文档检查的主要功能是基于等级保护对象运营单位提供的文档，评价其策略和规程的技术准确

GB/T 366272018

日志检查的主要功能是验证安全控制措施是否记录了： 测评对象的信息系统、设备设施的使用、配置 和修改的历史记录等适当信息，等级保护对象的运营使用单位是否坚持了日志管理策略，并且能够发现 替在的问题和违反安全策略的情况。进行日志检查时，可考虑以下评估要素： 认证服务器或系统日志，包括成功或失败的认证尝试； b）操作系统日志，包括系统和服务的启动、关闭，未授权软件的安装，文件访问，安全策略变更，账 户变更（例如账户创建和删除、账户权限分配）以及权限使用等信息； c) IDS/IPS日志，包括恶意行为和不恰当使用； d) 防火墙、交换机和路由器日志，包括影响内部设备的出站连接（如僵户程序、木马、间课软件 等），以及未授权连接的尝试和不恰当使用； e) 应用日志，包括未授权的连接尝试、账号变更、权限使用，以及应用程序或数据库的使用信 息等； f) 防病毒日志，包括病毒查杀、感染日志，以及升级失败、软件过期等其他事件； g) 其他安全日志，如补丁管理等，应记录已知漏洞的服务和应用等信息； h) 网络运行状态、网络安全事件相关日志，留存时间不少于6个月，

规则集检查的主要功能是发现基于规则集的安全控制措施的漏洞，检查对象包括网络设备、安全设 备、数据库、操作系统及应用系统的访问控制列表、策略集，三级及以上等级保护对象还应包括强制访问 控制机制。进行规则集检查时，可考虑以下评估要素和评估原则： a） 路由访问控制列表： 1）每一条规则都应是有效的（例如，因临时需求而设定的规则，在不需要的时候应立刻移除）； 2） 应只允许策略授权的流量通过，其他所有的流量默认禁止 b）访问控制设备策略集： 1）应采用默认禁止策略； 2） 应实施最小权限访问，例如限定可信的IP地址或端口； 3） 特定规则应在一般规则之前被触发： 4） 仅开放必要的端口，以增强周边安全； 5） 防止流量绕过测评对象的安全防御措施。 C) 强制访问控制机制： 1）强制访问控制策略应具有一致性TZZB标准规范范本，系统中各个安全子集应具有一致的主、客体安全标记和

相同的访问规则； 2） 以文件形式存储和操作的用户数据，在操作系统的支持下，应实现文件级粒度的强制访问 控制； 3） 以数据库形式存储和操作的用户数据，在数据库管理系统的支持下，应实现表/记录、字段 级粒度的强制访问控制； 4）检查强制访问控制的范围，应限定在已定义的主体与客体中

配置检查的主要功能是通过检查测评对象的安全策略设置和安全配置文件，评价测评对象安全策 咯配置的强度，以及验证测评对象安全策略配置与测评对象安全加固策略的符合程度。进行配置检查 寸，可考虑以下评估要素： a)1 依据安全策略进行加固或配置； b) 仅开放必要的服务和应用； c) 用户账号的唯一性标识和口令复杂度设置； d) 开启必要的审计策略，设置备份策略； e) 合理设置文件访问权限； f) 三级及以上等级保护对象中敏感信息资源主、客体的安全标记： 1）由系统安全员创建主体（如用户）、客体（如数据）的安全标记； 2）实施相同强制访问控制安全策略的主、客体，应标以相同的安全标记； 3）检查标记的范围，应扩展到测评对象中的所有主体与客体

5.1.5文件完整性检查

文件完整性检查的主要功能是识别系统文件等重要文件的未授权变更。 。进行文件完整性检查时， 可考虑以下评估要素： a）采用哈希或数字签名等手段，保证重要文件的完整性； b）采用基准样本与重要文件进行比对的方式，实现重要文件的完整性校验； c）采用部署基于主机的IDS设备，实现对重要文件完整性破坏的告警

密码检查的主要功能是对测评对象中采用的密码技术或产品进行安全性检查。进行密码检查时， 可考虑以下评估原则： a）所提供的密码算法相关功能符合国家密码主管部门的有关规定； b）所使用的密钥长度符合等级保护对象行业主管部门的有关规定

网络膜探的主要功能是通过捕提和重放网络流量，收集、识别网络中活动的设备、操作系统和协议， 未授权和不恰当的行为等信息。进行网络喉探时，可考虑以下评估要素和评估原则： 监控网络流量，记录活动主机的IP地址，并报告网络中发现的操作系统信息： b） 识别主机之间的联系，包括哪些主机相互通信，其通信的频率和所产生的流量的协议类型； 通过自动化工具向常用的端口发送多种类型的网络数据包（如ICMPpings），分析网络主机的 响应，并与操作系统和网络服务的数据包的已知特征相比较，识别主机所运行的操作系统、端

