確需要得到被測(cè)單位組織協(xié)作的工作內(nèi)容,確保測(cè)試服務(wù)工作的順利進(jìn)行。b)人員與信息可控性:所有參與測(cè)試的人員應(yīng)簽署保密協(xié)議,以保證項(xiàng)目信息的安全;應(yīng)對(duì)工作過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格管理,未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人。c)過程可控性:應(yīng)按照項(xiàng)目管理要求,成立項(xiàng)目實(shí)施團(tuán)隊(duì),項(xiàng)目組長(zhǎng)負(fù)責(zé)制,達(dá)到項(xiàng)目過程的可控。d)工具可控性:測(cè)試人員所使用的測(cè)試工具應(yīng)該事先通告被測(cè)單位,且測(cè)試人員所使用的測(cè)試工具應(yīng)具有安全產(chǎn)品證書或具有相關(guān)惡意代碼、后門檢測(cè)報(bào)告,并在項(xiàng)目實(shí)施前獲得被測(cè)單位的許可,包括產(chǎn)品本身、測(cè)試策略等。4.1.3最小影響原則應(yīng)采用最小影響原則,與被測(cè)單位溝通并進(jìn)行應(yīng)急備份,同時(shí)提前確定合適的測(cè)試時(shí)間窗口,選擇避開業(yè)務(wù)的高峰時(shí)間進(jìn)行,即首要保障云計(jì)算平臺(tái)的穩(wěn)定運(yùn)行。4.2實(shí)施過程滲透測(cè)試實(shí)施過程包括四個(gè)基本階段:準(zhǔn)備階段、方案編制階段、現(xiàn)場(chǎng)實(shí)施階段、報(bào)告編制階段。測(cè)試相關(guān)方之間的溝通與洽談應(yīng)貫穿整個(gè)滲透測(cè)試過程。每一測(cè)試活動(dòng)有一組確定的工作任務(wù)。具體如表1所示。實(shí)施階段主要工作準(zhǔn)備階段工作啟動(dòng)建立聯(lián)系機(jī)制滲透測(cè)試授權(quán)工具和表單準(zhǔn)備環(huán)境準(zhǔn)備風(fēng)險(xiǎn)控制方案編制階段確定測(cè)試對(duì)象確定測(cè)試內(nèi)容確定測(cè)試工具確定測(cè)試方法確定測(cè)試方案現(xiàn)場(chǎng)實(shí)施階段實(shí)施準(zhǔn)備滲透測(cè)試和結(jié)果記錄結(jié)果記錄確認(rèn)滲透測(cè)試報(bào)告編制過程描述風(fēng)險(xiǎn)分析整改建議3報(bào)告結(jié)論報(bào)告審核5準(zhǔn)備階段5.1工作啟動(dòng)在工作啟動(dòng)任務(wù)中,組建測(cè)試項(xiàng)目組,獲取被測(cè)單位及測(cè)試對(duì)象的基本情況,從基本資料、人員、計(jì)劃安排等方面為整個(gè)測(cè)試項(xiàng)目的實(shí)施做好充分準(zhǔn)備。5.2建立聯(lián)系機(jī)制在滲透測(cè)試工作開展前,與被測(cè)單位溝通確定此次工作的內(nèi)容、實(shí)施時(shí)間及聯(lián)系人信息,確保被測(cè)單位做好數(shù)據(jù)備份及突發(fā)情況下的應(yīng)急預(yù)案。5.3滲透測(cè)試授權(quán)測(cè)評(píng)方應(yīng)同被測(cè)單位簽署書面的滲透測(cè)試授權(quán)書和保密協(xié)議。測(cè)試方的滲透測(cè)試應(yīng)在取得被測(cè)單位授權(quán)的前提下開展。被測(cè)單位應(yīng)對(duì)滲透測(cè)試所有細(xì)節(jié)和風(fēng)險(xiǎn)的知曉,所有過程都在被測(cè)單位的控制下進(jìn)行。5.4工具和表單準(zhǔn)備測(cè)試項(xiàng)目組成員在進(jìn)行現(xiàn)場(chǎng)測(cè)試之前,應(yīng)熟悉測(cè)試對(duì)象、調(diào)試測(cè)試工具、準(zhǔn)備各種表單等。