GB∕T 36627-2018
基本信息
标准号: GB∕T 36627-2018
中文名称:信息安全技术 网络安全等级保护测试评估技术指南
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:1979KB
相关标签: 信息安全 技术 网络安全 等级 保护 测试 评估 指南
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB∕T 36627-2018 信息安全技术 网络安全等级保护测试评估技术指南
GB∕T36627-2018
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T36627—2018
信息安全技术
网络安全等级保护测试评估技术指南Information securitytechnologyTesting and evaluation technical guide for classified cybersecurity protection2018-09-17发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-04-01实施
规范性引用文件
3术语和定义、缩略语
术语和定义
3.2缩略语
4概述·
技术分类
技术选择
等级测评要求
5.1检查技术
文档检查
日志检查
规则集检查
配置检查
文件完整性检查
密码检查
5.2识别和分析技术
网络嗅探
网络端口和服务识别
漏洞扫描
无线扫描
5.3漏洞验证技术
口令破解
渗透测试
远程访问测试
附录A(资料性附录)
附录B(资料性附录)
参考文献
测评后活动
渗透测试的有关概念说明
GB/T36627—2018
本标准按照GB/T1.12009给出的规则起草GB/T36627—2018
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任,本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:公安部第三研究所、中国信息安全研究院有限公司、上海市信息安全测评认证中心、中国电子技术标准化研究院、中国信息安全认证中心本标准主要起草人:张艳、陆臻、杨晨、顾健、徐御、沈亮、俞优、张笑笑、许玉娜、金铭彦、高志新、邹春明、陈妍、胡亚兰、赵戈、毕强、何勇亮、李晨、盛璐裤。m
GB/T36627—2018
网络安全等级保护测评过程包括测评准备活动、方案编制活动、现场测评活动、报告编制活动四个基本测评活动。本标准为方案编制活动、现场测评活动中涉及的测评技术选择与实施过程提供指导。网络安全等级保护相关的测评标准主要有GB/T22239、GB/T28448和GB/T28449等。其中GB/T22239是网络安全等级保护测评的基础性标准,GB/T28448针对GB/T22239中的要求,提出了不同网络安全等级的测评要求:GB/T28449主要规定了网络安全等级保护测评工作的测评过程。本标准与GB/T28448和GB/T28449的区别在于:GB/T28448主要描述了针对各级等级保护对象单元测评的具体测评要求和测评流程,GB/T28449则主要对网络安全等级保护测评的活动、工作任务以及每项任务的输入/输出产品等提出指导性建议,不涉及测评中具体的测试方法和技术。本标准对网络安全等级保护测评中的相关测评技术进行明确的分类和定义,系统地归纳并阐述测评的技术方法,概述技术性安全测试和评估的要素,重点关注具体技术的实现功能、原则等,并提出建议供使用,因此本标准在应用于网络安全等级保护测评时可作为对GB/T28448和GB/T28449的补充。1范围
信息安全技术
网络安全等级保护测试评估技术指南GB/T36627—2018
本标准给出了网络安全等级保护测评(以下简称“等级测评”)中的相关测评技术的分类和定义,提出了技术性测试评估的要素、原则等,并对测评结果的分析和应用提出建议。本标准适用于测评机构对网络安全等级保护对象(以下简称“等级保护对象”)开展等级测评工作,以及等级保护对象的主管部门及运营使用单位对等级保护对象安全等级保护状况开展安全评估2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB17859一1999计算机信息系统安全保护等级划分准则GB/T25069—2010信息安全技术术语3术语和定义、缩略语
3.1术语和定义
GB17859一1999及GB/T25069一2010界定的以及下列术语和定义适用于本文件3.1.1
字典式攻击dictionaryattack
在破解口令时,逐一尝试用户自定义词典中的单词或短语的攻击方式。3.1.2
