信息系统审计中的渗透测试研究
发布时间:2021-06-15 12:29
渗透测试是指经授权对网络或主机进行攻击测试,以评估计算机系统安全性的一种评估方法。本文借鉴了当前渗透测试的常见方式,结合近年来人民银行信息系统开展渗透测试的实践经验,提炼了信息系统审计的渗透测试的思路和方法,并给出了相关建议。
【文章来源】:金融科技时代. 2020,28(06)
【文章页数】:4 页
【文章目录】:
一、信息系统安全审计的4种方式
(一)配置检查(看配置)
(二)渗透测试(挖漏洞)
(三)业务逻辑漏洞挖掘和代码审计(看代码)
(四)日志审计(查日志)
二、信息系统审计中渗透测试的基本流程
(一)前期交互
(二)信息收集
1. 信息系统资产信息
2. 操作系统、中间件和应用版本信息
3. 安全防护软件信息
4. 历史漏洞信息
(三)漏洞挖掘
1. 漏洞扫描
2. 查找系统和中间件漏洞
3. 挖掘业务逻辑漏洞
(四)报告
1. 描述过程
2. 评估风险
3. 评估影响
4. 提出改进
三、渗透测试审计发现的问题及应对方法
(一)系统中间件漏洞问题
(二)系统弱口令问题
(三)系统代码漏洞问题
(四)业务逻辑漏洞问题
(五)移动App及硬件设备漏洞问题
四、推进信息系统安全审计的建议
(一)扎实编程基础
(二)紧跟技术趋势
(三)注重审计实践
【参考文献】:
期刊论文
[1]渗透测试在网络安全等级保护测评中的应用[J]. 王世轶,吴江,张辉. 计算机应用与软件. 2018(11)
[2]基于渗透测试的漏洞危害实例分析与防范策略[J]. 刘阳. 网络空间安全. 2018(02)
[3]基于Metasploit框架自动化渗透测试研究[J]. 严俊龙. 信息网络安全. 2013(02)
本文编号:3231055
【文章来源】:金融科技时代. 2020,28(06)
【文章页数】:4 页
【文章目录】:
一、信息系统安全审计的4种方式
(一)配置检查(看配置)
(二)渗透测试(挖漏洞)
(三)业务逻辑漏洞挖掘和代码审计(看代码)
(四)日志审计(查日志)
二、信息系统审计中渗透测试的基本流程
(一)前期交互
(二)信息收集
1. 信息系统资产信息
2. 操作系统、中间件和应用版本信息
3. 安全防护软件信息
4. 历史漏洞信息
(三)漏洞挖掘
1. 漏洞扫描
2. 查找系统和中间件漏洞
3. 挖掘业务逻辑漏洞
(四)报告
1. 描述过程
2. 评估风险
3. 评估影响
4. 提出改进
三、渗透测试审计发现的问题及应对方法
(一)系统中间件漏洞问题
(二)系统弱口令问题
(三)系统代码漏洞问题
(四)业务逻辑漏洞问题
(五)移动App及硬件设备漏洞问题
四、推进信息系统安全审计的建议
(一)扎实编程基础
(二)紧跟技术趋势
(三)注重审计实践
【参考文献】:
期刊论文
[1]渗透测试在网络安全等级保护测评中的应用[J]. 王世轶,吴江,张辉. 计算机应用与软件. 2018(11)
[2]基于渗透测试的漏洞危害实例分析与防范策略[J]. 刘阳. 网络空间安全. 2018(02)
[3]基于Metasploit框架自动化渗透测试研究[J]. 严俊龙. 信息网络安全. 2013(02)
本文编号:3231055
本文链接:https://www.wllwen.com/jingjilunwen/sjlw/3231055.html