a)測(cè)試人員調(diào)試本次測(cè)試過程中將用到的測(cè)試工具,包括漏洞掃描工具、滲透性測(cè)試工具、性能測(cè)試工具和協(xié)議分析工具等。b)測(cè)試人員在測(cè)試環(huán)境模擬被測(cè)定級(jí)對(duì)象架構(gòu),為開發(fā)相關(guān)的網(wǎng)絡(luò)及主機(jī)設(shè)備等測(cè)試對(duì)象測(cè)試指導(dǎo)書做好準(zhǔn)備,并進(jìn)行必要的工具驗(yàn)證。c)準(zhǔn)備和打印表單,包括但不限于:風(fēng)險(xiǎn)告知書、文檔交接單、會(huì)議記錄表單、會(huì)議簽到表單等。5.5環(huán)境準(zhǔn)備測(cè)試環(huán)境準(zhǔn)備包括但不限于:a)所需的硬件。b)所需的軟件,包括基礎(chǔ)軟件和測(cè)試工具軟件。c)所需的網(wǎng)絡(luò)環(huán)境,包括網(wǎng)絡(luò)拓?fù)?、系統(tǒng)架構(gòu)、服務(wù)配置等。d)測(cè)試所需的基礎(chǔ)數(shù)據(jù)。e)測(cè)試實(shí)施的物理場(chǎng)地與辦公設(shè)施。5.6風(fēng)險(xiǎn)控制針對(duì)滲透測(cè)試過程中可能出現(xiàn)的測(cè)試風(fēng)險(xiǎn),測(cè)試人員宜向被測(cè)單位詳細(xì)介紹滲透測(cè)試過程中可能出現(xiàn)的風(fēng)險(xiǎn),并與被測(cè)單位就如下內(nèi)容進(jìn)行協(xié)商,做好滲透測(cè)試的風(fēng)險(xiǎn)控制:a)測(cè)試時(shí)間:為減輕滲透測(cè)試造成的壓力和預(yù)備風(fēng)險(xiǎn)排除時(shí)間,宜盡可能選擇訪問量不大、業(yè)務(wù)不繁忙的時(shí)間窗口,測(cè)試前可在云計(jì)算平臺(tái)上發(fā)布相應(yīng)的公告;b)測(cè)試策略:4為了防范測(cè)試導(dǎo)致業(yè)務(wù)的中斷,測(cè)試人員宜在進(jìn)行帶有滲透、破壞、不可控性質(zhì)的高風(fēng)險(xiǎn)測(cè)試前,與云計(jì)算平臺(tái)管理人員進(jìn)行充分溝通,在云計(jì)算平臺(tái)管理人員確認(rèn)后方可進(jìn)行測(cè)試;c)備份策略:為防范滲透過程中的異常問題,建議在測(cè)試前管理員對(duì)云計(jì)算平臺(tái)進(jìn)行備份,以便在出現(xiàn)誤操作時(shí)能及時(shí)恢復(fù);d)應(yīng)急策略:測(cè)試過程中,如果被測(cè)云計(jì)算平臺(tái)出現(xiàn)無響應(yīng)、中斷或者崩潰等異常情況,測(cè)試人員宜立即中止?jié)B透測(cè)試,并配合被測(cè)單位進(jìn)行修復(fù)處理;在確認(rèn)問題并恢復(fù)云計(jì)算平臺(tái)后,經(jīng)被測(cè)單位同意方可繼續(xù)進(jìn)行其余的測(cè)試;e)溝通機(jī)制:在測(cè)試前,宜確定測(cè)試人員和被測(cè)單位配合人員的聯(lián)系方式,被測(cè)單位方宜在測(cè)試期間安排專人職守,與測(cè)試人員保持溝通,如發(fā)生異常情況,可及時(shí)響應(yīng);測(cè)試人員宜在測(cè)試結(jié)束后要求被測(cè)單位檢查云計(jì)算平臺(tái)是否正常,以確保云計(jì)算平臺(tái)的正常運(yùn)行。6方案編制階段6.1確定測(cè)試對(duì)象分析被測(cè)單位云計(jì)算平臺(tái)的業(yè)務(wù)流程、數(shù)據(jù)流程、范圍、特點(diǎn)及各個(gè)設(shè)備及組件的主要功能,確定出本次測(cè)試的測(cè)試對(duì)象。6.2確定測(cè)試內(nèi)容結(jié)合測(cè)試對(duì)象的特點(diǎn),確定現(xiàn)場(chǎng)測(cè)試的具體實(shí)施內(nèi)容。