渗透测试风险评估技术方案

  • 格式:docx
  • 大小:273.57 KB
  • 文档页数:8

渗透测试风险评估技术
方案
Document number【SA80SAB-SAA9SYT-SAATC-SA6UT-SA18】
一、渗透测试
、概述
渗透测试主要依据已经发现的安全漏洞,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,本次将作为评估重点对浙江省水利厅的应用网站系统每月一次进行全面的渗透测试,从而从深层次发现浙江省水利厅应用系统存在的安全问题。

、渗透测试的方法
黑客的攻击入侵需要利用目标网络的安全弱点,渗透测试也是同样的道理。

它模拟真正的黑客入侵攻击方法,以人工渗透为主,辅助以攻击工具的使用,这样保证了整个渗透测试过程都在可以控制和调整的范围之内。

、渗透测试前后系统的状态
由于采用可控制的、非破坏性质的渗透测试,因此不会对被评估的系统造成严重的影响。

在渗透测试结束后,系统将基本保持一致。

、渗透测试过程
渗透测试流程图如下图所示:
渗透测试流程图
预攻击阶段操作简述
1)踩点获取目标基本信息
踩点可以了解目标主机和网络的一些基本的安全信息,主要有:管理员联系信息,电话号,传真号;
IP地址范围;
DNS服务器;
邮件服务器。

相关搜索方法:
搜索网页
确定目标信息,为以后发动字典和木马入侵做准备;寻找网页源代码找注释和隐藏域,寻找隐藏域中的"FORM"标记。

例如:
<FORM action=/Poll/ method=post>
<input type=hidden name=vice value=vice>
</FORM>
可以发起SQL注入攻击,为以后入侵数据库做准备。

相关工具:UNIX下的Wget,Windows下的Teleport等。

链接搜索
目标网站所在的服务器可能有其他具有弱点的网站,可以进行迂回入侵,而且可以发现某些隐含的信息。

搜索方法介绍:通过各种搜索引擎:如GOOGLE。

2)查点
确定目标的域名和相关的网络信息
Whois查询,通过Whois数据库查询可以得到以下的信息:
1,注册机构:显示相关的注册信息和相关的Whois服务器;
2,机构本身:显示与某个特定机构相关的所有信息;
3,域名:显示与某个特定域名相关的所有信息
4,网络:显示与某个特定网络或单个IP地址相关的所有信息;
5,联系点:显示与某位特定人员相关的所有信息
利用ARIN数据库查询某个域名所对应的网络地址分配信息
知道了目标所在的网络,可以进行迂回渗透,寻找薄弱点,进入目标网络,然后再攻击目标。

DNS信息查询
域名系统允许把一个DNS命名空间分割成多个区,各个去分别保存一个或多个DNS域的名字信息。

区复制和区传送:DNS服务器之间是采用区传送的机制来同步和复制区内数据的。

区传送的安全问题不在于所传输的域名信息,而在于其配置是否正确。

因为有些域名信息当中包含了不应该公开的内部主机和服务器的域名信息。

3)网络扫描
通过使用漏洞扫描工具和定制的脚本工具这些自动化工具对浙江省水利厅应用系统进行扫描,发现存在的明显安全漏洞。

大多数网络攻击者就是使用这种简便快捷的方式来收集被攻击系统的相关信息,从而有针对性对系统进行攻击。

4)获取进一步信息
从这一步可以得到比之前更多更具体的有用信息,例如:帐户信息等。

Windows系统查点技术
利用NetBIOS规则,首先介绍NetBIOS,NetBOIS位于TCP/IP之上,定义了多个TCP和UDP端口。

TCP方式
(1),139:nbsession:NetBOIS会话。

例如:net use \\IP\ipc$ " " /user:" ".
(2),42:WINS:Windows Internet名字系统(UDP端口也是42)。

UDP方式
(1)137:nbname:名字查询。

例如:nbtstat -A IP
过以下矩阵定义了威胁可能性和脆弱性等级的对应关系。

威胁-脆弱性对应矩阵
2.通过以下矩阵提供了资产的风险确定方法。

风险等级矩阵
风险评估模型中,主要是以保护省社保信息资产为核心,因此风险的计算也是围绕信息资产进行的。

主要分为两类风险:安全管理类风险、安全技术类风险。

其中安全技术类风险又分为物理安全类风险、网络安全类风险、主机安全类风险、应用安全类风险和数据安全类风险。

安全管理风险评估是以等级保护为标准,从整个宏观管理层面上对安全风险进行的,和具体的信息资产关联度不高,只对弱点和威胁进行评估,归纳出风险,而不单独和资产进行风险计算。

网络安全风险主要对现有的网络安全构架的进行分析,通过网络安全整体构架、安全域的划分、网络可用性、安全设备的监控及信息审计等几个方面评估。

根据网络安全构架类风险普遍存在于信息资产中这一特点,因此在这两方面只进行弱点和威胁的评估,归纳出风险,而不单独和信息资产进行风险计算。

主机安全风险评估主要是对主机平台进行安全性检查,评估设备所面临风险。

考虑到各个平台设备的安全配置管理将统一标准,因此对设备类的风险赋值是以系统平台为对象,对设备存在的威胁和弱点进行风险赋值。

根据设备平台类风险普遍存在于信息资产中这一特点,因此在这两方面只进行弱点和威胁的评估,归纳出风险,而不单独和信息资产进行风险计算。

应用系统是信息资产主要的载体及表现形式,同时它也是和信息资产结合最紧密的。

对应用系统风险评估主要体现为信息资产的评估,通过信息资产的等级、其存在的弱点和面临的威胁,计算出信息资产的风险级别。

综合上述对网络、主机、应用等相关资产的评估,最终形成省社保“金保”业务专网的《信息安全风险评估报告》。