軟件安全滲透測試概述課件_第1頁
軟件安全滲透測試概述課件_第2頁
軟件安全滲透測試概述課件_第3頁
軟件安全滲透測試概述課件_第4頁
軟件安全滲透測試概述課件_第5頁
已閱讀5頁,還剩10頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、 軟件安全滲透測試概述第1頁,共15頁。概念滲透測試是由受信任的第三方進行的一種評估網(wǎng)絡安全的活動,它是一個通過各種手段攻擊企業(yè)網(wǎng)絡以找出存在于系統(tǒng)中的漏洞,進而給出存在于企業(yè)網(wǎng)絡中的風險的過程。通過模擬現(xiàn)實的網(wǎng)絡攻擊,滲透測試證實了惡意攻擊者有可能獲取或破壞企業(yè)的數(shù)據(jù)資產(chǎn)。8.1.1 滲透測試的概念第2頁,共15頁。黑客(Hacker)黑客這個術語的現(xiàn)代意義,起源于1960年的麻省理工學院技術模型鐵路俱樂部。這個俱樂部設計比例較大、細節(jié)逼真的火車模型,而“黑客”被用來稱呼那些發(fā)現(xiàn)了聰明技巧的俱樂部成員。滲透測試人員是一個有道德的黑客,他被雇傭來尋找公司網(wǎng)絡的漏洞,以便評估數(shù)據(jù)安全特性。攻入網(wǎng)

2、絡的道德黑客小組被稱為老虎隊。老虎隊是一組程序員或用戶,他們自愿或被雇傭來發(fā)現(xiàn)新開發(fā)的軟件或網(wǎng)絡系統(tǒng)中的錯誤和安全漏洞,或者弄清原有計算機網(wǎng)絡的安全被瓦解的原因。 刪掉后面的“老虎部隊”的內(nèi)容,與本書無關,掩蓋摘抄痕跡。8.1.1 滲透測試的概念第3頁,共15頁。滲透測試人員有道德的黑客;雇傭來尋找公司網(wǎng)絡的漏洞,以便評估數(shù)據(jù)安全特性;一組程序員或用戶;8.1.1 滲透測試的概念第4頁,共15頁。滲透測試類型黑盒測試黑盒測試:滲透者完全處于對系統(tǒng)一無所知的狀態(tài),通常這類型測試,最初的信息獲取來自于DNS、Web、Email及各種公開對外的服務器。重新給出“黑盒測試”定義,參考:白盒測試測試者可

3、以通過正常渠道向被測單位取得各種資料,包括網(wǎng)絡拓撲、員工資料甚至網(wǎng)站或其它程序的代碼片斷,也能夠與單位的其它員工(銷售、程序員、管理者)進行面對面的溝通。這類測試的目的是模擬企業(yè)內(nèi)部雇員的越權操作?;液袦y試也稱作隱秘測試。它的“隱蔽”性是對被測單位而言的。通常情況下,接受滲透測試的單位網(wǎng)絡管理部門會收到通知:在某些時段進行測試。因此能夠監(jiān)測網(wǎng)絡中出現(xiàn)的變化。8.1.1 滲透測試的概念第5頁,共15頁。滲透測試的對象漏洞:能夠用來破壞安全策略的弱點、設計或?qū)崿F(xiàn)錯誤。威脅:能夠引起破壞的潛在安全侵害。破壞三方面特性:機密性、完整性、可用性。8.1.1 滲透測試的概念第6頁,共15頁。滲透測試項目步

4、驟8.1.1 滲透測試的概念第7頁,共15頁。滲透測試階段8.1.2 滲透測試階段劃分第8頁,共15頁。8.2 滲透測試執(zhí)行過程第9頁,共15頁。各階段的具體工作內(nèi)容偵察收集目標網(wǎng)絡信息的最初階段掃描查詢活動系統(tǒng),從而抓取網(wǎng)絡共享、用戶及特定應用程序信息的過程獲取訪問實施滲透過程維持訪問測試者將后門程序放入到被利用系統(tǒng)中,以便未來使用擦除證據(jù)刪除日志文件項、擦除進入系統(tǒng)痕跡的過程8.2.1 滲透測試各階段的具體工作內(nèi)容第10頁,共15頁。滲透測試執(zhí)行的內(nèi)容時間選擇為減輕滲透測試對網(wǎng)絡和主機的影響,滲透測試時間盡量安排在業(yè)務量不大的時段或晚上。策略選擇為防止?jié)B透測試造成網(wǎng)絡和主機的業(yè)務中斷,在滲

5、透測試中不使用含有拒絕服務的測試策略。授權滲透測試的監(jiān)測手段在評估過程中,由于滲透測試的特殊性,用戶可以要求對整體測試流程進行監(jiān)控。8.2.2 滲透測試的執(zhí)行第11頁,共15頁。滲透測試執(zhí)行的內(nèi)容(續(xù))測試方自控由滲透測試方對本次測透測試過程中的三方面數(shù)據(jù)進行完整記錄:操作、響應、分析,最終形成完整有效的滲透測試報告提交給用戶。用戶監(jiān)控全程監(jiān)控、擇要監(jiān)控、主機監(jiān)控、指定攻擊源。保守策略選擇保守策略選擇:對于不能接受任何可能風險的主機系統(tǒng),如銀行票據(jù)核查系統(tǒng),電力調(diào)度系統(tǒng)等,可選擇如下保守策略:復制一份目標環(huán)境,包括硬件平臺,操作系統(tǒng),數(shù)據(jù)庫管理系統(tǒng),應用軟件等。 對目標的副本進行滲透測試8.2.2 滲透測試的執(zhí)行第12頁,共15頁。意義及要點一份有價值的滲透測試報告,能夠幫助IT管理者迅速定位組織中的薄弱環(huán)節(jié),用最少的代價規(guī)避可能遇到的風險。滲透測試報告重在精確、簡潔。8.2.3 編寫滲透測試報告第13頁,共15頁。必要性協(xié)助用戶發(fā)現(xiàn)組織中的安全最短板,協(xié)助企業(yè)有效的了解目前降低風險的初始任務;一份文檔齊全有效的滲透測試報告有助于組織的IT管理者明目前安全現(xiàn)狀,從而增強安全的認知程度,甚至提高組織在安全方面的預算; 滲

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論