GB/T 366272018

口及端口的状态。 在网络边界处部署网络嗅探器，用以评估进出网络的流量； e) 在防火墙后端部著网络膜探器，用以评估准确过滤流量的规则集； f) 在IDS/IPS后端部署网络嗅探器，用以确定特征码是否被触发并得到适当的响应； g 在重要操作系统和应用程序前端部署网络嗅探器，用以评估用户活动； h) 在具体网段上部署网络嗅探器，用以验证加密协议的有效性

5.2.2网络端口和服务识别

5.2.2网络端口和服务

网络端口和服务识别的主要功能是识别活动设备上开放的端口、相关服务与应用程序。进行网络 端口和服务识别时，可考虑以下评估要素和评估原则： a）对主机及存在潜在漏洞的端口进行识别，并用于确定渗透性测试的目标； b） 在从网络边界外执行扫描时，应使用含分离、复制、重叠、乱序和定时技术的工具，并利用工具 改变数据包，让数据包融入正常流量中，使数据包避开IDS/IPS检测的同时穿越防火墙； 应尽量减少扫描工具对网络运行的干扰，如选择端口扫描的时间

漏洞扫描的主要功能是针对主机和开放端口识别已知漏洞、提供建议降低漏洞风险；同时，有助于 只别过时的软件版本、缺失的补丁和错误配置，并验证其与机构安全策略的一致性。进行漏洞扫描时 可考虑以下评估要素和评估原则： a)T 识别漏洞相关信息，包含漏洞名称、类型、漏洞描述、风险等级、修复建议等内容； b) 通过工具识别结合人工分析的方式，对发现的漏洞进行关联分析，从而准确判断漏洞的风险 等级； c) 漏洞扫描前，扫描设备应更新升级至最新的漏洞库，以确保能识别最新的漏洞； 依据漏洞扫描工具的漏洞分析原理（如特征库匹配、攻击探测等），谨慎选择扫描策略，防止引 起测评对象故障； 使用漏洞扫描设备时应对扫描线程数、流量进行限制，以降低测评对测评对象产生的风险

无线扫描的主要功能是识别被测环境中没有物理连接（如网络电缆或外围电缆）情况下使一个或多 个设备实现通信的方式，帮助机构评估、分析无线技术对扫描对象所带来的安全风险。进行无线扫描 时，可考虑以下评估要素和评估原则： 识别无线流量中无线设备的关键属性，包括SSID、设备类型、频道、MAC地址、信号强度及传 送包的数目： b） 无线扫描设备部署位置的环境要素包括：被扫描设备的位置和范围、使用无线技术进行数据传 输的测评对象的安全保护等级和数据重要性，以及扫描环境中无线设备连接和断开的频紧程 度以及流量规模； c) 使用安装配置无线分析软件的移动设备，如笔记本电脑、手持设备或专业设备； d) 基于无线安全配置要求，对无线扫描工具进行扫描策略配置，以实现差距分析； e) 适当配置扫描工具的扫描间隔时间，既能捕获数据包，又能有效地扫描每个频段： f) 可通过导入平面图或地图，以协助定位被发现设备的物理位置； g） 对捕获的数据包进行分析，从而识别扫描范围内发现的潜在的恶意设备和未授权的网络连接 模式； h）实施蓝牙扫描时，应覆盖测评对象中部署的支持蓝牙的所有基础设施（如蓝牙接入点）

