猎户攻防实验室猎户攻防实验室 安全视点安全视点 标准与课题标准与课题
国家级技术检验机构渗透测试案例

一、项目背景


某技术检验机构是国家级的技术检验机构。依据国家有关法规和国际公约、规则,为船舶、海上设施及相关工业产品提供技术规范和标准,提供入级检验、鉴证检验、公证检验、认证认可服务,以及经中国政府、外国(地区)政府主管机关授权,开展法定检验和有关主管机关核准的其他业务。


为加强单位内部网络及重要应用系统安全,避免网络或系统遭到攻击和入侵,避免单位重要机密数据、经营数据、财务数据、用户数据留向外部或被不法分子窃取,使得IT能更高效、稳定和安全的支撑业务,甚至在新的信息安全形式下推动业务开展,保护好单位信息资产,为国家可持续性发展做出贡献。单位启动了本次信息安全风险评估项目。


二、需求分析


通过信息安全技术和安全管理审核的测试结果,对系统的安全状态做出初步判断,对已采取的安全措施的合理性和有效性进行技术评估,对发生安全事件的可能性和抵御安全风险的能力做出客观的、公正的评价,并对信息安全风险评估发现的安全问题和隐患,提出整改建议,指导各类技术人员采取正确的技术手段进行系统整改工作,以消除、降低、规避具体安全风险。达到掌握单位信息安全现状,发现并能处理存在的风险隐患,为之后的信息安全保障工作提供可靠的依据及建议。

 

三、解决方案


国家级技术检验机构渗透测试案例-图1.png

测试工作流程


1、进行信息收集。

2、进行制定攻击方案。

3、高低级风险利用。

4、提升权限等级。


另外,信息的收集和分析伴随着每一个渗透测试步骤,每一个步骤又有三个组成部分:操作、响应和结果分析。


四、实施效果


从现场测试和综合评估结果来看,该单位重视信息安全工作,实施了一定的安全技术防护措施,包括部署防火墙、WEB防护设备等网络安全防护设备,划分了较为合理的安全区域,配置了较为严格的网络访问控制规则等。通过综合分析和风险计算,门户网站系统的整体风险等级为2级,基础网络安全防护能力较高,能抵御一般水平黑客的入侵。


对于在局部地区仍存在一些不足之处,项目组先后投入多名各专业领域风险评估人员,圆满完成关键系统安全检查、渗透测试、机房检查、管理安全检查四个部分的实施内容。通过本次评估,达到了掌握集团信息安全现状,发现并协助处理了存在的风险隐患,为之后的信息安全保障工作提供了可靠的依据及建议。

Copyright @ 2005-2013, 北京江南天安科技有限公司1, All Rights Reserved  京公网安备11010802028740号 京ICP备08012318号  技术支持博乐虎科技