商业银行渗透测试解决专项方案.docVIP

商业银行渗透测试处理方案 一、渗透测试背景 银行是网络信息技术应用最密集、应用水平最高行业之一，基于计算机网络各类银行信息系统已经成为银行产品开发推广、银行业务展开、银行日常管理和决议所依靠关键组成部分。这种依靠性使得银行面临着因为网络信息系统本身所带来银行信息技术风险。 银行信息技术风险关键挑战来自于基础网络信息技术复杂性和改变，其中面对互联网关键有以下多个方面风险： 基于网络电子银行，需要有完善安全体系架构； 面向Internet银行业务面临着多种多样互联网威胁； 远程移动用户接入和内部用户接入Internet，全部可能引入不一样类型威胁源； 钓鱼网站对于银行网上业务和企业信誉损害。 伴随银行业务发展，原有网上银行、门户网站等全部进行了不一样程度功效更新和系统投产，同时，行内系统安全要求越来越高，可能受到恶意攻击包含：信息篡改和重放、信息销毁、信息欺诈和抵赖、非授权访问、网络间谍、“黑客”入侵、病毒传输、特洛伊木马、蠕虫程序、逻辑炸弹等。这些攻击完全能造成信息系统瘫痪、关键信息流失。 二、渗透测试目标 本项目经过渗透测试方法，模拟黑客攻击思绪和技术手段，达成以下目标： 从攻击者角度，发觉网银系统、信用卡网站、门户网站和中间业务等应用系统及网关入口设备存在安全隐患； 检测对外提供服务业务系统（如网银系统、信用卡网站、门户网站等）和行内关键业务系统威胁防御能力。 深度挖掘渗透测试范围内应用系统各个层面（应用层、网络层、系统层）安全漏洞； 检验目前安全控制方法有效性，针对发觉安全风险立即进行整改，增强系统本身防御能力，提升安全保障体系整体健壮性。 三、渗透测试标准和风险控制标准 遵照规范 渗透测试经过可控安全测试技术对限定范围内应用系统进行渗透测试，同时结合以下业界著名测试框架组合成最好实践进行操作： ISECOM制订开源安全测试方法OSSTMM-v2.2 开放Web应用安全项目OWASP-v3 风险控制 渗透测试过程最大风险在于测试过程中对业务产生影响，为此我们在实施渗透测试中采取以下方法来减小风险： 双方确定 进行每一阶段渗透测试前，必需取得用户方书面同意和授权。对于任何渗透测试对象变更和测试条件变更也全部必需取得双方同意并达成一致意见，方可实施。 工具选择 为预防造成真正攻击，在渗透性测试项目中，启明星辰会严格选择测试工具，杜绝因工具选择不妥造成将病毒和木马植入情况发生。 时间选择 为减轻渗透性测试对用户网络和系统影响，安排在不影响正常业务运作时间段进行，具体时间关键限制双方协调和约定时间范围内。 范围控制 启明星辰承诺不会对授权范围之外网络设备、主机和系统进行漏洞检测、攻击测试，严格根据渗透测试范围内限定应用系统进行测试。 策略选择 为预防渗透性测试造成用户网络和系统服务中止，启明星辰在渗透性测试中不使用含有拒绝服务测试策略，不使用未经许可方法进行渗透测试。 操作过程审计 为确保测试过程可审计，启明星辰将在测试过程中开启测试工具审计日志功效，阶段性测试目标测试结束后，会将审计日志提交用户，方便用户监控测试过程。 项目沟通 启明星辰提议：在项目实施过程中，除了确定不一样阶段测试人员以外，还要确定各阶段用户方配合人员，建立双方直接沟通渠道；项目实施过程中需要用户方人员同时在场配合工作，并保持立即、充足、合理沟通。 系统备份和恢复方法 为避免实际渗透测试过程中可能会发生不可预知风险，所以在渗透测试前相关管理人员应对系统或关键数据进行备份、确保相关日志审计功效正常开启，一旦在出现问题时，能够立即恢复运转。 四、渗透测试工作内容和方法 渗透测试方法 渗透测试完全模拟黑客入侵思绪和技术手段，黑客攻击入侵需要利用目标网络安全弱点，渗透测试也是一样道理。以人工渗透为主，以攻击工具使用为辅助，这么确保了整个渗透测试过程全部在能够控制和调整范围之内。 渗透测试步骤 渗透测试步骤严格依据下图实施，采取可控制、非破坏性质渗透测试，并在实施过程中把握好每一个步骤信息输入/输出，控制好风险，确保对光大银行网络不造成破坏性损害，确保渗透测试前后信息系统可用性、可靠性保持一致。 渗透测试内容 经过可控安全测试技术对限定范围内应用系统进行渗透测试，同时结合业界著名OSSTMM和OWASP测试框架组合成最好实践进行操作。