滲透測試的定義
滲透測試是一種安全性測試,在該類測試中,測試人員將模擬攻擊者,利用攻擊者常用的工具和技術對應用程序、信息系統(tǒng)或者網(wǎng)絡的安全功能發(fā)動真實的攻擊。相對于單一的漏洞,大多數(shù)滲透測試試圖尋找一組安全漏洞,從而獲得更多能夠進入系統(tǒng)的機會。
第三方檢測機構滲透測試的作用:
1、判斷系統(tǒng)對現(xiàn)實世界的攻擊模式的容忍度如何。
2、攻擊者需要成功破壞系統(tǒng)所面對的大體復雜程度;
3、可減少系統(tǒng)威脅的其他對策;
4、防御者能夠檢測攻擊并且做出正確反應的能力。
2026年有哪些的政策硬性要求系統(tǒng)必須做滲透測試?
《中華人民共和國網(wǎng)絡安全法》,第二十一條明確要求“及時處置系統(tǒng)漏洞”等安全風險。這是所有合規(guī)要求的根本大法,確立了發(fā)現(xiàn)和修補漏洞是網(wǎng)絡運營者的基本義務。
2、《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》,第八條明確規(guī)定,網(wǎng)絡運營者發(fā)現(xiàn)或獲知其系統(tǒng)存在漏洞后,應當立即采取措施,及時對安全漏洞進行驗證并完成修補。
3、《關鍵信息基礎設施安全保護條例》,第十七條要求,運營者應當自行或委托網(wǎng)絡安全服務機構對關鍵信息基礎設施(如能源、交通、金融等領域)每年進行一次網(wǎng)絡安全檢測和風險評估。并且明確規(guī)定,對其進行漏洞探測、滲透測試等活動,必須事先獲得批準或授權。
4、《網(wǎng)絡安全等級保護制度 (等保2.0)》,等保測評中,漏洞掃描和滲透測試是“工具測試”環(huán)節(jié)的核心內容。在高級別系統(tǒng)(如等保三級)的測評要求中,滲透測試是必須進行的檢查項目。
5、海南省的《三醫(yī)真實世界數(shù)據(jù)使用管理暫行辦法》就要求,相關數(shù)據(jù)存儲系統(tǒng)需通過定期滲透測試和漏洞掃描來確保防護有效性。
進行滲透測試時,可考慮以下評估要素和評估原則:
1、 通過滲透測試評估確認以下漏洞的存在:
(1)系統(tǒng)/服務類漏洞。
(2)應用代碼類漏洞。
(3)權限旁路類漏洞。
(4)配置不當類漏洞。
(5)信息泄露類漏洞。
(6)業(yè)務邏輯缺陷類漏洞。
2、 充分考慮等級保護對象面臨的安全風險,選擇并模擬內部攻擊或外部(從互聯(lián)網(wǎng)、第三方機構等外部網(wǎng)絡)攻擊。
3、詳細的滲透測試方案內容包括滲透測試對象、滲透測試風險及規(guī)避措施等內容。
廣東騰創(chuàng)具有CNAS、CMA/CCRC、信息安全風險評估等資質證書,可提供信息安全綜合保障服務檢測。內容包含:漏洞掃描(應用、系統(tǒng)、設備、數(shù)據(jù)庫等)、源代碼安全評估、滲透測試、信息安全風險評估、基線核查、信息安全應急演練、信息安全應急響應、系統(tǒng)上線安全評估、信息安全培訓、互聯(lián)網(wǎng)暴露面檢測、內網(wǎng)資產(chǎn)梳理機風險排查、信息安全巡檢、信息安全迎檢等。還能提供電力信息系統(tǒng)代碼檢測,安全檢測(滲透測試、漏洞測試)。
在線客服1
400-004-1069