版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
自主可控網(wǎng)絡(luò)安全技術(shù)基于網(wǎng)絡(luò)靶場(chǎng)的軟件自主可控能力測(cè)試指南仿真測(cè)試、實(shí)網(wǎng)測(cè)試各階段,如何制定測(cè)試方案、搭建測(cè)試環(huán)境、執(zhí)行測(cè)試任務(wù)和反饋測(cè)試本文件適用于指導(dǎo)組織基于網(wǎng)絡(luò)靶場(chǎng)開展軟件資產(chǎn)自主可控能力測(cè)評(píng)工作,可供軟件產(chǎn)品研制單凡是不注日期的引用文件,其最新版本(包括所有的修改單)GB/T25069信息安全技術(shù)術(shù)語(yǔ)GB/T39412-2020信息安全技術(shù)代碼GB/T43848-2024信息安全技術(shù)軟件產(chǎn)品開源代T/CSAC001-2023網(wǎng)絡(luò)靶場(chǎng)基于技戰(zhàn)術(shù)模型的安全測(cè)對(duì)組織有價(jià)值的軟件資源,是自主可控測(cè)試的3.5軟件成分分析softwarecompositionan3.8開源許可證opensourcelicense3.10實(shí)網(wǎng)測(cè)試realnetwo在實(shí)際運(yùn)行網(wǎng)絡(luò)環(huán)境下對(duì)軟件資產(chǎn)進(jìn)行安全性3.11安全眾測(cè)crowdsour4縮略語(yǔ)SBOM:軟件物料清單(SoftwareBillofMaterials)SCA:軟件成分分析(SoftwareCompositiCVE:通用漏洞披露(CommonVulnerabiCWE:通用缺陷列表(CommonWeaknessEnumeraCNNVD:中國(guó)國(guó)家信息安全漏洞庫(kù)(ChinaNationalVulnerabilityDatabaseofInformationSecurity)5概述5.1軟件自主可控能力測(cè)試范圍軟件自主可控能力測(cè)試應(yīng)包含對(duì)技術(shù)掌控能力、c)網(wǎng)絡(luò)安全能力考察代碼缺陷、組件漏洞、資產(chǎn)漏洞及5.2軟件自主可控能力管理粒度5.3軟件自主可控能力測(cè)試框架在軟件生命周期的各階段可采用的測(cè)試類型和測(cè)試方法如下表所漏洞掃描、滲透測(cè)試、安全b)與軟件資產(chǎn)相關(guān)的漏洞庫(kù)重大更新;5.4軟件自主可控能力測(cè)試評(píng)估根據(jù)測(cè)試任務(wù)的反饋,應(yīng)按照預(yù)先制定的策漏洞風(fēng)險(xiǎn)值=資產(chǎn)值×漏洞值×威脅值高中低代碼自主率=(自主研發(fā)組件數(shù)+來自國(guó)內(nèi)的開源組件數(shù))/軟件組件總數(shù),可依據(jù)代碼自主率對(duì)技54321軟件風(fēng)險(xiǎn)值=漏洞值1×威脅值1+漏洞值2×威脅值2+漏洞值n×威脅值n,其中每個(gè)漏洞造54321自主可控值=技術(shù)掌控能力×持續(xù)交付能力×軟件安全能力高中低5.5基于網(wǎng)絡(luò)靶場(chǎng)的測(cè)試管理b)能夠?qū)y(cè)試結(jié)果進(jìn)行關(guān)聯(lián)性管理,靜態(tài)測(cè)試、仿真測(cè)試和實(shí)網(wǎng)測(cè)試發(fā)現(xiàn)的安全漏洞通過軟件資要素進(jìn)行管理,并形成以資產(chǎn)為核心的測(cè)試要素關(guān)聯(lián)關(guān)系基礎(chǔ)庫(kù)包括資產(chǎn)庫(kù)、組件庫(kù)、漏洞庫(kù)等,各基礎(chǔ)庫(kù)的構(gòu)成參見b)資產(chǎn)組件的基礎(chǔ)信息、資產(chǎn)關(guān)聯(lián)信息和開源許可證信息SCA分析的對(duì)象可以是源代碼也可以是經(jīng)過編譯的二進(jìn)制文件,分析目標(biāo)是精確識(shí)別產(chǎn)的組件,并進(jìn)一步識(shí)別組件的來源、依賴關(guān)系、開源許可證及已知的缺陷和漏洞信息。