等级保护中的渗透测试研究
安全评估通常包括工具评估、人工评估、顾问访谈、问卷调查、应用评估、管理评估、网络架构评估、渗透测试等。渗透测试一方面可以从攻击者的角度,检验业务系统的安全防护措施是否有效,各项安全策略是否得到贯彻落实;另一方面可以将潜在的安全风险以真实事件的方式凸现出来,从而有助于提高相关人员对安全问题的认识水平。信息系统安全等级保护技术标准对抗渗透能力未直接以书面文字体现,但在基本要求中对于第三级安全保护能力中要求信息系统在统一的安全保护策略下具有抵御大规模、较强恶意攻击的能力,防范计算机病毒和恶意代码危害的能力;具有检测、发现、报警、记录入侵行为的能力;具有对安全事件进行响应处置,并能够追踪安全责任的能力;在系统遭到损害后,具有能够较快恢复正常运行状态的能力;对于服务保障性要求高的系统,应能快速恢复正常运行状态;具有对系统资源、用户、安全机制等进行集中控管的能力。同时在系统管理方面,要求产品必须经过第三方安全测试才能上线。在此条件约束下,若无相应的信息系统渗透则无法保证此类要求能够实现。渗透测试结束后,立即进行安全加固,解决测试发现的安全问题,从而有效地防止安全事件的发生。渗透测试可以从时间选择、攻击策略集选择、保守策略选择三方面进行风险规避,并且简要介绍了用户对于渗透的理解、渗透工具选择以及渗透人员的要求,以期帮助信息系统管理人员了解当前的安全状况。
信息安全 等级保护 渗透测试 风险规避
王朋 李静雯 赵克勤 林莹 崔杰男
天津市优扬科技有限公司,天津市30000
国内会议
合肥
中文
597-600
2013-06-01(万方平台首次上网日期,不代表论文的发表时间)