渗透测试的主要功能是通过模拟恶意黑客的攻击方法，攻击等级保护对象的应用程序、系统或者网 安全功能，从而验证测评对象弱点、技术缺陷或漏洞的一种评估方法。进行渗透测试时，可考虑以 估要素和评估原则： a）通过渗透测试评估确认以下漏洞的存在： 1）系统/服务类漏洞。由于操作系统、数据库、中间件等为应用系统提供服务或支撑的环境 存在缺陷，所导致的安全漏洞，如缓冲区溢出漏洞、堆/栈溢出、内存泄露等，可能造成程序 运行失败、系统岩机、重新启动等后果，更为严重的，可以导致程序执行非授权指令，甚至 取得系统特权，进而进行各种非法操作 2） 应用代码类漏洞。由于开发人员编写代码不规范或缺少必要的校验措施，导致应用系统 存在安全漏洞，包括SQL注入、跨站脚本、任意上传文件等漏洞；攻击者可利用这些漏洞， 对应用系统发起攻击，从而获得数据库中的敏感信息，更为严重的，可以导致服务器被 控制。 3） 权限旁路类漏洞。由于对数据访问、功能模块访问控制规则不严或存在缺失，导致攻击者 可非授权访问这些数据及功能模块。权限旁路类漏洞通常可分为越权访问及平行权限， 越权访问是指低权限用户非授权访问高权限用户的功能模块或数据信息；平行权限是指 攻击者利用自身权限的功能模块，非授权访问或操作他人的数据信息。 4） 配置不当类漏洞。由于未对配置文件进行安全加固，仅使用默认配置或配置不合理，所导 致的安全风险。如中间件配置支持put方法，可能导致攻击者利用put方法上传木马文 件，从而获得服务器控制权。 5） 信息泄露类漏洞。由于系统未对重要数据及信息进行必要的保护，导致攻击者可从泄露 的内容中获得有用的信息，从而为进一步攻击提供线索。如源代码泄露、默认错误信息中 含有服务器信息/SQL语句等均属于信息泄露类漏洞。 6) 业务逻辑缺陷类漏洞。由于程序逻辑不严或逻辑太复杂，导致一些逻辑分支不能够正常 处理或处理错误。如果出现这种情况，则用户可以根据业务功能的不同进行任意密码修 改、越权访问、非正常金额交易等攻击。 b）充分考虑等级保护对象面临的安全风险，选择并模拟内部（等级保护对象所在的内部网络）攻 击或外部（从互联网、第三方机构等外部网络）攻击。 C) 评估者应制定详细的渗透测试方案，内容包括渗透测试对象、渗透测试风险及规避措施等内容 （相关内容参见附录B)

5.3.3远程访问测试

GB/T 366272018

远程访问测试的主要功能是评估远程访问方法中的漏洞，发现未授权的接人方式。进行远程访问 测试时，可考虑以下评估要素和评估原则： a) 发现除VPN、SSH、远程桌面应用之外是否存在其他的非授权的接人方式， b) 发现未授权的远程访问服务。通过端口扫描定位经常用于进行远程访问的公开的端口，通过 查看运行的进程和安装的应用来手工检测远程访问服务。 c) 检测规则集来查找非法的远程访问路径。评估者应检测远程访问规则集，如VPN网关的规 则集，查看其是否存在漏洞或错误的配置，从而导致非授权的访问。 d 测试远程访问认证机制。可尝试默认的账户和密码或暴力攻击（使用社会工程学的方法重设 密码来进行访问），或尝试通过密码找回功能机制来重设密码从而获得访问权限。 e) 监视远程访问通信。可以通过网络膜探器监视远程访问通信。如果通信未被保护，则可利用 这些数据作为远程访问的认证信息，或者将这些数据作为远程访问用户发送或接收的数据

针对每个测评结果中出现的安全问题，都提出相应的改进建议；改进建议中宜包括问题根源分析结 果。改进建议通常包括技术性建议（例如，应用特定的补丁程序）和非技术性建议（例如，更新补丁管理 度）。改进措施的包括：制度修改、流程修改、策略修改、安全体系架构变更、应用新的安全技术以及部 署操作系统和应用的补丁程序等

在测评结果分析完成之后，宜生成包括系统安全问题、漏洞及其改进建议的报告。测评结义 以下几个方面： 作为实施改正措施的参考； b) 制定改进措施以修补确认的漏洞； c) 作为测评对象运营单位为使等级保护对象满足安全要求而采取改进措施的基准； d) 用以反映等级保护对象安全要求的实现状况； e) 为改进等级保护对象的安全而进行的成本效益分析； f) 用来加强其他生命周期活动，如风险评估等； g）用来满足网络安全等级保护测评的报告要求

GB/T 366272018

包括规划、发现、攻击、报告四个阶段，如图B.1所

图B.1渗透测试的四个阶段

在规划阶段，确定规则，管理层审批定稿，记录在案，并设定测试目标。规划阶段为一个成功的渗 试奠定基础数据标准，在该阶段不发生实际的测试

执行攻击是渗透测试的核心。攻击阶段是一个通过对原先确定的漏洞进一步探查，进而核实潜在 葡洞的过程。如果攻击成功，说明漏洞得到验证，确定相应的保障措施就能够减轻相关的安全风险。在 大多数情况下，执行探查并不能让攻击者获得潜在的最大入口，反而会使测试人员了解更多目标网络和 其潜在漏洞的内容，或诱发对目标网络的安全状态的改变。一些漏洞可能会使测试人员能够提升对于 系统或网络的权限，从而获得更多的资源；若发生上述情况，则需要额外的分析和测试来确定网络安全 青况和实际的风险级别。比如说，识别可从系统上被搜集、改变或删除的信息的类型。倘若利用一个特 定漏洞的攻击被证明行不通，测试人员可尝试利用另一个已发现的漏洞。如果测试人员能够利用漏洞， 可在目标系统或网络中安装部署更多的工具，以方便测试。这些工具用于访问网络上的其他系统或资 原，并获得有关网络或组织的信息。在进行渗透测试的过程中，需要对多个系统实施测试和分析，以确 攻击者可能获得的访问级别。虽然漏洞扫描器仅对可能存在的漏洞进行检查，但渗透测试的攻击阶 段会利用这些漏洞来确认其存在性

