【网络安全】等保测评&渗透测试

简介: 【网络安全】等保测评&渗透测试

一、等保&渗透测试

渗透测试工作内容:

1.自己企业直招的安全工程,针对自身企业业务的安全维护加固
2.乙方公司:测评机构,安全厂商,针对甲方企业进行安全防护测试(大部分)
3.撰写报告

1. 渗透测试流程

明确目标

信息搜集

漏洞探测

漏洞验证

信息分析

获取所需

信息整理

形成报告

甲方开立项会议,确定目标和信息

1.1 明确目标

1、确定范围:测试的目标范围,IP,域名,内外网

2、确定规则

渗透测试和黑客入侵区别?

渗透测试:以黑客角度,模拟攻击,更全面的发现测试对象的安全隐患
黑客:不择手段进行攻击,获取非法收益

规则内容:

能渗透到什么程度?

确定攻击时间?

可以采取哪些攻击手段?

3、确定需求

web应用漏洞?

业务逻辑漏洞?

人员管理权限漏洞?

1.2 信息搜集

攻击方式:

​ 主动扫描?

​ 开放式搜索?

甲方会给到的信息

1、基础信息: IP,业务架构,域名,端口
2、各种系统以来的版本信息
3、应用信息:涉及到的服务信息,各应用逻辑

1.3 漏洞探索

通过扫描器,结合漏洞在db查利用

1.4 漏洞验证

1、自动化验证:通过工具验证

2、手动验证:利用公开的资源验证

3、暴力破解

1.5 信息分析

为下一步实施渗透做准备

进准打击,绕过机制,攻击代码

1.6 获取所需

进行攻击,脱库,持续性存在(后门),清理痕迹

1.7 信息整理

整理整个渗透过程中工具,收集的结果信息,漏洞信息

1.8 形成报告

核心内容:

1、提出漏洞存在信息

2、漏洞出现原理

3、通过什么方式可以利用

4、给出整改建议

渗透测试是等保的一部分

2. 等保概述

等级保护

2.1 发展历程

1994 国家首次提出等保概念

1999 针对信息系统保护有法律依据

2007 颁布等保1.0措施

2017 立法《网络安全法》

2019 颁布等保2.0

2.2 等保2.0和等保1.0区别

2.2.1 名称修改

信息安全技术信息等级保护要求

修改为

信息安全基础网络安全等级保护(和网络安全法一致)

2.2.2 定级对象变化

1.0 针对物理安全,网络,主机,应用,数据安全

2.0 在基础上增加了物联网,云产品,移动互联网等

2.2.3 安全监督结构变化

1、技术上2.0新增物联网等等

2、管理上:制度立项数量更多

2.2.4 等保义务性变化

1.0 可以不做等保,自己负责即可

2.0 尤其国家基础性设备,具有等级保护法律义务

比如基站,必须做等保

2.3 做等保原因

不做等保出问题后,算人祸,需要背负责任但不多,

不做等保,出了问题,用户将承担主要责任,必要时网监部门会直接进行处罚

做等保后出问题,算天灾

做等保后会进行责任分担

完成等保意味着得到公安机关的安全认可,出了问题公安机关会分担责任

为了实现国家安全体系化的建设(国家战略的一步)

2.4 关键性角色

2.4.1 公安机关网监部门

主要承担等级保护过程中的监督检查工作,负责管理测评机构,各测评机构都需要在当地进行备案

网络安全等级保护网
http://www.djbh.net/webdev/web/HomeWebAction.do?p=init

图片.png

2.4.2 测评机构

各省大概分布3-6个公安备案测评机构,主要负责根据当地网监部门的要求开展测评工作

2.4.3 被测评角色

根据网监部门要求,配合等保相关工作

2.4.4 集成商、实施商、安全厂商

被测评企业需要根据整改方案进行修改,大量涉及到安全设备的采购和应用

3. 等保流程

定级备案-----差距评估-----整改建设------等级评测

等保没有证书,但是可以在相应网监部门查询到备案记录

3.1 定级备案

梳理信息系统情况,确定等级(国家根据业务范围确定)

提定级报告和备案表到当地网监部门

等级分类

图片.png

一级(医院)

二级(金融机构)

三级(云厂商、政府系统)

四级(阿里云)

五级(军工企业)