文件完整性检查fileintegritychecking通过建立文件校验数据库,计算、存储每一个保留文件的校验,将已存储的校验重新计算以比较当前值和存储值,从而识别文件是否被修改、3.1.3
网络嗅探
networksniffer
种监视网络通信、解码协议,并对关注的信息头部和有效载荷进行检查的被动技术,同时也是一种目标识别和分析技术。
规则集
ruleset
种用于比较网络流量或系统活动以决定响应措施(如发送或拒绝一个数据包,创建一个告警,或允许一个系统事件)的规则的集合3.1.5
测评对象
targetoftestingandevaluation等级测评过程中不同测评方法作用的对象,主要涉及相关信息系统、配套制度文档、设备设施及人员等。
GB/T36627—2018
3.2缩略语
下列缩略语适用于本文件。
CNVD:国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase)DNS:域名系统(DomainNameSystem)DDoS:分布式拒绝服务(DistributedDenialofService)ICMP:Internet控制报文协议(InternetControlMessageProtocol)IDS:人侵检测系统(IntrusionDetectionSystems)IPS:人侵防御系统(IntrusionPreventionSystem)MAC:介质访问控制(MediaAccessControl)SSH:安全外壳协议(SecureShell)SSID:服务集标识(ServiceSetIdentifier)SQL:结构化查询语言(StructuredQueryLanguage)VPN:虚拟专用网络(VirtualPrivateNetwork)4概述
技术分类
可用于等级测评的测评技术分成以下三类:a)检查技术:检查信息系统、配套制度文档、设备设施,并发现相关规程和策略中安全漏洞的测评技术。通常采用手动方式,主要包括文档检查、日志检查、规则集检查、系统配置检查、文件完整性检查、密码检查等。
识别和分析技术:识别系统、端口、服务以及潜在安全性漏洞的测评技术。这些技术可以手动b)
执行,也可使用自动化的工具,主要包括网络膜探、网络端口和服务识别、漏洞扫描、无线描等。
漏洞验证技术:验证漏洞存在性的测评技术。基于检查、目标识别和分析结果,针对性地采取手动执行或使用自动化的工具,主要包括口今破解,渗透测试、远程访问测试等,对可能存在的安全漏洞进行验证确认,获得证据。4.2技术选择
当选择和确定用于等级测评活动的技术方法时,考虑的因素主要包括但不限于测评对象、测评技术适用性、测评技术对测评对象可能引入的安全风险,以选择合适的技术方法当所选择的技术方法在实施过程中可能对测评对象产生影响时,宜优先考虑对与测评对象的生产系统相同配置的非生产系统进行测试,在非业务运营时间进行测试或在业务运营时间仅使用风险可控的技术方法进行测试,以尽量减少对测评对象业务的影响。实施技术测评后产生的测评结果可用于对测评对象进行威胁分析、改进建议的提出及结果报告的生成等,具体参见附录A。
5等级测评要求
检查技术
5.1.1文档检查
文档检查的主要功能是基于等级保护对象运营单位提供的文档,评价其策略和规程的技术准确性2
和完整性。进行文档检查时,可考虑以下评估要素:GB/T36627—2018
检查对象包括安全策略、体系结构和要求、标准作业程序、系统安全计划和授权许可、系统互连的技术规范、事件响应计划等,确保技术的准确性和完整性:检查安全策略、体系结构和要求、标准作业程序、系统安全计划和授权许可、系统互连的技术规b)
范、事件响应计划等文档的完整性,通过检查执行记录和相应表单,确认被测方安全措施的实施与制度文档的一致性;
发现可能导致遗漏或不恰当地实施安全控制措施的缺陷和弱点;d)验证测评对象的文档是否与网络安全等级保护标准、法规相符合,查找有缺陷或已过时的策略:
e)文档检查的结果可用于调整其他的测试技术,例如,当口令管理策略规定了最小口令长度和复杂度要求的时候,该信息应可用于配置口令破解工具,以提高口令破解效率。5.1.2日志检查
日志检查的主要功能是验证安全控制措施是否记录了测评对象的信息系统、设备设施的使用、配置和修改的历史记录等适当信息,等级保护对象的运营使用单位是否坚持了日志管理策略,并且能够发现潜在的问题和违反安全策略的情况。进行日志检查时,可考虑以下评估要素:认证服务器或系统日志,包括成功或失败的认证尝试;b)操作系统日志,包括系统和服务的启动、关闭.未授权软件的安装,文件访问,安全策略变更,账户变更(例如账户创建和删除、账户权限分配)以及权限使用等信息;e)
