滲透測試的定義
滲透測試是一種安全性測試,在該類測試中,測試人員將模擬攻擊者,利用攻擊者常用的工具和技術對應用程序、信息系統或者網絡的安全功能發動真實的攻擊。相對于單一的漏洞,大多數滲透測試試圖尋找一組安全漏洞,從而獲得更多能夠進入系統的機會。
第三方檢測機構滲透測試的作用:
1、判斷系統對現實世界的攻擊模式的容忍度如何。
2、攻擊者需要成功破壞系統所面對的大體復雜程度;
3、可減少系統威脅的其他對策;
4、防御者能夠檢測攻擊并且做出正確反應的能力。
2026年有哪些的政策硬性要求系統必須做滲透測試?
《中華人民共和國網絡安全法》,第二十一條明確要求“及時處置系統漏洞”等安全風險。這是所有合規要求的根本大法,確立了發現和修補漏洞是網絡運營者的基本義務。
2、《網絡產品安全漏洞管理規定》,第八條明確規定,網絡運營者發現或獲知其系統存在漏洞后,應當立即采取措施,及時對安全漏洞進行驗證并完成修補。
3、《關鍵信息基礎設施安全保護條例》,第十七條要求,運營者應當自行或委托網絡安全服務機構對關鍵信息基礎設施(如能源、交通、金融等領域)每年進行一次網絡安全檢測和風險評估。并且明確規定,對其進行漏洞探測、滲透測試等活動,必須事先獲得批準或授權。
4、《網絡安全等級保護制度 (等保2.0)》,等保測評中,漏洞掃描和滲透測試是“工具測試”環節的核心內容。在高級別系統(如等保三級)的測評要求中,滲透測試是必須進行的檢查項目。
5、海南省的《三醫真實世界數據使用管理暫行辦法》就要求,相關數據存儲系統需通過定期滲透測試和漏洞掃描來確保防護有效性。
進行滲透測試時,可考慮以下評估要素和評估原則:
1、 通過滲透測試評估確認以下漏洞的存在:
(1)系統/服務類漏洞。
(2)應用代碼類漏洞。
(3)權限旁路類漏洞。
(4)配置不當類漏洞。
(5)信息泄露類漏洞。
(6)業務邏輯缺陷類漏洞。
2、 充分考慮等級保護對象面臨的安全風險,選擇并模擬內部攻擊或外部(從互聯網、第三方機構等外部網絡)攻擊。
3、詳細的滲透測試方案內容包括滲透測試對象、滲透測試風險及規避措施等內容。
廣東騰創具有CNAS、CMA/CCRC、信息安全風險評估等資質證書,可提供信息安全綜合保障服務檢測。內容包含:漏洞掃描(應用、系統、設備、數據庫等)、源代碼安全評估、滲透測試、信息安全風險評估、基線核查、信息安全應急演練、信息安全應急響應、系統上線安全評估、信息安全培訓、互聯網暴露面檢測、內網資產梳理機風險排查、信息安全巡檢、信息安全迎檢等。還能提供電力信息系統代碼檢測,安全檢測(滲透測試、漏洞測試)。
在線客服1
400-004-1069