安全要求

图片.png

对整个公司进行审核

包括管理制度、安全管理机构、人员方面、系统建设和系统运维

企业在做完三级四级等保后,公安机关会经常来检查

3.2 差距评估

测评人员需要提交差距评估报告、整改建议、渗透测试报告

3.3 安全整改

对每个模块都有整改建议

系统安全,网络安全,数据安全

3.4 等级评估

目录
相关文章
|
4月前
|
云安全 安全 小程序
等保测评|全面理解渗透测试
在数字化转型的大潮中,企业和组织纷纷拥抱互联网以拓展市场和服务客户,这不仅促进了业务发展,也带来了网络安全的新挑战。为了保护在线的机密文件和知识产权不受黑客攻击,渗透测试成为一种关键的安全评估手段。它通过模拟攻击来查找系统漏洞,帮助企业提前修补安全缺口。本文将介绍渗透测试的概念、必要性及主要执行方式,并探讨如何选择合适的测试服务机构,以确保企业的数字资产安全无虞。
|
2月前
|
安全 网络安全
Kali渗透测试:使用Armitage扫描网络
Kali渗透测试:使用Armitage扫描网络
57 3
|
4月前
|
SQL 安全 测试技术
网络安全的屏障与钥匙:漏洞防护与加密技术解析软件测试的艺术:探索性测试的力量
【8月更文挑战第27天】在数字时代的海洋中,网络安全是保护我们数据资产的灯塔和堤坝。本文将深入浅出地探讨网络安全领域的关键要素——安全漏洞、加密技术以及不可或缺的安全意识。通过实际案例分析,我们将了解如何识别和修补潜在的安全漏洞,掌握现代加密技术的工作原理,并培养起一道坚固的安全防线。文章旨在为读者提供实用的知识和技能,以便在日益复杂的网络环境中保持警惕,确保个人及组织信息的安全。
|
1月前
|
编解码 安全 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(10-2):保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali——Liinux-Debian:就怕你学成黑客啦!)作者——LJS
保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali以及常见的报错及对应解决方案、常用Kali功能简便化以及详解如何具体实现
|
1月前
|
人工智能 安全 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(4-2):渗透测试行业术语扫盲完结:就怕你学成黑客啦!)作者——LJS
网络空间安全之一个WH的超前沿全栈技术深入学习之路(4-2):渗透测试行业术语扫盲完结:就怕你学成黑客啦!)作者——LJS
|
1月前
|
安全 大数据 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(3-2):渗透测试行业术语扫盲)作者——LJS
网络空间安全之一个WH的超前沿全栈技术深入学习之路(3-2):渗透测试行业术语扫盲)作者——LJS
|
1月前
|
SQL 安全 网络协议
网络空间安全之一个WH的超前沿全栈技术深入学习之路(1-2):渗透测试行业术语扫盲)作者——LJS
网络空间安全之一个WH的超前沿全栈技术深入学习之路(1-2):渗透测试行业术语扫盲)作者——LJS
|
4月前
|
监控 搜索推荐 语音技术
测试使用SenseVoice大模型测评
测试使用SenseVoice大模型测评
88 4
|
5月前
|
SQL 安全 网络协议
网络扫描与渗透测试基础
【7月更文挑战第12天】网络扫描与渗透测试是保障网络安全的重要手段,通过模拟黑客攻击的方式,发现潜在的安全漏洞,并提供修复建议,为系统安全保驾护航。在网络安全日益重要的今天,掌握网络扫描与渗透测试技术对于企业和组织来说至关重要。希望本文能够为读者提供有益的参考和借鉴。
|
5月前
|
安全 测试技术 网络安全
网络安全的盾牌:漏洞管理、加密技术和安全意识自动化测试中的神器:Selenium WebDriver
【7月更文挑战第31天】在数字化浪潮中,信息安全成为保护个人隐私和商业秘密不可或缺的一环。本文将探讨网络安全中的常见漏洞,介绍加密技术的基础原理,并强调培养良好的安全意识的重要性。通过实际代码示例,我们将展示如何在现实世界中应用这些概念来提高系统的安全性。 【7月更文挑战第31天】在软件开发的广阔天地中,自动化测试以其高效、准确的特点,成为了提升软件质量的关键一环。Selenium WebDriver,作为自动化测试领域的佼佼者,不仅简化了测试流程,还提升了测试效率。本文将深入探讨Selenium WebDriver的核心组件和工作原理,并通过实际代码示例,展示其在自动化测试中的应用价值。无
56 0