IDS/IPS日志,包据恶意行为和不恰当使用:d)
防火墙、交换机和路由器日志,包括影响内部设备的出站连接(如僵户程序、木马、间谋软件等),以及未授权连接的尝试和不恰当使用;e
应用日志·包括未授权的连接尝试、账号变更、权限使用,以及应用程序或数据库的使用信息等;
防病毒日志,包括病毒查杀、感染日志,以及升级失败、软件过期等其他事件;其他安全日志,如补丁管理等,应记录已知漏洞的服务和应用等信息;g)
网络运行状态、网络安全事件相关日志,留存时间不少于6个月。h)
5.1.3规则集检查
规则集检查的主要功能是发现基于规则集的安全控制措施的漏洞,检查对象包括网络设备、安全设备、数据库、操作系统及应用系统的访问控制列表、策略集,三级及以上等级保护对象还应包括强制访问控制机制。进行规则集检查时,可考虑以下评估要素和评估原则:路由访问控制列表:
1)每一条规则都应是有效的(例如,因临时需求而设定的规则,在不需要的时候应立刻移除);2)应只允许策略授权的流量通过其他所有的流量默认禁止。b)访问控制设备策略集:
1)应采用默认禁止策略;
2)应实施最小权限访问,例如限定可信的IP地址或端口;3)
特定规则应在一般规则之前被触发:仅开放必要的端口,以增强周边安全:防止流量绕过测评对象的安全防御措施。5)
c)强制访问控制机制:
1)强制访间控制策略应具有一致性,系统中各个安全子集应具有一致的主、客体安全标记和3
GB/T36627—2018
相同的访问规则:
以文件形式存储和操作的用户数据,在操作系统的支持下,应实现文件级粒度的强制访问控制;
以数据库形式存储和操作的用户数据,在数据库管理系统的支持下,应实现表/记录、字段3)
级粒度的强制访问控制;
4)检查强制访问控制的范围,应限定在已定义的主体与客体中5.1.4配置检查
配置检查的主要功能是通过检查测评对象的安全策略设置和安全配置文件,评价测评对象安全策略配置的强度.以及验证测评对象安全策略配置与测评对象安全加固策略的符合程度。进行配置检查时,可考虑以下评估要素:
a)依据安全策略进行加固或配置;仅开放必要的服务和应用;
用户账号的唯二性标识和口令复杂度设置d)
开启必要的审计策略,设置备份策略;e)
合理设置文件访问权限;
三级及以上等级保护对象中敏感信息资源主、客体的安全标记:由系统安全员创建主体(如用户)、客体(如数据)的安全标记;1)
实施相同强制访问控制安全策略的主、客体,应标以相同的安全标记;2)
3)检查标记的范围,应扩展到测评对象中的所有主体与客体5.1.5文件完整性检查
文件完整性检查的主要功能是识别系统文件等重要文件的未授权变更。进行文件完整性检查时:可考虑以下评估要素:
a)采用哈希或数字签名等手段,保证重要文件的完整性;b)采用基准样本与重要文件进行比对的方式,实现重要文件的完整性校验;采用部署基于主机的IDS设备,实现对重要文件完整性破坏的告警。e)
5.1.6密码检查
密码检查的主要功能是对测评对象中采用的密码技术或产品进行安全性检查。进行密码检查时,可考虑以下评估原则
a)所提供的密码算法相关功能符合国家密码主管部门的有关规定;b)所使用的密钥长度符合等级保护对象行业主管部门的有关规定。5.2识别和分析技术
网络膜探
网络膜探的主要功能是通过捕提和重放网络流量,收集、识别网络中活动的设备、操作系统和协议、未授权和不恰当的行为等信息。进行网络嘎探时,可考虑以下评估要素和评估原则:a)
监控网络流量,记录活动主机的IP地址,并报告网络中发现的操作系统信息:b)
识别主机之间的联系,包娜些主机相互通信,其通信的频率和所产生的流量的协议类型;c
通过自动化工具向常用的端口发送多种类型的网络数据包(如ICMPpings),分析网络主机的响应,并与操作系统和网络服务的数据包的已知特征相比较,识别主机所运行的操作系统、端口及端口的状态。
在网络边界处部署网络膜探器,用以评估进出网络的流量:e)
在防火瑞后端部署网络膜探器,用以评估准确过滤流量的规则集:GB/T36627—2018
在IDS/IPS后端部署网络膜探器,用以确定特征码是否被触发并得到适当的响应;在重要操作系统和应用程序前端部署网络膜探器,用以评估用户活动;g)
在具体网段上部署网络探器,用以验证加密协议的有效性。h)
5.2.2网络端口和服务识别Www.bzxZ.net
网络端口和服务识别的主要功能是识别活动设备上开放的端口、相关服务与应用程序。进行网络端口和服务识别时,可考虑以下评估要素和评估原则:a)对主机及存在潜在漏洞的踏口进行识别,并用于确定渗透性测试的目标b)在从网络边界外执行扫描时应使用含分离、复制、重叠、乱序和定时技术的工具,并利用工具改变数据包,让数据包融入正常流量中,使数据包避开IDS/IPS检测的同时穿越防火墙:应尽量减少扫描工具对网络运行的干扰,如选择端口扫描的时间。c
