云计算平台渗透测试实施指南.pdfVIP

云计算平台渗透测试实施指南

1范围

本文件规定了云计算平台渗透测试实施的过程和方法。

本文件适用于各类渗透测试机构或被渗透组织对云计算平台渗透测试项目的管理，指导渗透测试项

目的组织、实施、验收等工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T31168-2014信息安全技术云计算服务安全能力要求

GB/T31509-2015信息安全技术信息安全风险评估实施指南

GB/T28448-2019信息安全技术网络安全等级保护测评要求

3术语和定义

下列术语和定义适用于本文件。

3.1云计算平台Cloudcomputingplatform

云服务商提供的云基础设施及其上的服务软件的集合。

[来源：GB/T31168-2023，3.7]

3.2渗透测试penetrationtesting

以未经授权的动作绕过某一系统的安全机制来检查信息系统的安全功能，以发现信息系统安全问题

的手段。

[来源：GB/T25069-2022，3.520]

4渗透测试实施概述

4.1实施原则

4.1.1全面性原则

在规定的测试范围内，应覆盖云计算平台中的全部服务及每个服务中的全部功能。

4.1.2可控性原则

1

在渗透测试项目实施过程中,应严格按照标准的项目管理方法对服务过程、人员和工具等进行控制，

以保证渗透测试实施过程的可控和安全。

a)服务可控性:

测试方应事先在测试工作沟通会议中向被测单位介绍测试服务流程,明确需要得到被测单位组织协

作的工作内容,确保测试服务工作的顺利进行。

b)人员与信息可控性:

所有参与测试的人员应签署保密协议，以保证项目信息的安全；

应对工作过程数据和结果数据严格管理,未经授权不得泄露给任何单位和个人。

c)过程可控性:

应按照项目管理要求,成立项目实施团队,项目组长负责制,达到项目过程的可控。

d)工具可控性:

测试人员所使用的测试工具应该事先通告被测单位,且测试人员所使用的测试工具应具有安全产品

证书或具有相关恶意代码、后门检测报告，并在项目实施前获得被测单位的许可,包括产品本身、测试

策略等。

4.1.3最小影响原则

应采用最小影响原则，与被测单位沟通并进行应急备份,同时提前确定合适的测试时间窗口，选择避

开业务的高峰时间进行，即首要保障云计算平台的稳定运行。

4.2实施过程

渗透测试实施过程包括四个基本阶段:准备阶段、方案编制阶段、现场实施阶段、报告编制阶段。

测试相关方之间的沟通与洽谈应贯穿整个渗透测试过程。每一测试活动有一组确定的工作任务。具体如

表1所示。

实施阶段主要工作

工作启动

建立联系机制

渗透测试授权

准备阶段

工具和表单准备

环境准备

风险控制

确定测试对象

确定测试内容

方案编制阶段确定测试工具