渗透测试的报告阶段与其他三个阶段同时进行（见图B.1）。在规划阶段，将编写测试计划；在发现 和攻击阶段，通常是保存测试记录并定期向系统管理员和/或管理部门报告。在测试结束后，报告通常 是用来描述被发现的漏洞、目前的风险等级，并就如何弥补发现的薄弱环节提供建议和指导。

渗透测试方案宜侧重于在应用程序、系统或网络中的设计和实现中，定位和挖掘出可利用的漏洞缺 陷。渗透测试重现最可能的和最具破坏性的攻击模式，包括最坏的情况，诸如管理员的恶意行为。由于 参透测试场景可以设计以模拟内部攻击、外部攻击，或两者兼而有之，因此外部和内部安全测试方法均 要考虑到。如果内部和外部测试都要执行，则通常优先执行外部测试。 外部攻击是模拟从组织外部发起的攻击行为，可能来自于对组织内部信息一无所知的攻击者。模 以一个外部攻击，测试人员不知道任何关于目标环境以外的信息，特别是IP地址或地址范围情况的真 实信息。测试人员可通过公共网页、新闻页面以及类似的网站收集目标信息，进行综合分析；使用端口 日描器和漏洞扫描器，以识别目标主机。由于测试人员的流量往往需要穿越防火墙，因此通过扫描获取 的信息量远远少于内部角度测试所获得的信息。从外部控制该组织网络上的主机后，测试人员可尝试 将其作为跳板机，并使用此访问权限去危及那些通常不能从外部网络访问的其他主机。模拟外部攻击 的渗透测试是一个迭代的过程，利用最小的访问权限取得更大的访问

GB/T 366272018

内部攻击是模拟组织内部违规操作者的行为。除了测试人员位于内部网络（即防火墙后面），并已 受予对网络或特定系统一定程度的访问权限（通常是作为一个用户，但有时层次更高)之外，内部渗透测 试与外部测试类似。测试人员可以通过权限提升获得更大程度的网络及系统的访问权限。 渗透测试对确定一个信息系统的脆弱性以及如果网络受到破坏环所可能发生的损害程度非常重要。 由于渗透测试使用真正的资源并对生产系统和数据进行攻击，可能对网络和系统引人额外的风险，因此 则试人员宜制订测试方案，明确测试策略，限制可能使用的特定工具或技术，在可能造成危害之前停止 则试。测试人员宜重视渗透测试过程及结果的交流，帮助系统管理员和/或管理部门及时了解测试进度 以及攻击者可能利用的攻击方法和攻击途径

B.5渗透测试风险规避

针对渗透测试过程中可能出现的测试风险，测评人员宜向用户详细介绍渗透测试方案中的内容，并 对测试过程中可能出现的风险进行提示，并与用户就如下内容进行协商，做好渗透测试的风险管控： 测试时间：为减轻渗透测试造成的压力和预备风险排除时间，宜尽可能选择访问量不大、业务 不繁忙的时间窗口，测试前可在应用系统上发布相应的公告； b) 测试策略：为了防范测试导致业务的中断，测试人员宜在进行带有渗透、破坏、不可控性质的高 风险测试前（如主机/数据库溢出类验证测试、DDoS等），与应用系统管理人员进行充分沟通， 在应用系统管理人员确认后方可进行测试；宜优先考虑对与生产系统相同配置的非生产系统 进行测试，在非业务运营时间进行测试或在业务运营时间使用非限制技术，以尽量减少对生产 系统业务的影响；对于非常重要的生产系统，不建议进行拒绝服务等风险不可控的测试，以避 免意外崩溃而造成不可挽回的损失； c 备份策略：为防范渗透过程中的异常问题，建议在测试前管理员对系统进行备份（包括网页文 件、数据库等），以便在出现误操作时能及时恢复；如果条件充许，也可以采取对目标副本进行 渗透的方式加以实施； d) 应急策略：测试过程中，如果被测系统出现无响应、中断或者崩溃等异常情况，测试人员宜立即

灌溉水质标准GB/T 366272018