5.2.3漏洞扫描
漏洞扫描的主要功能是针对主机和开放端口识别已知漏洞、提供建议降低漏洞风险;同时,有助于识别过时的软件版本、缺失的补丁和错误配置,并验证其与机构安全策略的一致性。进行漏洞扫描时可考虑以下评估要素和评估原则:a)识别漏洞相关信息,包含漏洞名称、类型、漏洞描述、风险等级、修复建议等内容;b)i
通过工具识别结合人工分析的方式,对发现的漏洞进行关联分析,从而准确判断漏洞的风险等级;
漏洞扫描前.扫描设备应更新升级至最新的漏洞库,以确保能识别最新的漏洞:d)s
依据漏洞扫描工具的漏洞分析原理(如特征库匹配、攻击探测等),谨慎选择扫描策略,防止引起测评对象故障;
使用漏洞扫措设备时应对扫描线程数、流量进行限制,以降低测评对测评对象产生的风险。5.2.4无线扫描
无线扫描的主要功能是识别被测环境中没有物理连接(如网络电缆或外围电缆)情况下使一个或多个设备实现通信的方式,帮助机构评估、分析无线技术对扫描对象所带来的安全风险。进行无线扫描时,可考虑以下评估要素和评估原则:识别无线流量中无线设备的关键属性,包括SSID、设备类型、频道、MAC地址、信号强度及传a)
送包的数目:
b)无线扫描设备部署位置的环境要素包括:被扫描设备的位置和范围、使用无线技术进行数据传输的测评对象的安全保护等级和数据重要性,以及扫措环境中无线设备连接和断开的频繁程度以及流量规模;
使用安装配置无线分析软件的移动设备,如笔记本电脑、手持设备或专业设备;c)
基于无线安全配置要求,对无线扫描工具进行扫描策略配置,以实现差距分析:e
适当配置扫描工具的扫描间隔时间,既能捕获数据包,又能有效地扫描每个频段:可通过导入平面图或地图,以协助定位被发现设备的物理位置:g)
对捕获的数据包进行分析.从而识别扫描范围内发现的潜在的恶意设备和未授权的网络连接模式;
h)实施蓝牙扫描时,应覆盖测评对象中部署的支持蓝牙的所有基础设施(如蓝牙接入点)。5
GB/T36627—2018
5.3漏洞验证技术
5.3.1口令破解
口令破解的主要功能是在评估过程中通过采用暴力猜测(密码穷举)、字典攻击等技术手段验证数据库、操作系统、应用系统、设备的管理员口令复杂度。进行口令破解时,可考虑以下评估方法和评估原则:
使用字典式攻击方法或采用预先计算好的彩虹表(散列值查找表)进行口令破解尝试:b)
使用混合攻击或暴力破解的方式进行口令破解:混合攻击以字典攻击方法为基础,在字典中增加了数字和符号学符:
如测评对象采用带有盐值的加密散列函数时,不宜使用彩虹表方式进行口令破解尝试;使用暴力破解时,可采用分布式执行的方式提高破解的效率。d)
5.3.2渗透测试
渗透测试的主要功能是通过模拟恶意黑客的攻击方法,攻击等级保护对象的应用程序、系统或者网络的安全功能,从而验证测评对象弱点、技术缺陷或漏洞的一种评估方法。进行渗透测试时,可考虑以下评估要素和评估原则:
a)通过渗透测试评估确认以下漏洞的存在:1)系统/服务类漏洞。由于操作系统、数据库,中间件等为应用系统提供服务或支撑的环境存在缺陷,所导致的安全漏洞,如缓冲区溢出漏洞、堆/栈溢出、内存泄露等,可能造成程序运行失败、系统容机、重新启动等后果,更为严重的,可以导致程序执行非授权指令,甚至取得系统特权,进而进行各种非法操作2)应用代码类漏洞:由于开发人员编写代码不规范或缺少必要的校验措施,导致应用系统存在安全漏洞,包括SQL注入、跨站脚本、任意上传文件等漏洞:攻击者可利用这些漏洞,对应用系统发起攻击,从而获得数据库中的敏感信息,更为严重的,可以导致服务器被控制。
权限劳路类漏洞。由于对数据访问、功能模块访问控制规则不严或存在缺失,导致攻击者可非授权访问这些数据及功能模块。权限旁路类蒲洞通常可分为越权访问及平行权限,越权访问是指低权限用户非授权访问高权限用户的功能模块或数据信息,平行权限是指攻击者利用自身权限的功能模块,非授权访问或操作他人的数据信息,配置不当类漏洞。由于未对配置文件进行安全加固,仅使用默认配置或配置不合理,所导40
致的安全风险。如中间件配置支持put方法,可能导致攻击者利用put方法上传木马文件,从而获得服务器控制权。
信息泄露类漏洞。由于系统未对重要数据及信息进行必要的保护,导致攻击者可从泄露的内容中获得有用的信息,从而为进一步攻击提供线索。如源代码泄露、默认错误信息中含有服务器信息/SQL语句等均属于信息泄露类漏洞。业务逻辑缺陷类漏洞。由于程序逻辑不严或逻辑太复杂,导致一些逻辑分支不能够正常6)
