《DB21_T 3660—2022信息系统渗透测试技术规范》由会员分享,可在线阅读,更多相关《DB21_T 3660—2022信息系统渗透测试技术规范(18页珍藏版)》请在金锄头文库上搜索。
1、ICS 91.120.2521CCS L 70辽宁省地方标准DB21/T 36602022信息系统渗透测试技术规范Specification for penetration test technology of information system2022 - 11 - 30 发布2022 -12 - 30 实施辽宁省市场监督管理局发 布DB21/T 36602022目次前言II1 范围12 规范性引用文件13 术语和定义14 总则24.1 测试目的24.2 测试原则24.3 测试形式35 技术要求35.1 测试环境及准备要求35.2 测试工具及准备要求35.3 测试对象45.4 测试内容和方
2、法45.5 测试流程76 管理要求96.1 渗透测试授权96.2 渗透测试过程管理96.3 创新机制10附录 A(资料性) 渗透测试授权委托书模板11附录 B(资料性) 渗透测试报告样例13I前言本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由辽宁省工业和信息化厅提出并归口。本文件起草单位:北方实验室(沈阳)股份有限公司、辽宁省检验检测认证中心。本文件主要起草人:张健楠、李海涛、袁洪朋、刘文志、鲁宁、段晓祥、王海涛、刘兴华、李琳、张建宇、石绍群、王明俊、牛晓雷、何
3、永建、李开、曹明、张东志、邱学思、叶松、韩燕妮。本文件发布实施后,任何单位和个人如有问题和意见建议,均可以通过来电和来函等方式进行反馈, 我们将及时答复并认真处理,根据实际情况依法进行评估及复审。归口管理部门通讯地址:辽宁省工业和信息化厅(沈阳市皇姑区北陵大街45-2号),联系电话: 024-86893258。标准起草单位通讯地址:北方实验室(沈阳)股份有限公司(沈阳市浑南新区三义街6-1号21层), 联系电话:024-83785841/83785849。II信息系统渗透测试技术规范1 范围本文件规定了信息系统渗透测试的总则、技术要求和管理要求。本文件适用于信息系统渗透测试的实施。2 规范性引
4、用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 20984 信息安全技术 信息安全风险评估方法GB/T 22239 信息安全技术 网络安全等级保护基本要求GB/T 25069 信息安全技术 术语GB/T 28448 信息安全技术 网络安全等级保护测评要求GB/T 31509 信息安全技术 信息安全风险评估实施指南GB/T 36627 信息安全技术 网络安全等级保护测试评估技术指南3 术语和定义GB/T 20984、GB/T 25069、GB/
5、T 31509、GB/T 22239、GB/T 28448、GB/T 36627界定的以及下列术语和定义适用于本文件。3.1网络安全 cybersecurity通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。3.2渗透测试 penetration test通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。3.3漏洞扫描 vulnerability scanning基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测
6、(渗透攻击)行为。3.4弱口令 weak password容易被他人猜测到或被破解工具破解的口令。3.5测试方 testing party为信息系统提供测试服务的机构或人员。13.6委托方 client party信息系统所属的机构或人员。3.7SQL 注入 SQL injectionweb应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。3.8安全配置错误 security configuration
7、error由不安全的默认配置、不完整的临时配置、开源云存储、错误的HTTP标头配置以及包含敏感信息的详细错误信息所造成的配置错误。注:包括网络服务、平台、web服务器、应用服务器、数据库、框架、自定义的代码、预安装的虚拟机、容器、存储等。4 总则4.1 测试目的安全管理员完善安全策略,降低安全风险。4.2 测试原则4.2.1 标准性原则应按照GB/T 31509和GB/T 36627的流程进行实施,包括实施阶段和运维阶段的测试工作。4.2.2 全面性原则在规定的测试范围内,应覆盖指定目标信息系统中的全部服务及每个服务中的全部功能。4.2.3 分级原则测试过程应对信息系统各项服务及漏洞进行分级管
