網路和資訊系統的安全--利用滲透測試查詢系統的安全隱患
阿新 • • 發佈:2018-12-02
一、瞭解滲透測試
滲透測試:在取得客戶授權的情況下,通過模擬黑客攻擊來對客戶的整個資訊系統進行全面的漏洞查詢,分析、利用。最後給出完整的滲透報告和問題解決方案。
高階滲透測試服務(黑盒測試):指在客戶授權許可的情況下,資深安全專家將通過模擬黑客攻擊的方式,在沒有網站程式碼和伺服器許可權的情況下,對企業的線上平臺進行全方位滲透入侵測試,來評估企業業務平臺和伺服器系統的安全性。
二、什麼型別的安全風險需要進行滲透測試
當存在下面這些風險時,滲透測試顯得尤為必要:
①企業及網站存在機密資料外洩、使用者資料外洩的擔憂
②使用者開發完畢的新系統平臺需要上線
③開發過程中系統需要進行區域性安全測試
④業務系統存在交易業務邏輯問題(如金融類系統)
三、滲透測試相關標準
《資訊保安技術 資訊保安風險評估規範》 GB/T 20984-2007
《資訊保安技術 資訊系統安全等級保護基本要求》GB/T 22239-2008
《資訊保安技術 安全漏洞等級劃分指南》GB/T 30279-2013
四、滲透工具
工具名稱 | 工具描述 |
---|---|
漏洞掃描系統 | 漏洞掃描 |
Nessus | 漏洞掃描 |
Metasploit | 漏洞利用 |
Superscan | 埠掃描 |
Solarwinds | snmp發現 |
hscan | 口令探測 |
Pangolin | SQL注入工具 |
WVS | Web掃描工具 |
五、安全建議
①定期進行網站系統進行風險評估。
②針對安全評估結果協調開發團隊或廠商進行有效的安全整改和修復。
③配備專業的WEB應用防火牆,針對來自網際網路的主流WEB應用安全攻擊進行安全防護。
④ 建立和完善一套有效的安全管理制度,對資訊系統的日常維護和使用進行規範。
⑤建立起一套完善有效的應急響應預案和流程,並定期進行應急演練,一旦發現發生任何異常狀況可及時進行處理和恢復,有效避免網站業務中斷帶來損失。
⑥定期對相關管理人員和技術人員進行安全培訓,提高安全技術能力和實際操作能力。