处理或处理错误。如果出现这种情况,则用户可以根据业务功能的不同进行任意密码修改、越权访问、非正常金额交易等攻击b)充分考虑等级保护对象面临的安全风险,选择并模拟内部(等级保护对象所在的内部网络)攻击或外部(从互联网、第三方机构等外部网络)攻击。评估者应制定详细的渗透测试方案,内容包括渗透测试对象、渗透测试风险及规避措施等内容(相关内容参见附录B)。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T36627—2018
信息安全技术
网络安全等级保护测试评估技术指南Information securitytechnologyTesting and evaluation technical guide for classified cybersecurity protection2018-09-17发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-04-01实施
规范性引用文件
3术语和定义、缩略语
术语和定义
3.2缩略语
4概述·
技术分类
技术选择
等级测评要求
5.1检查技术
文档检查
日志检查
规则集检查
配置检查
文件完整性检查
密码检查
5.2识别和分析技术
网络嗅探
网络端口和服务识别
漏洞扫描
无线扫描
5.3漏洞验证技术
口令破解
渗透测试
远程访问测试
附录A(资料性附录)
附录B(资料性附录)
参考文献
测评后活动
渗透测试的有关概念说明
GB/T36627—2018
本标准按照GB/T1.12009给出的规则起草GB/T36627—2018
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任,本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:公安部第三研究所、中国信息安全研究院有限公司、上海市信息安全测评认证中心、中国电子技术标准化研究院、中国信息安全认证中心本标准主要起草人:张艳、陆臻、杨晨、顾健、徐御、沈亮、俞优、张笑笑、许玉娜、金铭彦、高志新、邹春明、陈妍、胡亚兰、赵戈、毕强、何勇亮、李晨、盛璐裤。m
GB/T36627—2018
网络安全等级保护测评过程包括测评准备活动、方案编制活动、现场测评活动、报告编制活动四个基本测评活动。本标准为方案编制活动、现场测评活动中涉及的测评技术选择与实施过程提供指导。网络安全等级保护相关的测评标准主要有GB/T22239、GB/T28448和GB/T28449等。其中GB/T22239是网络安全等级保护测评的基础性标准,GB/T28448针对GB/T22239中的要求,提出了不同网络安全等级的测评要求:GB/T28449主要规定了网络安全等级保护测评工作的测评过程。本标准与GB/T28448和GB/T28449的区别在于:GB/T28448主要描述了针对各级等级保护对象单元测评的具体测评要求和测评流程,GB/T28449则主要对网络安全等级保护测评的活动、工作任务以及每项任务的输入/输出产品等提出指导性建议,不涉及测评中具体的测试方法和技术。本标准对网络安全等级保护测评中的相关测评技术进行明确的分类和定义,系统地归纳并阐述测评的技术方法,概述技术性安全测试和评估的要素,重点关注具体技术的实现功能、原则等,并提出建议供使用,因此本标准在应用于网络安全等级保护测评时可作为对GB/T28448和GB/T28449的补充。1范围
信息安全技术
网络安全等级保护测试评估技术指南GB/T36627—2018
本标准给出了网络安全等级保护测评(以下简称“等级测评”)中的相关测评技术的分类和定义,提出了技术性测试评估的要素、原则等,并对测评结果的分析和应用提出建议。本标准适用于测评机构对网络安全等级保护对象(以下简称“等级保护对象”)开展等级测评工作,以及等级保护对象的主管部门及运营使用单位对等级保护对象安全等级保护状况开展安全评估2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB17859一1999计算机信息系统安全保护等级划分准则GB/T25069—2010信息安全技术术语3术语和定义、缩略语
3.1术语和定义
GB17859一1999及GB/T25069一2010界定的以及下列术语和定义适用于本文件3.1.1
字典式攻击dictionaryattack
在破解口令时,逐一尝试用户自定义词典中的单词或短语的攻击方式。3.1.2
文件完整性检查fileintegritychecking通过建立文件校验数据库,计算、存储每一个保留文件的校验,将已存储的校验重新计算以比较当前值和存储值,从而识别文件是否被修改、3.1.3
网络嗅探
networksniffer
种监视网络通信、解码协议,并对关注的信息头部和有效载荷进行检查的被动技术,同时也是一种目标识别和分析技术。
