跳转至

05.渗透测试

作者:枫子

协作:Lost Maniac


一、总则

  • 第一条 为了对信息系统的安全性作深入了解,及时发现信息系统中存在的安全薄弱环节,让技术人员了解当前信息系统的脆弱性和可能造成的影响,以采取必要的防范措施,特制定《渗透测试管理办法》。

  • 第二条 本办法适用于公司所有信息系统。

  • 第三条本办法阅读对象为公司业务主办发及所有技术人员。

二、公司安全工作组职责分工

  • 第四条公司安全工作组公司安全工作组(以下简称“安全组”)下设渗透测试小组负责协调组织公司信息系统渗透测试具体实施、结果分析、报告提交、整改跟进和结果复测工作;

  • 第五条渗透测试工作涉及本单位的业务主办方、系统运维方、网络运维方、应用运维方和安全管理方。

  • 第六条业务主办方:负责提出新系统上线前业务系统的渗透测试需求,并对渗透结果需要整改的业务影响范围进行评估和确认,跟进整改进度,一般由业务部门人员担。

  • 第七条系统运维方:负责业务应用部署、操作系统和中间件的安装升级(含补丁升级)、安全基线配置、漏洞整改的具体实施,一般由系统运维职能人员担任。

  • 第八条网络运维方:负责业务相关的网络及安全设备的部署、安全基线配置、补丁升级和漏洞整改及漏洞扫描策略配置和调优,一般由网络运维职能人员担任。

  • 第九条应用运维方:负责应用的开发和维护,对应用程序配置和逻辑上的漏洞进行修复,一般由应用开发职能人员担任。

  • 第十条安全管理方:负责信息系统的安全管理,组织实施安全检查、漏洞扫描、渗透测试和落实整改,一般由安全管理职能人员担任。

三、渗透测试对象

  • 第十一条主机系统安全 针对Windows、Linux、AIX等操作系统进行渗透测试。
  • 第十二条数据库系统安全 针对MySQL、Oracle、MSSQL、Sybase、DB2等数据库应用进行渗透测试。。
  • 第十三条应用系统安全 针对如ASP、JSP、PHP、CGI等组成的Web应用,包括但不限于Web应用系统安全、APP软件安全进行渗透测试。

四、渗透测试原则和流程

  • 第十四条渗透测试工作以业务系统为单位进行,所有信息系统每季度至少进行一次完整的渗透测试。为减轻渗透测试对信息系统的影响,渗透测试时间须避开业务高峰时段,单次渗透测试持续时间须控制在1天到2天,最长不得超过3天。

  • 第十五条为防止渗透测试造成信息系统的业务中断,在渗透测试中不得使用含有影响业务正常运行的测试手段。

  • 第十六条对于不能接受任何可能风险的信息系统,需搭建与生产环境完全一致的测试环境,包括硬件平台和软件平台(包括但不限于操作系统版本、中间件版本、数据库版本、应用程序版本),再对所搭建的环境进行渗透测试。

  • 第十七条新系统上线前和应用变更上线前必须进行渗透测试(包括黑盒测试及白盒测试),对存在高中危漏洞的系统,须整改完成后方可上线。

  • 第十八条渗透测试工作完成后由安全管理方出具包含漏洞名称、漏洞描述、安全级别、利用方式、修复建议等内容的渗透测试报告。

五、渗透测试工作的准备、监控和应急

  • 第十九条渗透测试前期准备安全管理方依据信息系统资产台帐信息,制定包含实施办法、实施时间、实施人员、实施范围等要素的详细测试方案,经安全组评审通过后方可开展。

  • 第二十条渗透测试的执行需严格按照通过评审的渗透测试方案定制渗透测试任务,并在既定的时间点开始执行。在渗透测试任务的执行过程中,渗透测试对象所属的安全人员应对渗透测试任务密切监控。

  • 第二十一条渗透测试的风险防范为防止在渗透测试过程中出现的异常情况,所有被测试系统须在被渗透操作之前进行一次完整的系统备份,在渗透测试任务执行过程中,业务主办方、系统运维方和安全管理方对被测试对象进行应急保障。当渗透测试过程中出现与影响性评估不符合的情况时,应根据渗透测试方案立即启动应急措施,消减对被测试对象的影响。

六、渗透测试后的整改

  • 第二十二条渗透测试结束后安全人员需对渗透测试结果进行分析,并制定整改方案和计划,1个工作日内提供包含漏洞类型、风险级别、修复方法等关键表项的渗透测试报告。

  • 第二十三条报告提交后1个工作日内安全管理方协调业务主办方、系统运维方、应用运维方、网络运维方组织整改交流,并将需整改的漏洞落实到具体责任人,根据整改交流会上确定的整改周期(评估为高危级别以上的漏洞整改时限为1天,中危级别的漏洞整改时限为2天)完成漏洞整改工作,无法整改的漏洞须备注说明,并提供未整改期间防护手段(在漏洞整改完成前需立即提供临时防范手段)。

  • 第二十四条渗透测试结果需由人工对检查出的漏洞进行复核确认,评估漏洞影响性,最终确定系统的风险系数和漏洞的安全级别。

七、附则

  • 第二十五条本管理办法由技术部负责解释。

  • 第二十六条本办法自颁布之日起实行,有新的修改版本颁布后,本办法自行废止。

八、附件