安全测试案例库是山东新潮信息Tide安全团队结合在等级保护和渗透测试方面的经验积累,对等级保护2.0中的测评项和渗透测试项进行细致梳理,整理100多个渗透测试项和150多个真实测试案例,为信息系统运营、使用单位和测评机构提供测试参考。
网络安全等级保护制度是国家的基本国策、基本制度和基本方法,是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段。随着等级保护2.0的推出,如何在等级保护测评中全面、准确地发现存在的安全风险,成为信息系统运营、使用单位和测评机构的迫切需求。
而渗透测试作为等级保护测评的一种验证机制和补充,在等级保护工作中起了非常重要的作用。渗透测试作为进一步对系统进行深层评估的手段,有助于增加等级测评结论的全面性和准确性,有利于用户依据发现的问题进行针对性的整改和加固,进而使业务系统达到相应级别的安全保护能力。
为此,我们对等级保护2.0中的测评项和渗透测试项进行了细致梳理,针对身份鉴别、访问控制、安全审计、可信验证、入侵防范、恶意代码防范、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等11个安全控制点共整理100多个渗透测试项,并针对渗透测试项编写详细测试案例150多个,为信息系统运营、使用单位和测评机构提供测试参考。
参考依据:
《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》
《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》
《GB/T 36627-2018 网络安全等级保护测试评估技术指南》
《网络安全等级保护测评高风险判定指引》
《GB/T 33561-2017 信息安全技术 安全漏洞分类》
《GB/T 30279-2013 信息安全技术 安全漏洞等级划分指南》
《GB/T 30276-2013 信息安全技术 信息安全漏洞管理规范》
《GB/T 28458-2012信息安全技术 安全漏洞标识与描述规范》
《开放式Web应用程序安全项目(OWASP)测试指南》
《安全测试方法学开源手册(OSSTMM)》
《NIST SP 800-42网络安全测试指南》
《web应用安全威胁分类标准(WASC-TC)》
《PTES渗透测试执行标准》