规则集
ruleset
种用于比较网络流量或系统活动以决定响应措施(如发送或拒绝一个数据包,创建一个告警,或允许一个系统事件)的规则的集合3.1.5
测评对象
targetoftestingandevaluation等级测评过程中不同测评方法作用的对象,主要涉及相关信息系统、配套制度文档、设备设施及人员等。
GB/T36627—2018
3.2缩略语
下列缩略语适用于本文件。
CNVD:国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase)DNS:域名系统(DomainNameSystem)DDoS:分布式拒绝服务(DistributedDenialofService)ICMP:Internet控制报文协议(InternetControlMessageProtocol)IDS:人侵检测系统(IntrusionDetectionSystems)IPS:人侵防御系统(IntrusionPreventionSystem)MAC:介质访问控制(MediaAccessControl)SSH:安全外壳协议(SecureShell)SSID:服务集标识(ServiceSetIdentifier)SQL:结构化查询语言(StructuredQueryLanguage)VPN:虚拟专用网络(VirtualPrivateNetwork)4概述
技术分类
可用于等级测评的测评技术分成以下三类:a)检查技术:检查信息系统、配套制度文档、设备设施,并发现相关规程和策略中安全漏洞的测评技术。通常采用手动方式,主要包括文档检查、日志检查、规则集检查、系统配置检查、文件完整性检查、密码检查等。
识别和分析技术:识别系统、端口、服务以及潜在安全性漏洞的测评技术。这些技术可以手动b)
执行,也可使用自动化的工具,主要包括网络膜探、网络端口和服务识别、漏洞扫描、无线描等。
漏洞验证技术:验证漏洞存在性的测评技术。基于检查、目标识别和分析结果,针对性地采取手动执行或使用自动化的工具,主要包括口今破解,渗透测试、远程访问测试等,对可能存在的安全漏洞进行验证确认,获得证据。4.2技术选择
当选择和确定用于等级测评活动的技术方法时,考虑的因素主要包括但不限于测评对象、测评技术适用性、测评技术对测评对象可能引入的安全风险,以选择合适的技术方法当所选择的技术方法在实施过程中可能对测评对象产生影响时,宜优先考虑对与测评对象的生产系统相同配置的非生产系统进行测试,在非业务运营时间进行测试或在业务运营时间仅使用风险可控的技术方法进行测试,以尽量减少对测评对象业务的影响。实施技术测评后产生的测评结果可用于对测评对象进行威胁分析、改进建议的提出及结果报告的生成等,具体参见附录A。
5等级测评要求
检查技术
5.1.1文档检查
文档检查的主要功能是基于等级保护对象运营单位提供的文档,评价其策略和规程的技术准确性2
和完整性。进行文档检查时,可考虑以下评估要素:GB/T36627—2018
检查对象包括安全策略、体系结构和要求、标准作业程序、系统安全计划和授权许可、系统互连的技术规范、事件响应计划等,确保技术的准确性和完整性:检查安全策略、体系结构和要求、标准作业程序、系统安全计划和授权许可、系统互连的技术规b)
范、事件响应计划等文档的完整性,通过检查执行记录和相应表单,确认被测方安全措施的实施与制度文档的一致性;
发现可能导致遗漏或不恰当地实施安全控制措施的缺陷和弱点;d)验证测评对象的文档是否与网络安全等级保护标准、法规相符合,查找有缺陷或已过时的策略:
e)文档检查的结果可用于调整其他的测试技术,例如,当口令管理策略规定了最小口令长度和复杂度要求的时候,该信息应可用于配置口令破解工具,以提高口令破解效率。5.1.2日志检查
日志检查的主要功能是验证安全控制措施是否记录了测评对象的信息系统、设备设施的使用、配置和修改的历史记录等适当信息,等级保护对象的运营使用单位是否坚持了日志管理策略,并且能够发现潜在的问题和违反安全策略的情况。进行日志检查时,可考虑以下评估要素:认证服务器或系统日志,包括成功或失败的认证尝试;b)操作系统日志,包括系统和服务的启动、关闭.未授权软件的安装,文件访问,安全策略变更,账户变更(例如账户创建和删除、账户权限分配)以及权限使用等信息;e)
IDS/IPS日志,包据恶意行为和不恰当使用:d)
防火墙、交换机和路由器日志,包括影响内部设备的出站连接(如僵户程序、木马、间谋软件等),以及未授权连接的尝试和不恰当使用;e
应用日志·包括未授权的连接尝试、账号变更、权限使用,以及应用程序或数据库的使用信息等;