6.3確定測(cè)試工具根據(jù)測(cè)試對(duì)象和測(cè)試內(nèi)容合理選擇相應(yīng)的測(cè)試工具,測(cè)試工具的選擇和使用應(yīng)遵循以下原則:a)測(cè)試人員應(yīng)在滲透測(cè)試前對(duì)測(cè)試工具進(jìn)行升級(jí)更新;b)測(cè)試工具使用的檢測(cè)策略和檢測(cè)方式不應(yīng)對(duì)云計(jì)算平臺(tái)造成不正常影響;c)可采用多種測(cè)試工具對(duì)同一測(cè)試對(duì)象進(jìn)行檢測(cè),如果出現(xiàn)檢測(cè)結(jié)果不一致的情況,應(yīng)進(jìn)一步采用必要的人工檢測(cè)和關(guān)聯(lián)分析,并給出與實(shí)際情況最為相符的結(jié)果判定。d)測(cè)試工具的選擇和使用必須符合國(guó)家有關(guān)規(guī)定。6.4確定測(cè)試方法根據(jù)測(cè)試的目的、內(nèi)容以及實(shí)施特性,選定具體測(cè)試方法,明確成功實(shí)施該測(cè)試的準(zhǔn)則。6.5編制測(cè)試方案滲透測(cè)試方案是測(cè)試工作實(shí)施活動(dòng)總體計(jì)劃,用于管理測(cè)試工作的開展,使測(cè)試各階段工作可控,并作為測(cè)試項(xiàng)目驗(yàn)收的主要依據(jù)之一。滲透測(cè)試方案應(yīng)得到被測(cè)單位的確認(rèn)和認(rèn)可。滲透測(cè)試方案的內(nèi)容應(yīng)包括:a)滲透測(cè)試工作框架:包括測(cè)試目標(biāo)、測(cè)試范圍、測(cè)試依據(jù)等;b)測(cè)試團(tuán)隊(duì)組織:包括測(cè)試小組成員、組織結(jié)構(gòu)、角色、責(zé)任;c)測(cè)試工作計(jì)劃:包括各階段工作內(nèi)容、工作形式、工作成果等;d)風(fēng)險(xiǎn)規(guī)避:包括保密協(xié)議、測(cè)試工作環(huán)境要求、測(cè)試方法、工具選擇、應(yīng)急預(yù)案等;5e)時(shí)間進(jìn)度安排:測(cè)試工作實(shí)施的時(shí)間進(jìn)度安排;f)項(xiàng)目驗(yàn)收方式:包括驗(yàn)收方式、驗(yàn)收依據(jù)、驗(yàn)收結(jié)論定義等。7現(xiàn)場(chǎng)實(shí)施階段7.1實(shí)施準(zhǔn)備實(shí)施準(zhǔn)備是保證測(cè)試機(jī)構(gòu)能夠順利實(shí)施測(cè)試的前提。a)召開測(cè)試現(xiàn)場(chǎng)首次會(huì),測(cè)試機(jī)構(gòu)介紹測(cè)試工作安排,相關(guān)方對(duì)測(cè)試方案中的測(cè)試對(duì)象、內(nèi)容、工具和方法等進(jìn)行溝通。b)被測(cè)單位對(duì)風(fēng)險(xiǎn)告知書簽字確認(rèn),了解測(cè)試過程中存在的安全風(fēng)險(xiǎn),做好相應(yīng)的應(yīng)急和備份工作。c)測(cè)試相關(guān)方確認(rèn)測(cè)試需要的各種資源,包括測(cè)試配合人員和需要提供的測(cè)試環(huán)境等。7.2滲透測(cè)試和結(jié)果記錄測(cè)試人員實(shí)施測(cè)試,并將測(cè)試過程中獲取的證據(jù)源進(jìn)行詳細(xì)、準(zhǔn)確記錄。a)測(cè)試人員與測(cè)試配合人員確認(rèn)測(cè)試對(duì)象中的關(guān)鍵數(shù)據(jù)已經(jīng)進(jìn)行了備份。b)測(cè)試人員確認(rèn)具備測(cè)試工作開展的條件,測(cè)試對(duì)象工作正常,系統(tǒng)處于一個(gè)相對(duì)良好的狀況。c)測(cè)試人員實(shí)施測(cè)試,獲取相關(guān)證據(jù)和信息。d)測(cè)試結(jié)束后,測(cè)試人員與測(cè)試配合人員及時(shí)確認(rèn)測(cè)試工作是否對(duì)測(cè)試對(duì)象造成不良影響,測(cè)試對(duì)象及系統(tǒng)是否工作正常。