代碼安全審計(jì)的對(duì)象是軟件的源代碼,測(cè)試目b)結(jié)合所需的集成開發(fā)環(huán)境,選取恰當(dāng)?shù)臏y(cè)試工具;c)測(cè)試工具應(yīng)具備能夠被網(wǎng)絡(luò)靶場(chǎng)管理和調(diào)用的接口,接收靶場(chǎng)下達(dá)的任務(wù)指令,并向靶場(chǎng)的數(shù)d)基于有利于全面發(fā)現(xiàn)代碼缺陷和漏洞的原則,可采用b)配置測(cè)試流程及測(cè)試工具調(diào)用;a)獲取組件的來源信息,包括供應(yīng)商信息和深度依賴關(guān)系,判斷組件是否自主可控;c)發(fā)現(xiàn)組件中存在的已知漏洞,對(duì)于已具有修復(fù)方案的進(jìn)行修復(fù),對(duì)尚無修復(fù)方案的,制定應(yīng)對(duì)對(duì)于存在的停服斷供風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)應(yīng)制定短期和長(zhǎng)期的應(yīng)對(duì)策仿真測(cè)試采用的方式包括但不限于漏洞掃描、模糊測(cè)試和b)結(jié)合歷史測(cè)試數(shù)據(jù),針對(duì)發(fā)現(xiàn)過的漏洞進(jìn)行復(fù)測(cè);d)測(cè)試工具應(yīng)具備能夠被網(wǎng)絡(luò)靶場(chǎng)管理和調(diào)用的接口,接收靶場(chǎng)下達(dá)的任務(wù)指令,并向靶場(chǎng)的數(shù)b)測(cè)試工具能夠檢測(cè)程序的反饋;c)測(cè)試工具應(yīng)具備能夠被網(wǎng)絡(luò)靶場(chǎng)管理和調(diào)用的接口,接收靶場(chǎng)下達(dá)的任務(wù)指令,并向靶場(chǎng)的數(shù)a)結(jié)合被測(cè)對(duì)象的類型、已發(fā)生的攻擊事件等信息,分析軟件/軟件組件易遭受的攻擊類c)測(cè)評(píng)場(chǎng)景環(huán)境部署:依據(jù)測(cè)評(píng)環(huán)境搭建計(jì)劃和網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)進(jìn)行部對(duì)于未能修復(fù)的漏洞,應(yīng)持續(xù)關(guān)注公共漏洞庫(kù)的更新情況,在實(shí)際運(yùn)行網(wǎng)絡(luò)環(huán)境下進(jìn)行測(cè)試應(yīng)充分考慮對(duì)業(yè)務(wù)的影響,在確保不影響業(yè)務(wù)連續(xù)性的情況下或在約定的時(shí)間窗口內(nèi)執(zhí)行測(cè)試任務(wù)。實(shí)網(wǎng)測(cè)試必須預(yù)先制定突發(fā)情況下的應(yīng)急處置方案。