防病毒日志,包括病毒查杀、感染日志,以及升级失败、软件过期等其他事件;其他安全日志,如补丁管理等,应记录已知漏洞的服务和应用等信息;g)
网络运行状态、网络安全事件相关日志,留存时间不少于6个月。h)
5.1.3规则集检查
规则集检查的主要功能是发现基于规则集的安全控制措施的漏洞,检查对象包括网络设备、安全设备、数据库、操作系统及应用系统的访问控制列表、策略集,三级及以上等级保护对象还应包括强制访问控制机制。进行规则集检查时,可考虑以下评估要素和评估原则:路由访问控制列表:
1)每一条规则都应是有效的(例如,因临时需求而设定的规则,在不需要的时候应立刻移除);2)应只允许策略授权的流量通过其他所有的流量默认禁止。b)访问控制设备策略集:
1)应采用默认禁止策略;
2)应实施最小权限访问,例如限定可信的IP地址或端口;3)
特定规则应在一般规则之前被触发:仅开放必要的端口,以增强周边安全:防止流量绕过测评对象的安全防御措施。5)
c)强制访问控制机制:
1)强制访间控制策略应具有一致性,系统中各个安全子集应具有一致的主、客体安全标记和3
GB/T36627—2018
相同的访问规则:
以文件形式存储和操作的用户数据,在操作系统的支持下,应实现文件级粒度的强制访问控制;
以数据库形式存储和操作的用户数据,在数据库管理系统的支持下,应实现表/记录、字段3)
级粒度的强制访问控制;
4)检查强制访问控制的范围,应限定在已定义的主体与客体中5.1.4配置检查
配置检查的主要功能是通过检查测评对象的安全策略设置和安全配置文件,评价测评对象安全策略配置的强度.以及验证测评对象安全策略配置与测评对象安全加固策略的符合程度。进行配置检查时,可考虑以下评估要素:
a)依据安全策略进行加固或配置;仅开放必要的服务和应用;
用户账号的唯二性标识和口令复杂度设置d)
开启必要的审计策略,设置备份策略;e)
合理设置文件访问权限;
三级及以上等级保护对象中敏感信息资源主、客体的安全标记:由系统安全员创建主体(如用户)、客体(如数据)的安全标记;1)
实施相同强制访问控制安全策略的主、客体,应标以相同的安全标记;2)
3)检查标记的范围,应扩展到测评对象中的所有主体与客体5.1.5文件完整性检查
文件完整性检查的主要功能是识别系统文件等重要文件的未授权变更。进行文件完整性检查时:可考虑以下评估要素:
a)采用哈希或数字签名等手段,保证重要文件的完整性;b)采用基准样本与重要文件进行比对的方式,实现重要文件的完整性校验;采用部署基于主机的IDS设备,实现对重要文件完整性破坏的告警。e)
5.1.6密码检查
密码检查的主要功能是对测评对象中采用的密码技术或产品进行安全性检查。进行密码检查时,可考虑以下评估原则
a)所提供的密码算法相关功能符合国家密码主管部门的有关规定;b)所使用的密钥长度符合等级保护对象行业主管部门的有关规定。5.2识别和分析技术
网络膜探
网络膜探的主要功能是通过捕提和重放网络流量,收集、识别网络中活动的设备、操作系统和协议、未授权和不恰当的行为等信息。进行网络嘎探时,可考虑以下评估要素和评估原则:a)
监控网络流量,记录活动主机的IP地址,并报告网络中发现的操作系统信息:b)
识别主机之间的联系,包娜些主机相互通信,其通信的频率和所产生的流量的协议类型;c
通过自动化工具向常用的端口发送多种类型的网络数据包(如ICMPpings),分析网络主机的响应,并与操作系统和网络服务的数据包的已知特征相比较,识别主机所运行的操作系统、端口及端口的状态。
在网络边界处部署网络膜探器,用以评估进出网络的流量:e)
在防火瑞后端部署网络膜探器,用以评估准确过滤流量的规则集:GB/T36627—2018
在IDS/IPS后端部署网络膜探器,用以确定特征码是否被触发并得到适当的响应;在重要操作系统和应用程序前端部署网络膜探器,用以评估用户活动;g)
在具体网段上部署网络探器,用以验证加密协议的有效性。h)
5.2.2网络端口和服务识别Www.bzxZ.net
网络端口和服务识别的主要功能是识别活动设备上开放的端口、相关服务与应用程序。进行网络端口和服务识别时,可考虑以下评估要素和评估原则:a)对主机及存在潜在漏洞的踏口进行识别,并用于确定渗透性测试的目标b)在从网络边界外执行扫描时应使用含分离、复制、重叠、乱序和定时技术的工具,并利用工具改变数据包,让数据包融入正常流量中,使数据包避开IDS/IPS检测的同时穿越防火墙:应尽量减少扫描工具对网络运行的干扰,如选择端口扫描的时间。c
5.2.3漏洞扫描
漏洞扫描的主要功能是针对主机和开放端口识别已知漏洞、提供建议降低漏洞风险;同时,有助于识别过时的软件版本、缺失的补丁和错误配置,并验证其与机构安全策略的一致性。进行漏洞扫描时可考虑以下评估要素和评估原则:a)识别漏洞相关信息,包含漏洞名称、类型、漏洞描述、风险等级、修复建议等内容;b)i
