Redian新闻
>
信息安全测试案例库上线了

信息安全测试案例库上线了

科技

导读:信息安全测试案例库是山东新潮信息Tide安全团队结合在等级保护和渗透测试方面的经验积累,对等级保护2.0中的测评项和渗透测试项进行细致梳理,整理web安全检测和App安全检测中的160多个渗透测试项和230多个真实测试案例,为信息系统运营、使用单位和测评机构提供测试参考。


声明:本测试案例库是由山东新潮Tide安全团队根据规范和经验整理而来,并非安全测试的规范或标准,仅供大家测试参考之用


网络安全等级保护制度是国家的基本国策、基本制度和基本方法,是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段。随着等级保护2.0的推出,如何在等级保护测评中全面、准确地发现存在的安全风险,成为信息系统运营、使用单位和测评机构的迫切需求。

而渗透测试作为等级保护测评的一种验证机制和补充,在等级保护工作中起了非常重要的作用。渗透测试作为进一步对系统进行深层评估的手段,有助于增加等级测评结论的全面性和准确性,有利于用户依据发现的问题进行针对性的整改和加固,进而使业务系统达到相应级别的安全保护能力。

但网络安全等级保护测评过程中的渗透测试与传统的渗透测试有一定的区别。等保测评中的渗透测试是以风险为导向,针对测评范围内的资产使用攻击人员的技术和手段进行验证性的测试工作。而传统的渗透测试是以黑客视角进行模拟攻击,尝试发现系统存在的安全漏洞并进行利用。在实际项目中,渗透测试往往是伴随着等级保护测评现场测评阶段开展的,以对等级保护测评的测评结果进行补充。

但由于《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》和《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》中对测评单元和测评项并没有做明确的要求,导致大家在对部分测评项进行检查时,只能根据各机构的理解或个人的经验来进行测试。比如在对“身份鉴别”项进行检查时, 一般都会检测弱口令、账号枚举、密码破解等内容,但双因子认证、用户注册覆盖、失败登录限制等内容可能就忽略了。而且由于等级保护测评项目周期有些较紧张,如果没有规范的测评项要求只是依靠人员经验和责任心,那么测试的覆盖面和精细度都会大打折扣。

为此,山东新潮信息Tide安全团队结合在等级保护和渗透测试方面的经验积累,对等级保护2.0中的测评项和渗透测试项进行了细致梳理,针对身份鉴别、访问控制、安全审计、可信验证、入侵防范、恶意代码防范、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等11个安全控制点共整理160多个渗透测试项,并针对渗透测试项编写详细测试案例230多个,为信息系统运营、使用单位和测评机构提供测试参考。

安全测试案例库访问地址:http://case.tidesec.com



覆盖160多个测试项和220多个实战测试案例。

每个漏洞项都包含具体的漏洞描述、等保对应控制点和要求项、漏洞成因、风险分析、加固建议、测试方法、测试工具、测试点、测试步骤。


每个漏洞项都包含了大量的真实测试案例,供测试人员进行参考学习。



参考依据: 

《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》 

《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》 

《GB/T 36627-2018 网络安全等级保护测试评估技术指南》 

《网络安全等级保护测评高风险判定指引》 

《GB/T 33561-2017 信息安全技术 安全漏洞分类》 

《GB/T 30279-2013 信息安全技术 安全漏洞等级划分指南》

《GB/T 30276-2013 信息安全技术 信息安全漏洞管理规范》

《GB/T 28458-2012信息安全技术 安全漏洞标识与描述规范》 

《开放式Web应用程序安全项目(OWASP)测试指南》

《安全测试方法学开源手册(OSSTMM)》 

《NIST SP 800-42网络安全测试指南》 

《web应用安全威胁分类标准(WASC-TC)》 

《PTES渗透测试执行标准》


至此,我们的对外服务平台又多了一个,而且12月份还会有新平台上线~!

Tide安全团队官网 https://www.tidesec.com

统一登录认证平台 http://sso.tidesec.com

                                                               

E

N

D


知识星球产品及服务

团队内部平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......


星球分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享


星球知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......


星球网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......

扫码加入一起学习吧~


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
麦当劳食物热量全测评,全都吃一遍我国开展 2022 年网络交易突发事件应急实战演练,阿里、京东、拼多多等参加【信息安全三分钟】2022.10.14在美国250.丢、增衣物,太叫真了韩国多个网络平台瘫痪,尹锡悦道歉并要求相关部门查明事故原因【信息安全三分钟】2022.10.17中国网络安全企业100强 (第十版)发布【信息安全三分钟】2022.11.15拜登再次强调关键基础设施安全,要“锁紧数字大门”【信息安全三分钟】2022.10.13《汽车数据处理安全要求》等14项网络安全国家标准获批发布【信息安全三分钟】2022.10.2031名嫌疑人因使用无钥匙入侵技术盗取汽车,在欧洲被捕【信息安全三分钟】2022.10.19欧盟网络安全局发布《2022年网络安全威胁全景》报告【信息安全三分钟】2022.11.12党代表通道|周雷:坚守量子科技创新一线,为信息安全贡献力量台湾全岛个人信息被放在网上兜售,经调查至少20万条真实【信息安全三分钟】2022.10.31乌克兰反攻俄军重要时刻,星链卫星网频繁中断【信息安全三分钟】2022.10.09卡塔尔世界杯官方应用被指是间谍软件【信息安全三分钟】2022.10.24潮密密码应用安全检测平台上线了黑客组织Polonium使用恶意软件针对以色列发起攻击【信息安全三分钟】2022.10.15最高法个人信息指导性案例:涉及人脸信息、身份证信息、社交媒体账号、手机验证码等刑法保护的公民个人信息想起少年讀小説最高检:2019年以来检察机关办理个人信息保护领域公益诉讼案件8361件【信息安全三分钟】2022.11.11纽约网红咖啡%Arabica最全测评,专治选择困难症。《2023 年电力安全监管重点任务》发布,网络安全再次被强调【信息安全三分钟】2023.02.04韩国:一场锂电池着火引发的“互联网大瘫痪”【信息安全三分钟】2022.10.212023年1月1日施行!《网络产品安全漏洞收集平台备案管理办法》发布【信息安全三分钟】2022.10.29多元视角解读马斯克 | 解锁商论全球案例库担心安全信息泄露,俄拟禁止ICT从业者在国外远程办公【信息安全三分钟】2023.01.04iPhone备忘录被曝莫名清空 苹果客服称可帮恢复【信息安全三分钟】2022.10.11360安全卫士极速版“诱导式”推广:静默安装且对抗安全软件【信息安全三分钟】2022.10.23工信安全中心发布《中国数据要素市场发展报告 (2021-2022)》【信息安全三分钟】2022.11.26伊朗原子能组织遭黑客攻击,大量敏感数据泄露【信息安全三分钟】2022.10.25生肖游戏【广发策略】信息安全篇:信创产业链国产化进阶—“国家安全”系列(二)小赌怡情 20大七常委资深预测新鲜出炉强制收集用户画像信息并发送营销短信,App被判侵权道歉【信息安全三分钟】2022.12.31Telegram创始人称WhatsApp是被植入了后门的“监视工具”【信息安全三分钟】2022.10.10美国档案--黄佐庭吴炳新宦祥生,资料贴,冗长枯燥麒麟信安:“一云多芯”让国产系统更好用,“三位一体”为信息安全保驾护航
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。