基于風(fēng)險(xiǎn)評(píng)估的滲透測(cè)試方案的研究與實(shí)施.pdf_第1頁(yè)
已閱讀1頁(yè),還剩62頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來(lái)越廣泛,在帶來(lái)了前所未有的海量信息的同時(shí),網(wǎng)絡(luò)的開(kāi)放性和自由性面臨著更大的威脅,網(wǎng)絡(luò)信息的安全性變得日益重要起來(lái),如何了解和評(píng)價(jià)信息安全現(xiàn)狀,提出信息系統(tǒng)的安全需求,選擇最佳的風(fēng)險(xiǎn)控制措施,建立信息安全管理體系,制訂有效的安全策略成為了迫切的需求。風(fēng)險(xiǎn)評(píng)估正成為了解網(wǎng)絡(luò)安全現(xiàn)狀、明確未來(lái)需求的重要部分。同時(shí)如何檢驗(yàn)軟件工程中軟件生命周期(需求、設(shè)計(jì)、編碼、測(cè)試、維護(hù))的各個(gè)流程的有

2、效性以及產(chǎn)品的安全性,彌補(bǔ)漏洞帶來(lái)的威脅和影響變得更加嚴(yán)峻,滲透測(cè)試作為真實(shí)了解網(wǎng)絡(luò)現(xiàn)狀和弱點(diǎn)的最有效方式,能有效的檢測(cè)漏洞和威脅,同時(shí)與風(fēng)險(xiǎn)相關(guān)聯(lián),能有效真實(shí)反映網(wǎng)絡(luò)現(xiàn)狀,減少設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、運(yùn)營(yíng)過(guò)程中帶來(lái)的風(fēng)險(xiǎn)。 本文正是針對(duì)上述問(wèn)題,把滲透測(cè)試與風(fēng)險(xiǎn)評(píng)估相結(jié)合,從風(fēng)險(xiǎn)角度來(lái)看滲透測(cè)試,以風(fēng)險(xiǎn)評(píng)估中的滲透測(cè)試為重點(diǎn),重要討論了滲透測(cè)試的主要技術(shù),優(yōu)化了滲透測(cè)試流程和方案,并研究了滲透測(cè)試過(guò)程中可能存在的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)應(yīng)對(duì)措施

3、,最后并總結(jié)了滲透測(cè)試主要的工具。本文主要工作如下: 1)深入分析了隱藏規(guī)避技術(shù),安全掃描技術(shù),拒絕服務(wù)技術(shù),緩沖區(qū)溢出技術(shù),賬號(hào)口令破解技術(shù),網(wǎng)絡(luò)監(jiān)聽(tīng)技術(shù),ARP欺騙技術(shù),SQL注入技術(shù)以及跨站腳本,社會(huì)工程學(xué),無(wú)線破解等常見(jiàn)滲透測(cè)試技術(shù)。 2)參考國(guó)際標(biāo)準(zhǔn),認(rèn)真分析了目前的滲透測(cè)試流程,本文將滲透測(cè)試方案分為5個(gè)階段10個(gè)步驟:計(jì)劃和準(zhǔn)備階段、偵查階段(信息搜集、目標(biāo)判別、漏洞掃描)、攻擊階段(獲取權(quán)限、權(quán)限提升、設(shè)

4、置后門(mén)、環(huán)境清理)、風(fēng)險(xiǎn)分析階段以及報(bào)告階段。并分別討論每個(gè)階段的任務(wù)、目標(biāo)以及實(shí)現(xiàn)手段,同時(shí)滲透測(cè)試過(guò)程中要注意可能產(chǎn)生的風(fēng)險(xiǎn)并采用風(fēng)險(xiǎn)規(guī)避措施。 3)對(duì)實(shí)際滲透測(cè)試中的風(fēng)險(xiǎn)—技術(shù)、管理、人員進(jìn)行了分析,并分別針對(duì)這些情況的風(fēng)險(xiǎn)規(guī)避措施。需要注意的是風(fēng)險(xiǎn)規(guī)避的結(jié)果可能會(huì)對(duì)滲透測(cè)試結(jié)果產(chǎn)生影響,在撰寫(xiě)滲透測(cè)試報(bào)告時(shí)需要注明。 4)認(rèn)真搜集、總結(jié)、整理、歸類(lèi)分析了不同的滲透測(cè)試平臺(tái),不同的滲透階段、不同系統(tǒng)、不同應(yīng)用要用到

5、不同的工具,有效的使用工具可以達(dá)到事倍功半的效果。滲透測(cè)試工具層出不窮,需要有正確的態(tài)度對(duì)待工具的使用。 由于滲透測(cè)試的對(duì)象較為復(fù)雜,滲透測(cè)試的技術(shù)方法較多,而且滲透測(cè)試的結(jié)果與滲透測(cè)試人員的水平有很大關(guān)系,所以要正確解讀滲透測(cè)試結(jié)果。此外,對(duì)滲透測(cè)試測(cè)試用例的說(shuō)明,對(duì)避免滲透測(cè)試結(jié)果誤差的控制也是未來(lái)探討的范圍。 總之,滲透測(cè)試由于其特殊的地位,緊貼客戶的攻擊和防護(hù)最前沿,是對(duì)客戶網(wǎng)絡(luò)防護(hù)水平的最直接、最有效的檢驗(yàn),必

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論