1、商業銀行滲透測試解決方案一、滲透測試背景銀行是網絡信息技術應用最密集、應用水平最高的行業之一，基于計算機網絡的各類銀行信息系統已經成為銀行產品的開發推廣、銀行業務的展開、銀行日常管理和決策的所依賴的關鍵組成部分。這種依賴性使得銀行面臨著由于網絡信息系統本身所帶來的銀行信息技術風險。銀行信息技術風險的主要挑戰來自于基礎網絡信息技術的復雜性和變化，其中面對互聯網主要有以下幾個方面風險：基于網絡的電子銀行，需要有完善的安全體系架構；面向Internet的銀行業務面臨著各種各樣的互聯網威脅；遠程移動用戶接入和內部用戶接入Internet，都可能引入不同類型的威脅源；釣魚網站對于銀行網上業務和企業信譽的

2、損害。伴隨銀行業務的發展，原有的網上銀行、門戶網站等都進行了不同程度的功能更新和系統投產，同時，行內系統安全要求越來越高，可能受到的惡意攻擊包括：信息篡改與重放、信息銷毀、信息欺詐與抵賴、非授權訪問、網絡間諜、“黑客”入侵、病毒傳播、特洛伊木馬、蠕蟲程序、邏輯炸彈等。這些攻擊完全能造成信息系統癱瘓、重要信息流失。二、滲透測試的目標本項目通過滲透測試的方式，模擬黑客的攻擊思路與技術手段，達到以下目標：從攻擊者角度，發現網銀系統、信用卡網站、門戶網站和中間業務等應用系統及網關入口設備存在的安全隱患；檢測對外提供服務的業務系統（如網銀系統、信用卡網站、門戶網站等）以及行內重要業務系統的威脅防御能力。

3、深度挖掘滲透測試范圍內應用系統各個層面（應用層、網絡層、系統層）的安全漏洞；檢驗當前安全控制措施的有效性，針對發現的安全風險及時進行整改，增強系統自身防御能力，提升安全保障體系的整體健壯性。三、滲透測試原則與風險控制原則遵循規范滲透測試通過可控的安全測試技術對限定范圍內的應用系統進行滲透測試，同時結合以下業界著名的測試框架組合成最佳實踐進行操作：ISECOM制定的開源安全測試方法OSSTMM-v2.2開放Web應用安全項目OWASP-v3風險控制滲透測試過程最大的風險在于測試過程中對業務產生影響，為此我們在實施滲透測試中采取以下措施來減小風險：雙方確認進行每一階段的滲透測試前，必須獲得客戶方的

4、書面同意和授權。對于任何滲透測試的對象的變更和測試條件的變更也都必須獲得雙方的同意并達成一致意見，方可執行。工具選擇為防止造成真正的攻擊，在滲透性測試項目中，啟明星辰會嚴格選擇測試工具，杜絕因工具選擇不當造成的將病毒和木馬植入的情況發生。時間選擇為減輕滲透性測試對用戶網絡和系統的影響，安排在不影響正常業務運作的時間段進行，具體時間主要限制雙方協調和商定的時間范圍內。范圍控制啟明星辰承諾不會對授權范圍之外的網絡設備、主機和系統進行漏洞檢測、攻擊測試，嚴格按照滲透測試范圍內限定的應用系統進行測試。策略選擇為防止滲透性測試造成用戶網絡和系統的服務中斷，啟明星辰在滲透性測試中不使用含有拒絕服務的測試策

5、略，不使用未經許可的方式進行滲透測試。操作過程審計為保證測試過程可審計，啟明星辰將在測試過程中開啟測試工具的審計日志功能，階段性測試目標測試結束后，會將審計日志提交用戶，以便用戶監控測試過程。項目溝通啟明星辰建議：在項目實施過程中，除了確定不同階段的測試人員以外，還要確定各階段的客戶方配合人員，建立雙方直接溝通的渠道；項目實施過程中需要客戶方人員同時在場配合工作，并保持及時、充分、合理的溝通。系統備份和恢復措施為避免實際滲透測試過程中可能會發生不可預知的風險，因此在滲透測試前相關管理人員應對系統或關鍵數據進行備份、確保相關的日志審計功能正常開啟，一旦在出現問題時，可以及時的恢復運轉。四、滲透測試工作內容與方法滲透測試方法滲透測試完全模擬黑客的入侵思路與技術手段，黑客的攻擊入侵需要利用目標網絡的安全弱點，滲透測試也是同樣的道理。以人工滲透為主，以攻擊工具的使用為輔助，這樣保證了整個滲透測試過程都在可以控制和調整的范圍之內。滲透測試流程滲透測試流程嚴格依照下圖執行，采用可控制的、非破壞性質的滲透測試，并在執行過程中把握好每一個步驟的信息輸入/輸出，控制好風險，確保對光大銀行網絡不造成破壞性的損害，保證滲透測試前