通过工具识别结合人工分析的方式,对发现的漏洞进行关联分析,从而准确判断漏洞的风险等级;
漏洞扫描前.扫描设备应更新升级至最新的漏洞库,以确保能识别最新的漏洞:d)s
依据漏洞扫描工具的漏洞分析原理(如特征库匹配、攻击探测等),谨慎选择扫描策略,防止引起测评对象故障;
使用漏洞扫措设备时应对扫描线程数、流量进行限制,以降低测评对测评对象产生的风险。5.2.4无线扫描
无线扫描的主要功能是识别被测环境中没有物理连接(如网络电缆或外围电缆)情况下使一个或多个设备实现通信的方式,帮助机构评估、分析无线技术对扫描对象所带来的安全风险。进行无线扫描时,可考虑以下评估要素和评估原则:识别无线流量中无线设备的关键属性,包括SSID、设备类型、频道、MAC地址、信号强度及传a)
送包的数目:
b)无线扫描设备部署位置的环境要素包括:被扫描设备的位置和范围、使用无线技术进行数据传输的测评对象的安全保护等级和数据重要性,以及扫措环境中无线设备连接和断开的频繁程度以及流量规模;
使用安装配置无线分析软件的移动设备,如笔记本电脑、手持设备或专业设备;c)
基于无线安全配置要求,对无线扫描工具进行扫描策略配置,以实现差距分析:e
适当配置扫描工具的扫描间隔时间,既能捕获数据包,又能有效地扫描每个频段:可通过导入平面图或地图,以协助定位被发现设备的物理位置:g)
对捕获的数据包进行分析.从而识别扫描范围内发现的潜在的恶意设备和未授权的网络连接模式;
h)实施蓝牙扫描时,应覆盖测评对象中部署的支持蓝牙的所有基础设施(如蓝牙接入点)。5
GB/T36627—2018
5.3漏洞验证技术
5.3.1口令破解
口令破解的主要功能是在评估过程中通过采用暴力猜测(密码穷举)、字典攻击等技术手段验证数据库、操作系统、应用系统、设备的管理员口令复杂度。进行口令破解时,可考虑以下评估方法和评估原则:
使用字典式攻击方法或采用预先计算好的彩虹表(散列值查找表)进行口令破解尝试:b)
使用混合攻击或暴力破解的方式进行口令破解:混合攻击以字典攻击方法为基础,在字典中增加了数字和符号学符:
如测评对象采用带有盐值的加密散列函数时,不宜使用彩虹表方式进行口令破解尝试;使用暴力破解时,可采用分布式执行的方式提高破解的效率。d)
5.3.2渗透测试
渗透测试的主要功能是通过模拟恶意黑客的攻击方法,攻击等级保护对象的应用程序、系统或者网络的安全功能,从而验证测评对象弱点、技术缺陷或漏洞的一种评估方法。进行渗透测试时,可考虑以下评估要素和评估原则:
a)通过渗透测试评估确认以下漏洞的存在:1)系统/服务类漏洞。由于操作系统、数据库,中间件等为应用系统提供服务或支撑的环境存在缺陷,所导致的安全漏洞,如缓冲区溢出漏洞、堆/栈溢出、内存泄露等,可能造成程序运行失败、系统容机、重新启动等后果,更为严重的,可以导致程序执行非授权指令,甚至取得系统特权,进而进行各种非法操作2)应用代码类漏洞:由于开发人员编写代码不规范或缺少必要的校验措施,导致应用系统存在安全漏洞,包括SQL注入、跨站脚本、任意上传文件等漏洞:攻击者可利用这些漏洞,对应用系统发起攻击,从而获得数据库中的敏感信息,更为严重的,可以导致服务器被控制。
权限劳路类漏洞。由于对数据访问、功能模块访问控制规则不严或存在缺失,导致攻击者可非授权访问这些数据及功能模块。权限旁路类蒲洞通常可分为越权访问及平行权限,越权访问是指低权限用户非授权访问高权限用户的功能模块或数据信息,平行权限是指攻击者利用自身权限的功能模块,非授权访问或操作他人的数据信息,配置不当类漏洞。由于未对配置文件进行安全加固,仅使用默认配置或配置不合理,所导40
致的安全风险。如中间件配置支持put方法,可能导致攻击者利用put方法上传木马文件,从而获得服务器控制权。
信息泄露类漏洞。由于系统未对重要数据及信息进行必要的保护,导致攻击者可从泄露的内容中获得有用的信息,从而为进一步攻击提供线索。如源代码泄露、默认错误信息中含有服务器信息/SQL语句等均属于信息泄露类漏洞。业务逻辑缺陷类漏洞。由于程序逻辑不严或逻辑太复杂,导致一些逻辑分支不能够正常6)
处理或处理错误。如果出现这种情况,则用户可以根据业务功能的不同进行任意密码修改、越权访问、非正常金额交易等攻击b)充分考虑等级保护对象面临的安全风险,选择并模拟内部(等级保护对象所在的内部网络)攻击或外部(从互联网、第三方机构等外部网络)攻击。评估者应制定详细的渗透测试方案,内容包括渗透测试对象、渗透测试风险及规避措施等内容(相关内容参见附录B)。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。