7.3結(jié)果記錄確認(rèn)測(cè)試人員將測(cè)試過程中得到的證據(jù)源記錄進(jìn)行確認(rèn)。a)測(cè)試人員在測(cè)試完成之后,應(yīng)首先匯總測(cè)試記錄,對(duì)漏掉和需要進(jìn)一步驗(yàn)證的內(nèi)容實(shí)施補(bǔ)充測(cè)試。b)召開測(cè)試現(xiàn)場(chǎng)結(jié)束會(huì),測(cè)試雙方對(duì)測(cè)試過程中得到的證據(jù)源記錄進(jìn)行現(xiàn)場(chǎng)溝通和確認(rèn)。8報(bào)告編制階段8.1過程描述測(cè)試人員需要詳細(xì)描述滲透測(cè)試的全過程,包括測(cè)試的方法、步驟、使用的工具等。對(duì)于每一個(gè)測(cè)試步驟,都應(yīng)詳細(xì)記錄其執(zhí)行過程、結(jié)果以及遇到的問題。同時(shí),應(yīng)詳細(xì)列出在測(cè)試過程中發(fā)現(xiàn)的所有安全漏洞和隱患,包括其位置、危害程度、可能的影響等。對(duì)于每一個(gè)漏洞和隱患,都應(yīng)提供詳細(xì)的證據(jù)和分析,以便被測(cè)單位能夠清楚地了解其真實(shí)性和危害性。8.2風(fēng)險(xiǎn)分析測(cè)試人員在詳細(xì)描述測(cè)試過程后,需要對(duì)測(cè)試結(jié)果進(jìn)行深入的分析。這包括分析漏洞的成因、影響范圍、可能的攻擊場(chǎng)景等,以及評(píng)估云計(jì)算平臺(tái)當(dāng)前的安全狀況。8.3整改建議測(cè)試人員應(yīng)基于測(cè)試結(jié)果的分析,提出具體的安全改進(jìn)建議。這些建議應(yīng)具有針對(duì)性和可操作性,能夠幫助云計(jì)算平臺(tái)修復(fù)已發(fā)現(xiàn)的漏洞、提升安全防護(hù)能力、降低潛在的安全風(fēng)險(xiǎn)。同時(shí),建議還應(yīng)考慮云計(jì)算平臺(tái)的業(yè)務(wù)需求和實(shí)際情況,確保其可行性和有效性。68.4報(bào)告結(jié)論報(bào)告結(jié)論部分應(yīng)總結(jié)滲透測(cè)試的主要發(fā)現(xiàn)和成果,評(píng)估云計(jì)算平臺(tái)的安全性和
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 二零二五年度鋼結(jié)構(gòu)工程大數(shù)據(jù)分析與決策支持合同3篇
- 展會(huì)媒體合作合同(2篇)
- 2025年度環(huán)保項(xiàng)目財(cái)務(wù)代理與審計(jì)合同3篇
- 二零二五版智慧校園信息化建設(shè)與運(yùn)營(yíng)合同3篇
- 二零二五年新能源發(fā)電場(chǎng)電工勞務(wù)及環(huán)保設(shè)施合同3篇
- 二零二五年度高等學(xué)府外國(guó)專家講學(xué)合同參考文本3篇
- 二零二五年度出租屋租賃合同范本:租賃押金無息退還協(xié)議3篇
- 二零二五年度機(jī)械加工行業(yè)信息安全保護(hù)合同2篇
- 2025年度標(biāo)識(shí)標(biāo)牌照明系統(tǒng)升級(jí)改造合同3篇
- 二零二五版機(jī)票預(yù)訂代理及境外旅游套餐合同5篇
- 疏散樓梯安全要求全解析
- 汽車擾流板產(chǎn)品原材料供應(yīng)與需求分析
- 臨床醫(yī)學(xué)院畢業(yè)實(shí)習(xí)管理-new-new課件
- 阻燃材料的阻燃機(jī)理建模
- PLC控制系統(tǒng)合同(2024版)
- CJT 511-2017 鑄鐵檢查井蓋
- ISO15189培訓(xùn)測(cè)試卷及答案
- JJG(交通) 171-2021 超聲式成孔質(zhì)量檢測(cè)儀檢定規(guī)程
- 氣象衛(wèi)星技術(shù)在軍事中的應(yīng)用
- 配電工作組配電網(wǎng)集中型饋線自動(dòng)化技術(shù)規(guī)范編制說明
- 介入科圍手術(shù)期護(hù)理
評(píng)論
0/150
提交評(píng)論