新闻资讯

更多资讯

重大安保时期网络安全工作要点专题:第三篇 安全自查之渗透测试和漏洞扫描

 

01 渗透测试和漏洞扫描的目的

 

在单位机构信息系统运营时,资产、安全漏洞、网络都是动态变化的,定期的渗透测试和漏洞扫描可以及时准确的知道企业自身信息化资产的脆弱性,了解网络的安全设置和运行的服务,及时发现安全漏洞,为客观评价网络风险等级提供依据。渗透测试和漏洞扫描是一种主动的防御措施,能有效避免黑客攻击行为,做到防患于未然。

那么渗透测试和漏洞扫描工作应该怎样开展呢?是不是随便找个扫描工具扫描一下就可以?答案是不可以。因为不够专业的漏洞扫描很难取得好的效果。下面就来介绍如何做好渗透测试和漏洞扫描工作。

 

 

02 扫描前的准备

 

客观风险的提示与告知,沟通确认扫描方式

 

根据资产列表中主机、设备、应用系统等基础信息,联系相应归口人员,告知渗透测试和漏洞扫描原理和风险,对相应的风险做好规避或降低危害的措施,最终确认扫描方式,漏洞扫描主要风险主要有:

 

 

规避的措施主要有:安全备份、分批扫描、扫描策略修改、闲时测试和扫描、测试环境渗透等。

 

 

最终结合应用系统的重要性、网络情况、操作系统类型等确认是按照系统扫描漏洞、按照网段探测存活扫描、全端口扫描的方式等扫描方式。渗透测试一般采用工具+人工测试,可以分为白盒测试、黑盒测试。

 

确认目标与范围

扫描工具、环境准备

 

1) 确定漏洞扫描工具

2) 漏洞库升级到最新且使用授权未到期。

3) 确定网络接入的方式和位置,并提供漏扫设备所使用的IP地址、网关等信息(如果在网络建设时,已考虑漏洞扫描设备可达所有网络,可不考虑此点)。

4) 确定扫描时间、地点和配合人员。

 

 

03 渗透测试和漏扫实施

 

在做好前期准备后,就可以进行渗透测试和漏洞扫描实施了,在渗透测试和漏洞扫描实施过程中,主要注意如下几点:

1)渗透测试和漏洞扫描策略再次确认;

2)渗透测试和漏洞扫描期间,配合人员和实施人员应全程观察业务系统运行状态;

3)漏扫任务开始前,可扫描通过1-2个地址进行测试,观察网络承载、网路畅通等;

4)根据漏洞扫描设备性能分配扫描任务IP数量,防止设备卡死、扫描中断等情况;

5)建议漏洞扫描资产以业务系统为单位,个人主机以部门为单位,方便历史数据统计分析;

6)渗透测试时业务人员可以为测试人员提供应用系统主要功能实现原理,以便测试人员可以快速定位漏洞,节省测试时间。

 

 

04 结果分析

 

渗透测试需要渗透测试人员撰写漏洞挖掘详细过程,并提供截图或访问的数据包,提供相应漏洞的修复意见,以便研发人员进行漏洞修复。而现在主流的漏洞扫描设备一般均提供了漏洞扫描报告输出,报告中有详细的目标主机的基本信息(开放端口,系统类型等)和漏洞信息(漏洞编号、漏洞描述、加固方法等),并提供本次任务的统计信息。但这些结果还不足达到我们渗透测试和漏洞扫描的目的,我们还应该关注以下这些事情:

 

1)对比漏扫目标存活数量

 

漏洞扫描完成后需要和资产列表对比发现是否存在遗漏,遗漏资产需要重新扫描。

 

2)高风险目标主机

 

根据渗透测试报告和漏扫结果分析漏洞分布情况,确认哪些信息资产的漏洞数量较多,风险等级较高。确认为什么出现该情况,是无人维护?因为影响系统运行未打补丁?已下线资产?对以上情况应通过沟通协商,确定漏洞修复加固方案。

 

3)历史扫描结果对比

 

通过对比多次渗透测试和扫描结果能够更清楚单位机构内部信息资产长期的安全状态,对于长期处于高风险的信息资产,不应因影响业务运行就放弃整改加固,需要结合漏洞影响的范围,评估和优化整改方案,使危害影响降到最低。

 

4)漏洞闭环

 

安全漏洞处理过程应该是闭环过程,需要相应系统归口人员对其持续关注,直至漏洞关闭。

 

温馨提示

 

渗透测试和漏洞扫描是一项专业性比较强的工作,非专业人员进行渗透测试和漏洞扫描可能给业务系统的运行带来一定的风险。如果您需要帮助,可以联系我们,我们会根据您的需要,为您提供专业的咨询和服务。

正在呼叫....

电话连线中,请注意接听电话

请输入您的手机号,我们的专家会在一分钟内给您回电。

立即给我回电

纽盾客服

全国免费咨询电话
☎  400-804-8858

纽盾电话