8、理,以保证信息系统重要应用服务的资源投入。4.2.4 可控性原则测试过程应按照GB/T 31509中的项目管理办法对过程、人员、工具等进行控制,以保证渗透测试安全可控。4.2.5 最小影响原则针对处于运维阶段的信息系统,应提前确定合适的测试时间窗口,避开业务高峰期,同时做好被测目标系统的应急预案。4.2.6 保密性原则2利用各种安全测试工具对网站及相关服务器等设备进行非破坏性质的模拟入侵者攻击,侵入系统并获取系统信息并将入侵的过程和细节总结编写成渗透测试报告,由此确定存在的安全威胁,并及时提醒未经委托方允许,测试方不应向第三方及社会公众泄露与被测信息系统相关的一切信息,包括但不限于开发及运维人
9、员个人信息以及因测试活动所获取的敏感信息,如网络架构、业务数据、安全漏洞等。4.2.7 及时性原则测试方应保证漏洞提交的及时性,检测出漏洞与提交漏洞的时间间隔不应超出规定时间,不应出现漏洞积压的情况。4.3 测试形式4.3.1 渗透测试应按照 GB/T 28448、GB/T 36627 以及 GB/T 20984 相关规定,以人工渗透测试为主, 工具漏洞扫描和自评估测试为辅,互为补充。4.3.2 渗透测试实施的组织形式包括但不限于个人测试、团队测试、众测等。5 技术要求5.1 测试环境及准备要求测试环境及准备要求包括以下内容:a) 渗透测试应提供与生产环境相似的仿真环境,以便进行部分可能影响数
10、据完整性及稳定性的侵入式测试,测试方在生产环境中应避免使用可能导致数据完整性及业务稳定性遭受破环的测试手段;b) 委托方应预先准备功能与数据均完备的账号以保证测试的有效性,若完成测试涉及必要的专有设备,如控件、证书等软硬件设备,委托方应给予必要的配合或协助;c) 如测试过程中发现功能损坏及数据缺失,测试方应对缺失的数据及损坏的功能进行详细记录, 并及时反馈给系统开发人员进行功能及数据补足;d) 通过仿真环境测试时,委托方应提供安全的测试接入方式(如现场接入、VPN 远程接入及 IP 白名单等方式),防止非授权人员对仿真环境进行违规访问或违规测试;e) 禁止测试方向任何未经授权的第三方泄露任何与
11、测试环境相关的信息;f) 测试环境提供方应及时与测试方同步系统更新、维护及测试计划等信息,以保证测试环境稳定可用;g) 如测试对象为应用接口,测试环境提供方应向测试方提供足以用来构造并完成接口请求的说明文档或脚本。5.2 测试工具及准备要求测试工具及准备要求包括以下内容:a) 测试方应使用不存在法律风险的或合规风险的工具进行测试;b) 测试方应使用获得网络安全主管部门或行业主管部门认可的漏洞扫描工具进行测试,同时提供测试工具清单,并制定明确的扫描策略和扫描计划以规避风险;c) 委托方应建立运行类测试工具审核机制,对测试方所提供的运行类测试工具的运行安全、版本、组成以及来源渠道进行严格审核;d)
12、 对于新引入的测试工具,应建立严格的审批及测试机制,确保不存在木马后门程序或严重的软件缺陷;对于已引入的渗透测试工具,应重点关注测试工具本身的安全性,及时针对测试工具进行补丁修复和版本升级;3e) 对于完成当次渗透测试后不再使用的运行类测试工具应在测试完成前彻底删除,防止运行类工具本身引入安全隐患;f) 测试方应从在信息系统中上传或部署运行类测试工具开始,到通知测试环境提供方并彻底删 除运行类测试工具为止的期间内,通过书面记录或全程录屏的方式严格记录每一步操作步骤; 针对测试过程的具体记录方式应以测试相关方的协商意愿为准;g) 在未经授权的情况下,严禁使用公开的平台进行存在数据外发的漏洞利用测
13、试,如采用公开的平台测试远程命令执行、XXS 和 SQL 注入等漏洞。5.3 测试对象按照属性不同对测试对象分类如下:a) 主机操作系统:Windows、Solaris、AIX、Linux、SCO、SGI、Kylin 等操作系统;b) 数据库系统:MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、达梦等数据库管理系统;c) 中间件:Weblogic、Tomcat、IIS、JBoss、Apache、Nginx 等中间件;d) 应用系统:Web、客户端、App、小程序、CMS 等信息系统;e) 网络安全设备:防火墙、入侵检测系统、交换机、VPN 等网络安全设备;f)
14、重要数据:业务数据、管理数据、个人隐私数据、日志数据等敏感数据。5.4 测试内容和方法5.4.1 总则渗透测试过程中使用到的基本测试内容和方法描述见5.4.2至5.4.16,测试方应结合测试对象类型及其实际安全需求,对测试方法进行选择性适用或不适用,对于适用的测试方法,按照具体“应”、“宜”、“可”要求选择测试内容。5.4.2 指纹识别指纹识别测试包括以下内容:a) 应对操作系统进行指纹识别测试,方法包括 Banner 抓取、TCP 和 ICMP 常规指纹识别技术、数据包重传延时技术、使用渗透测试工具进行操作系统探测等;b) 应对 CMS 进行指纹识别测试,方法包括基于特殊文件的 md5 值匹配、请求响应主体内容或头信息的关键字匹配、基于 Url 关键字识别、基于 TCP/IP 请求协议识别服务指纹、在 owasp 中识别 Web 应用框架测试方法;c) 应对数据库进行指纹识别测试,方法包括常规判断(如 asp-sql server、php-mysql、jsp-oracle 等)、网站错误信息识别、端口服务识别(如 443-