b)結(jié)合歷史測(cè)試數(shù)據(jù),針對(duì)發(fā)現(xiàn)過的漏洞進(jìn)行復(fù)測(cè);d)測(cè)試工具應(yīng)具備能夠被網(wǎng)絡(luò)靶場(chǎng)管理和調(diào)用的接口,接收靶場(chǎng)下達(dá)的指令執(zhí)行測(cè)試任務(wù),并向b)結(jié)合被測(cè)信息系統(tǒng)的類型、子系統(tǒng)類型、已發(fā)生的攻擊事件等信息,分析系統(tǒng)a)選擇的測(cè)試人員在擅長(zhǎng)的技術(shù)方向上盡量c)制定測(cè)試過程數(shù)據(jù)采集、存儲(chǔ)的策略,以便進(jìn)行回溯分析及后期取b)配置測(cè)試流程及測(cè)試工具調(diào)用;a)依靠網(wǎng)絡(luò)資源探測(cè)功能對(duì)被測(cè)對(duì)象的聯(lián)通性、狀態(tài)和信息等進(jìn)行實(shí)時(shí)b)依靠數(shù)據(jù)采集功能對(duì)測(cè)試環(huán)境進(jìn)行實(shí)時(shí)監(jiān)測(cè),監(jiān)測(cè)的指標(biāo)包括:測(cè)試場(chǎng)景的拓?fù)浜侠硇?、網(wǎng)絡(luò)執(zhí)行漏洞掃描時(shí),在靶場(chǎng)中配置測(cè)試流程,通過調(diào)用選定的測(cè)試工具,自動(dòng)化執(zhí)行測(cè)試任務(wù)。執(zhí)行滲透測(cè)試時(shí),由測(cè)試人員執(zhí)行既定的攻數(shù)據(jù)等危害網(wǎng)絡(luò)安全的行為或活動(dòng),并保存原始日志滿足追溯對(duì)于未能修復(fù)的漏洞,應(yīng)持續(xù)關(guān)注公共漏洞庫(kù)的更新情況,所有授權(quán)測(cè)試人員應(yīng)提交真實(shí)完整且描述清晰的漏洞信息,由測(cè)試組織方匯總信息輸出完整的測(cè)應(yīng)及時(shí)修復(fù)測(cè)試發(fā)現(xiàn)的風(fēng)險(xiǎn)漏洞并復(fù)測(cè)。對(duì)于未能修復(fù)的漏洞,制定應(yīng)對(duì)策略,并跟蹤管理。資產(chǎn)庫(kù)組件庫(kù)漏洞庫(kù)后門/發(fā)現(xiàn)備份文
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年夏季空調(diào)養(yǎng)護(hù)合同3篇
- 2024至2030年中國(guó)注膠機(jī)行業(yè)投資前景及策略咨詢研究報(bào)告
- 2024年某教育機(jī)構(gòu)與某企業(yè)關(guān)于員工培訓(xùn)合作的合同
- 15《白鵝》(教學(xué)實(shí)錄)2023-2024學(xué)年統(tǒng)編版語(yǔ)文四年級(jí)下冊(cè)
- 2024年版電子商務(wù)產(chǎn)業(yè)園企業(yè)租賃合同
- 2024年林地環(huán)境質(zhì)量檢測(cè)與評(píng)價(jià)合同
- 2024年合伙開店協(xié)議書3篇
- 2024年度廈門文化旅游項(xiàng)目合作開發(fā)合同2篇
- 2024年中國(guó)母羊?qū)S脻饪s料市場(chǎng)調(diào)查研究報(bào)告
- 2024年中國(guó)機(jī)箱外殼市場(chǎng)調(diào)查研究報(bào)告
- 2023-2024學(xué)年四川省成都市金牛區(qū)八年級(jí)(上)期末數(shù)學(xué)試卷
- 德邦物流-第三方物流服務(wù)
- 混凝土冬季施工保溫保濕措施
- 心電監(jiān)護(hù)技術(shù)
- 2024年華潤(rùn)電力投資有限公司招聘筆試參考題庫(kù)含答案解析
- 壟斷行為的定義與判斷準(zhǔn)則
- 模具開發(fā)FMEA失效模式分析
- 聶榮臻將軍:中國(guó)人民解放軍的奠基人之一
- 材料化學(xué)專業(yè)大學(xué)生職業(yè)生涯規(guī)劃書
- 乳品加工工(中級(jí))理論考試復(fù)習(xí)題庫(kù)(含答案)
- 《教材循環(huán)利用》課件
評(píng)論
0/150
提交評(píng)論