可用于等级测评的测评技术分为下三类
1、检查技术:检查信息系统、配套制度文档、设备设施,并发现相关规程和策略中安全漏洞的测评技术。通常采用手动方式,主要包括文档检查、日志检查、规则集检查、系统配置检查、文件完整性检查、密码检查等。
2、识别和分析技术:识别系统、端口、服务以及潜在安全性漏洞的测评技术。主要包括网络嗅探、网络端口和服务识别、漏洞扫描、无线扫描等。
3、漏洞验证技术:验证漏洞存在性的测评技术。主要包括口令破解、渗透测试、远程访问测试等,对可能存在的安全漏洞进行验证确认,获得证据。
渗透测试风险
a)在使用Web漏洞扫描工具进行漏洞扫描时,可能会对Web服务器及Web应用程序带来一定的负载,极端情况下可能会造成Wb服务器宕机或服务停止;
b)如Web应用程序某功能模块提供对数据库、文件写操作的功能,且未对该功能模块实施数据有效性校验、访问控制等措施,则在进行Wb漏洞扫描时有可能会对数据库、文件产生误操作,如在数据库中插入垃圾数据、删除记录/文件等;
c)在进行特定漏洞验证时,可能会对主机或Web应用程序造成宕机等风险;
d)在对eWb应用程序/操作系统/数据库等进行口令暴力破解时,导致Wb应用程序/操作系统/数据库的账号被锁定;在进行主机远程漏洞扫描及进行主机/数据库溢出类攻击测试,极端情况下可能导致被测试服务器操作系统/数据库出现死机或重启现象。
渗透测试风险规避
- 测试时间:宜尽可能选择访问量不大、业务不繁忙的时间窗口。
- 测试策略:测试人员宜在进行带有渗透、破坏、不可控性质的高风险测试前,与应用系统管理人员进行充分沟通,在应用系统管理人员确认后方可进行测试,对于非常重要的生产系统,不建议进行拒绝服务等风险不可控的测试。
- 备份策略:为防范渗透过程中的异常问题,建议在测试前管理员对系统进行备份,以便在出现误操作时能及时恢复。
- 应急策略:测试过程中,如果被测系统出现无响应、中断或者崩溃等异常情况,宜立即中止渗透测试,并配合用户进行修复;恢复系统后,经用户同意方可继续进行其余的测试:
- 沟通机制:测试前,宜确定测试人员和用户配合人员的联系方式,用户方宜在测试期间安排专人职守,如发生异常情况,可及时响应;在测试结束后要求用户检查系统是否正常。
等级测评活动中双方职责
1、测评准备活动中双方职责
测评机构职责:
a) 组建等级测评项目组。
b) 指出测评委托单位应提供的基本资料。
c) 准备被测定级对象基本情况调查表格,并提交给测评委托单位。
d) 向测评委托单位介绍安全测评工作流程和方法。
e) 向测评委托单位说明测评工作可能带来的风险和规避方法。
f) 了解测评委托单位的信息化建设以及被测定级对象的基本情况。
g) 初步分析系统的安全状况。
h) 准备测评工具和文档。
测评委托单位职责
a) 向测评机构介绍本单位的信息化建设及发展情况。
b) 提供测评机构需要的相关资料。
c) 为测评人员的信息收集工作提供支持和协问。
d) 准确填写调查表格。
e) 根据被测定级对象的具体悄况, 如业务运行高峰期、网络布置悄况等, 为测评时间安排提供适宜的建议。
f) 制定应急预案。
2、方案编制活动中双方职责
测评机构职责:
详细分析被测定级对象的整体结构、边界、网络区域、设备部署情况等。
初步判断被测定级对象的安全蒲弱点。
分析确定测评对象、测评指标、确定测评内容和工具测试方法。
编制测评方案文本,并对其进行内部评审。
制定风险规避实施方案。
测评委托单位职责:
为测评机构完成测评方案提供有关信息和资料。
评审和确认测评方案文本。
评审和确认测评机构提供的风险规避实施方案。
3、现场测评活动中双方职责
测评机构职责:
a) 测评人员开展测评前确认被测定级对象具备测评工作开展的条件, 测评对象工作正常。
b) 测评人员利用访谈、文档审查、配置核查、工具测试和实地察看的方法开展现场测评工作,并获取相关证据。
测评委托单位职责(系统部署在公有云的测评委托单位职责还包括附录C 中相关内容) :
a) 测评前备份系统和数据,并了解测评工作基本情况。
b) 协助测评机构获得现场测评授权。
c) 安排测评配合人员,配合测评工作的开展。
d) 对风险告知书进行签字确认。
e) 配合人员如实回答测评人员的问询,对某些需要验证的内容上机进行操作。
f) 配合人员协助测评人员实施工具测试并提供有效建议,降低安全测评对系统运行的影响。
g) 配合人员协助测评人员完成业务相关内容的问询、验证和测试。
h ) 配合人员对测评证据和证据源进行确认。
I) 配合人员确认测试后被测设备状态完好。
4、报告编制活动中双方职责:
测评机构职责:
a) 分析并判定单项测评结果和整体测评结果。
b) 分析评价被测定级对象存在的风险情况。
c) 根据测评结果形成等级测评结论。
d) 编制等级测评报告,说明系统存在的安全隐患和缺陷,并给出改进建议。
e) 评审等级测评报告,并将评审过的等级测评报告按照分发范围进行分发。
f) 将生成的过程文档(包括电子文档)归档保存,并将测评过程中在测评用介质和测试工具中生成或存放的所有电子文档清除。
测评委托单位职责:
a) 签收测评报告。
b) 向分管公安机关备案测评报告。
等级测评结论
优:被测评对象中存在安全问题,但无中高等级的安全风险,且系统综合得分90分及以上
良:被测评对象中存在安全问题,但无高等级安全风险,且系统综合得分80分及以上
中:被测评对象中存在安全问题,但无高等级安全风险,且系统综合得分为70分及以上
差:被测评对象中存在安全问题,有高等级安全风险,或综合得分低于70分
等保公安部牵头,分保保密局牵头,其次等保是针对不涉及国家秘密的系统,而分保针对的是涉及国家秘密的系统。