商业银行渗透测试解决方案.docxVIP

商业银行渗透测试解决方案 一、渗透测试背景 银行是网络信息技术应用最密集、应用水平最高的行业 之一，基于计算机网络的各类银行信息系统已经成为银行产 品的开发推广、银行业务的展开、银行日常管理和决策的所 依赖的关键组成部分。这种依赖性使得银行面临着由于网络 信息系统本身所带来的银行信息技术风险。 银行信息技术风险的主要挑战来自于基础网络信息技 术的复杂性和变化，其中面对互联网主要有以下几个方面风 险： 基于网络的电子银行，需要有完善的安全体系架构； 面向 Internet 的银行业务面临着各种各样的互联网威 胁； 远程移动用户接入和内部用户接入 Internet ，都可能引 入不同类型的威胁源； 钓鱼网站对于银行网上业务和企业信誉的损害。 伴随银行业务的发展，原有的网上银行、门户网站等都 进行了不同程度的功能更新和系统投产，同时，行内系统安 全要求越来越高，可能受到的恶意攻击包括：信息篡改与重 放、信息销毁、信息欺诈与抵赖、非授权访问、网络间谍、 “黑客”入侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸 弹等。这些攻击完全能造成信息系统瘫痪、重要信息流失。 二、 渗透测试的目标 本项目通过渗透测试的方式，模拟黑客的攻击思路与技 术手段，达到以下目标： 从攻击者角度，发现网银系统、信用卡网站、门户网站 和中间业务等应用系统及网关入口设备存在的安全隐患； 检测对外提供服务的业务系统（如网银系统、信用卡网 站、门户网站等）以及行内重要业务系统的威胁防御能力。 深度挖掘渗透测试范围内应用系统各个层面（应用层、 网络层、系统层）的安全漏洞； 检验当前安全控制措施的有效性，针对发现的安全风险 及时进行整改，增强系统自身防御能力，提升安全保障体系 的整体健壮性。 三、 渗透测试原则与风险控制原则 遵循规范 渗透测试通过可控的安全测试技术对限定范围内的应 用系统进行渗透测试，同时结合以下业界著名的测试框架组 合成最佳实践进行操作： ISECOM制定的开源安全测试方法 OSSTM M-v2.2 开放Web应用安全项目 OWASP-v3 风险控制 渗透测试过程最大的风险在于测试过程中对业务产生 影响，为此我们在实施渗透测试中采取以下措施来减小风 险： 双方确认 进行每一阶段的渗透测试前，必须获得客户方的书面同 意和授权。对于任何渗透测试的对象的变更和测试条件的变 更也都必须获得双方的同意并达成一致意见，方可执行。 工具选择 为防止造成真正的攻击，在渗透性测试项目中，启明星 辰会严格选择测试工具，杜绝因工具选择不当造成的将病毒 和木马植入的情况发生。 时间选择 为减轻渗透性测试对用户网络和系统的影响，安排在不 影响正常业务运作的时间段进行，具体时间主要限制双方协 调和商定的时间范围内。 范围控制 启明星辰承诺不会对授权范围之外的网络设备、主机和 系统进行漏洞检测、攻击测试，严格按照渗透测试范围内限 定的应用系统进行测试。 策略选择 为防止渗透性测试造成用户网络和系统的服务中断，启 明星辰在渗透性测试中不使用含有拒绝服务的测试策略,不 使用未经许可的方式进行渗透测试。 操作过程审计 为保证测试过程可审计，启明星辰将在测试过程中开启 测试工具的审计日志功能，阶段性测试目标测试结束后，会 将审计日志提交用户，以便用户监控测试过程。 项目沟通 启明星辰建议：在项目实施过程中，除了确定不同阶段 的测试人员以外，还要确定各阶段的客户方配合人员，建立 双方直接沟通的渠道；项目实施过程中需要客户方人员同时 在场配合工作，并保持及时、充分、合理的沟通。 系统备份和恢复措施 为避免实际渗透测试过程中可能会发生不可预知的风 险，因此在渗透测试前相关管理人员应对系统或关键数据进 行备份、确保相关的日志审计功能正常开启，一旦在出现问 题时，可以及时的恢复运转。 四、渗透测试工作内容与方法 渗透测试方法 渗透测试完全模拟黑客的入侵思路与技术手段，黑客的 攻击入侵需要利用目标网络的安全弱点，渗透测试也是同样 的道理。以人工渗透为主，以攻击工具的使用为辅助，这样 保证了整个渗透测试过程都在可以控制和调整的范围之内。 渗透测试流程 渗透测试流程严格依照下图执行，采用可控制的、非破 坏性质的渗透测试，并在执行过程中把握好每一个步骤的信 息输入 / 输出，控制好风险，确保对光大银行网络不造成破 坏性的损害，保证渗透测试前后信息系统的可用性、可靠性 保持一致 渗透测试内容 架行渗组透合通成测过最试可佳，控同实的践时安结进全合行测业操试界作技。著术名对的限定范 STMlM用系统进S测试框