商業(yè)銀行滲透測試解決方案_第1頁
商業(yè)銀行滲透測試解決方案_第2頁
商業(yè)銀行滲透測試解決方案_第3頁
商業(yè)銀行滲透測試解決方案_第4頁
商業(yè)銀行滲透測試解決方案_第5頁
已閱讀5頁,還剩1頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、商業(yè)銀行滲透測試解決方案一、滲透測試背景銀行是網(wǎng)絡信息技術應用最密集、應用水平最高的行業(yè)之一,基于計算機網(wǎng)絡的各類銀行信息系統(tǒng)已經(jīng)成為銀行產(chǎn)品的開發(fā)推廣、銀行業(yè)務的展開、銀行日常管理和決策的所依賴的關鍵組成部分。這種依賴性使得銀行面臨著由于網(wǎng)絡信息系統(tǒng)本身所帶來的銀行信息技術風險。銀行信息技術風險的主要挑戰(zhàn)來自于基礎網(wǎng)絡信息技術的復雜性和變化,其中面對互聯(lián)網(wǎng)主要有以下幾個方面風險:基于網(wǎng)絡的電子銀行,需要有完善的安全體系架構(gòu);面向Internet的銀行業(yè)務面臨著各種各樣的互聯(lián)網(wǎng)威脅;遠程移動用戶接入和內(nèi)部用戶接入Internet,都可能引入不同類型的威脅源;釣魚網(wǎng)站對于銀行網(wǎng)上業(yè)務和企業(yè)信譽的

2、損害。伴隨銀行業(yè)務的發(fā)展,原有的網(wǎng)上銀行、門戶網(wǎng)站等都進行了不同程度的功能更新和系統(tǒng)投產(chǎn),同時,行內(nèi)系統(tǒng)安全要求越來越高,可能受到的惡意攻擊包括:信息篡改與重放、信息銷毀、信息欺詐與抵賴、非授權訪問、網(wǎng)絡間諜、“黑客”入侵、病毒傳播、特洛伊木馬、蠕蟲程序、邏輯炸彈等。這些攻擊完全能造成信息系統(tǒng)癱瘓、重要信息流失。二、滲透測試的目標本項目通過滲透測試的方式,模擬黑客的攻擊思路與技術手段,達到以下目標:從攻擊者角度,發(fā)現(xiàn)網(wǎng)銀系統(tǒng)、信用卡網(wǎng)站、門戶網(wǎng)站和中間業(yè)務等應用系統(tǒng)及網(wǎng)關入口設備存在的安全隱患;檢測對外提供服務的業(yè)務系統(tǒng)(如網(wǎng)銀系統(tǒng)、信用卡網(wǎng)站、門戶網(wǎng)站等)以及行內(nèi)重要業(yè)務系統(tǒng)的威脅防御能力。

3、深度挖掘滲透測試范圍內(nèi)應用系統(tǒng)各個層面(應用層、網(wǎng)絡層、系統(tǒng)層)的安全漏洞;檢驗當前安全控制措施的有效性,針對發(fā)現(xiàn)的安全風險及時進行整改,增強系統(tǒng)自身防御能力,提升安全保障體系的整體健壯性。三、滲透測試原則與風險控制原則遵循規(guī)范滲透測試通過可控的安全測試技術對限定范圍內(nèi)的應用系統(tǒng)進行滲透測試,同時結(jié)合以下業(yè)界著名的測試框架組合成最佳實踐進行操作:ISECOM制定的開源安全測試方法OSSTMM-v2.2開放Web應用安全項目OWASP-v3風險控制滲透測試過程最大的風險在于測試過程中對業(yè)務產(chǎn)生影響,為此我們在實施滲透測試中采取以下措施來減小風險:雙方確認進行每一階段的滲透測試前,必須獲得客戶方的

4、書面同意和授權。對于任何滲透測試的對象的變更和測試條件的變更也都必須獲得雙方的同意并達成一致意見,方可執(zhí)行。工具選擇為防止造成真正的攻擊,在滲透性測試項目中,啟明星辰會嚴格選擇測試工具,杜絕因工具選擇不當造成的將病毒和木馬植入的情況發(fā)生。時間選擇為減輕滲透性測試對用戶網(wǎng)絡和系統(tǒng)的影響,安排在不影響正常業(yè)務運作的時間段進行,具體時間主要限制雙方協(xié)調(diào)和商定的時間范圍內(nèi)。范圍控制啟明星辰承諾不會對授權范圍之外的網(wǎng)絡設備、主機和系統(tǒng)進行漏洞檢測、攻擊測試,嚴格按照滲透測試范圍內(nèi)限定的應用系統(tǒng)進行測試。策略選擇為防止?jié)B透性測試造成用戶網(wǎng)絡和系統(tǒng)的服務中斷,啟明星辰在滲透性測試中不使用含有拒絕服務的測試策

5、略,不使用未經(jīng)許可的方式進行滲透測試。操作過程審計為保證測試過程可審計,啟明星辰將在測試過程中開啟測試工具的審計日志功能,階段性測試目標測試結(jié)束后,會將審計日志提交用戶,以便用戶監(jiān)控測試過程。項目溝通啟明星辰建議:在項目實施過程中,除了確定不同階段的測試人員以外,還要確定各階段的客戶方配合人員,建立雙方直接溝通的渠道;項目實施過程中需要客戶方人員同時在場配合工作,并保持及時、充分、合理的溝通。系統(tǒng)備份和恢復措施為避免實際滲透測試過程中可能會發(fā)生不可預知的風險,因此在滲透測試前相關管理人員應對系統(tǒng)或關鍵數(shù)據(jù)進行備份、確保相關的日志審計功能正常開啟,一旦在出現(xiàn)問題時,可以及時的恢復運轉(zhuǎn)。四、滲透測試工作內(nèi)容與方法滲透測試方法滲透測試完全模擬黑客的入侵思路與技術手段,黑客的攻擊入侵需要利用目標網(wǎng)絡的安全弱點,滲透測試也是同樣的道理。以人工滲透為主,以攻擊工具的使用為輔助,這樣保證了整個滲透測試過程都在可以控制和調(diào)整的范圍之內(nèi)。滲透測試流程滲透測試流程嚴格依照下圖執(zhí)行,采用可控制的、非破壞性質(zhì)的滲透測試,并在執(zhí)行過程中把握好每一個步驟的信息輸入/輸出,控制好風險,確保對光大銀行網(wǎng)絡不造成破壞性的損害,保證滲透測試前

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論