信息安全测试案例库上线了
导读:信息安全测试案例库是山东新潮信息Tide安全团队结合在等级保护和渗透测试方面的经验积累,对等级保护2.0中的测评项和渗透测试项进行细致梳理,整理web安全检测和App安全检测中的160多个渗透测试项和230多个真实测试案例,为信息系统运营、使用单位和测评机构提供测试参考。
声明:本测试案例库是由山东新潮Tide安全团队根据规范和经验整理而来,并非安全测试的规范或标准,仅供大家测试参考之用。
网络安全等级保护制度是国家的基本国策、基本制度和基本方法,是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段。随着等级保护2.0的推出,如何在等级保护测评中全面、准确地发现存在的安全风险,成为信息系统运营、使用单位和测评机构的迫切需求。
而渗透测试作为等级保护测评的一种验证机制和补充,在等级保护工作中起了非常重要的作用。渗透测试作为进一步对系统进行深层评估的手段,有助于增加等级测评结论的全面性和准确性,有利于用户依据发现的问题进行针对性的整改和加固,进而使业务系统达到相应级别的安全保护能力。
但网络安全等级保护测评过程中的渗透测试与传统的渗透测试有一定的区别。等保测评中的渗透测试是以风险为导向,针对测评范围内的资产使用攻击人员的技术和手段进行验证性的测试工作。而传统的渗透测试是以黑客视角进行模拟攻击,尝试发现系统存在的安全漏洞并进行利用。在实际项目中,渗透测试往往是伴随着等级保护测评现场测评阶段开展的,以对等级保护测评的测评结果进行补充。
但由于《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》和《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》中对测评单元和测评项并没有做明确的要求,导致大家在对部分测评项进行检查时,只能根据各机构的理解或个人的经验来进行测试。比如在对“身份鉴别”项进行检查时, 一般都会检测弱口令、账号枚举、密码破解等内容,但双因子认证、用户注册覆盖、失败登录限制等内容可能就忽略了。而且由于等级保护测评项目周期有些较紧张,如果没有规范的测评项要求只是依靠人员经验和责任心,那么测试的覆盖面和精细度都会大打折扣。
为此,山东新潮信息Tide安全团队结合在等级保护和渗透测试方面的经验积累,对等级保护2.0中的测评项和渗透测试项进行了细致梳理,针对身份鉴别、访问控制、安全审计、可信验证、入侵防范、恶意代码防范、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等11个安全控制点共整理160多个渗透测试项,并针对渗透测试项编写详细测试案例230多个,为信息系统运营、使用单位和测评机构提供测试参考。
安全测试案例库访问地址:http://case.tidesec.com
覆盖160多个测试项和220多个实战测试案例。
每个漏洞项都包含了大量的真实测试案例,供测试人员进行参考学习。
参考依据:
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》
《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》
《GB/T 36627-2018 网络安全等级保护测试评估技术指南》
《网络安全等级保护测评高风险判定指引》
《GB/T 33561-2017 信息安全技术 安全漏洞分类》
《GB/T 30279-2013 信息安全技术 安全漏洞等级划分指南》
《GB/T 30276-2013 信息安全技术 信息安全漏洞管理规范》
《GB/T 28458-2012信息安全技术 安全漏洞标识与描述规范》
《开放式Web应用程序安全项目(OWASP)测试指南》
《安全测试方法学开源手册(OSSTMM)》
《NIST SP 800-42网络安全测试指南》
《web应用安全威胁分类标准(WASC-TC)》
《PTES渗透测试执行标准》
至此,我们的对外服务平台又多了一个,而且12月份还会有新平台上线~!
统一登录认证平台 http://sso.tidesec.com
E
N
D
微信扫码关注该文公众号作者