《信息安全检验测评指导书》由会员分享,可在线阅读,更多相关《信息安全检验测评指导书(2页珍藏版)》请在金锄头文库上搜索。
1、安全实施信息安全检验测评指导书1 目的 保证在信息安全测评现场的检验测评工作人员的安全。 2 范围 适用于信息安全测评现场的检验测评工作人员。 3 要求 3.1信息安全测评现场的检验测评工作人员严禁携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质等对服务器、网络正常运行构成威胁的物品进入被测单位机房或其它测评现场。 3.2信息安全测评现场的检验测评工作人员应遵守被测单位的工作制度,保护好客户的各类资产,如有损坏,应及时报告客户,属于本单位责任的,应及时予以赔偿。测评人员应做好保密工作,为被测单位的信息保密。 3.3信息安全测评现场的检验测评工作人员服装要整齐、紧凑,保证测评时手脚灵活。不应
2、穿鞋底带钉皮鞋、拖鞋、凉鞋或易滑鞋,如果需要在防静电环境下测评,测评人员应穿戴防静电服装或手环。 3.4测评工作人员在工作中应精力集中,在测评现场严禁吸烟,不准饮酒后测评。 3.5测评人员在测评现场严禁触摸任何强电开关、配电箱等设备,严禁乱拉接电源,严禁使用大功率的电器,以防造成短路或失火。在测评现场如遇火灾应有序逃离,不可慌乱。 3.6测评人员在测评现场,如需登高开展检验测评,必须2人以上配合作业,严禁1人独自作业,需要时应戴头盔。3.7在测评工作现场不准吃饭、吃零食或进行其它有害、污损服务器、网络的行为,保持测评现场整洁、干净。 3.8如在环境较为恶劣的现场(如新装修、在建建筑等)开展测评
3、工作,工作人员必须穿戴安全帽等安全装备。如遇到不宜开展测评的天气、环境、网络情况时,应立即停止测评。 3.9现场测评要注意的基本原则: (1)所有现场测评人员与被测评单位签署保密协议,防止信息泄密,保密期按照被测评单位要求执行; (2)所有现场测评人员遵照国家有关政策、遵照国家相关标准、遵守行业特殊要求; (3)应保证无人员操作事故、无系统测试事故、无损害系统运行事故、无人身安全事故。 (4)测评之前要求客户配备关键设备和应用系统的厂商技术人员,针对被测评系统,对可能存在的风险进行告知,充分沟通系统的运行情况,在测评期间如遇异常情况无法处理时,能够在一定时间段内赶到现场协助处理; (5)测评中
4、如果涉及重要敏感信息需要及时和技术负责人进行沟通是否进行取证; (6)进入机房、办公室进行实地验证时,严格执行被测评单位要求,保证机房、办公室地面洁净; (4)进入机房、办公室内,测评人员不可随意触摸被测设备,保证设备的正常运行。配置查看和人工测试,均由被测评单位设备管理人员进行操作,测评人员负责描述操作步骤、采集相关数据,不得触碰设备,避免发生意外安全事故; (5)测评组应按照作业指导书进行测评,详细描述判定各测评项所需要的系统数据内容以及采集方法,规范现场采集数据的步骤、方法和内容,避免误操作发生; (6)测评设备和工具需要接入则必须先请示被测单位同意后,由被测单位提供系统接入点,防止设备
5、接入系统时出现安全事故; (7)根据用户指定的现场场地办公,离开时带走所有办公文件及设备,不在现场遗留任何测评资料。 3.10测评启动会需要和被测单位说明的重要事项 (1)提醒被测单位,如有必要,应当要求配合的开发商、厂商、集成商参与测评配合; (2)被检单位需指定相关人员配合及操作; (3)需事先声明现场可能需要取证并获得授权许可; (4)测评风险的提示。 3.11在渗透测试过程中,测试人员通常会利用攻击者常用的工具和技术来对被测系统和数据发动真实的攻击,必然会对被测系统带来安全风险,在极端状况或应用系统存在某些特定安全漏洞时可能会产生如下安全风险: (1)在使用web漏扫工具进行漏洞扫描时
6、,可能会对web服务器和web应用程序带来一定的负载,占用一定的资源,在极端情况下可能会造成服务器宕机或服务停止 (2)如web应用程序某功能模块提供对数据库、文件写操作的功能(包括执行Insert、Delete、Update等命令),且未对该功能模块实施数据有效性校验、验证码机制、访问控制等措施,则在进行web漏扫时有可能会对数据库、文件产生误操作,如在数据库中插入垃圾数据、删除记录/文件、修改数据/文件等; (3)在进行特定漏洞验证时,可能会根据该漏洞的特性对主机或web应用程序造成宕机、服务停止等风险; (4)在对web应用程序/操作系统/数据库等进行口令暴力破解时,可能触发其设置的安全
7、机制,导致web应用程序/操作系统/数据库的账户被锁定,暂时无法使用;在进行主机远程漏洞扫描及进行主机/数据库溢出类攻击测试,极端情况下可能导致被测试服务器操作系统/数据库出现死机或重启现象。 3.12针对渗透测试过程中可能出现的测试风险,测评人员宜向用户详细介绍渗透测试方案中的内容,并对测试过程中可能出现的风险进行提示,并与用户就如下内容进行协商,做好渗透测试的风险管控: (1)测试时间:为减轻渗透测试造成的压力和预备风险排除时间,宜尽可能选择访问量不大、业务不繁忙的时间窗口,测试前可在应用系统上发布相应的公告; (2)测试策略:为了防范测试导致业务的中断,测试人员宜在进行带有渗透、破坏、不
8、可控性质的高风险测试前(如主机/数据库溢出类验证测试、DDos等),与应用系统管理人员进行充分沟通,在应用系统管理人员确认后方可进行测试;宜优先考虑对与生产系统相同配置的非生产系统进行测试,在非业务运营时间进行测试或在业务运营时间使用非限制技术,以尽量减少对生产系统业务的影响;对于非常重要的生产系统,不建议进行拒绝服务等风险不可控的测试,以避免意外崩溃造成不可挽回的损失; (3)备份策略:为防范渗透过程中的异常问题,建议在测试前管理员对系统进行备份(包括网页文件、数据库等),以便在出现误操作时能及时恢复;如果条件允许,也可以对目标副本进行渗透的方式加以实施; (4)应急策略:测试过程中,如果被测系统出现无响应、中断或者崩溃等异常情况,测试人员宜立即中止渗透测试,并配合用户进行修复处理;在确认问题并恢复系统后,经用户同意方可继续进行其余的测试; (5)沟通机制:在测试前,宜确定测试人员和用户配合人员的联系方式,用户方宜在测试期间安排专人值守,与测试人员保持沟通,如发生异常情况,可及时响应;测试人员宜在测试结束后要求用户检验测评系统是否正常,以确保系统的正常运行。