欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

　　滲透測試與PCI DSS的關(guān)系

　　PCI（Payment Card Industry）中文全稱(chēng)為：支付卡產(chǎn)業(yè)。在這個(gè)產(chǎn)業(yè)里存在一個(gè)標準組織，稱(chēng)為--支付卡行業(yè)安全標準委員會(huì )，英文簡(jiǎn)寫(xiě)為PCI SSC（Payment Card Industry Security Standards Council）。PCI安全標準委員會(huì )是由國際知名的五家支付品牌共同建立而成，他們是美國運通（American Express）、美國發(fā)現金融服務(wù)公司（Discover Financial Services）、JCB、全球萬(wàn)事達卡組織（MasterCard）及Visa國際組織。PCI SSC一共維護了三個(gè)安全標準：PCI DSS（Payment Card Industry Data Security Standard 支付卡行業(yè)數據安全標準）、PCI PA-DSS（Payment Card Industry Payments Application Data Security Standard支付卡行業(yè)支付應用數據安全標準）以及PTS（PIN Transaction Security PIN傳輸安全標準）。從下圖可以很清楚的反應這三個(gè)標準之間的關(guān)系。

　　無(wú)論是PTS還是PCI PA DSS，其最根本的目的是為了使最終的客戶(hù)能夠滿(mǎn)足PCI DSS的要求。（關(guān)于PTS和PA DSS更多的介紹可參見(jiàn)PCI官方網(wǎng)站www.pcisecuritystandards.org和atsec官方網(wǎng)站www.atsec-information-security.cn）。

　　在PCI DSS第 11.3中有這樣的要求“ Perform external and internal penetration testing at least once a year and after any significant infrastructure or application upgrade or modification (such as an operating system upgrade, a sub-network added to the environment, or a web server added to the environment). These penetration tests must include the following： Network-layer penetration tests and Application-layer penetration tests”其轉譯中文意思是：至少每年或者在基礎架構或應用程序有任何重大升級或修改后（例如操作系統升級、環(huán)境中添加子網(wǎng)絡(luò )或環(huán)境中添加網(wǎng)絡(luò )服務(wù)器）都需要執行內部和外部基于應用層和網(wǎng)絡(luò )層的滲透測試。

　　什么是滲透測試

　　滲透測試是通過(guò)模擬來(lái)自惡意的黑客或者駭客攻擊，以評估計算機系統或者網(wǎng)絡(luò )環(huán)境安全性的活動(dòng)。從滲透測試的定義我們能夠清楚的了解到滲透測試它是一項模擬的活動(dòng)，主要的目的是進(jìn)行安全性的評估，而不是摧毀或者破壞目標系統。

　　從下圖我們可以看到，滲透測試與網(wǎng)絡(luò )掃描，脆弱性?huà)呙?，安全掃描和安全審計其?shí)并不相同。滲透測試是介于安全掃描和安全審計之間，它并不是純粹的掃描工作，但是它執行的深度又沒(méi)有安全審計那么深入。滲透測試是從攻擊者的角度，試圖通過(guò)各種技術(shù)手段或者社交手段去發(fā)現和挖掘系統的漏洞，最終達到獲取系統最高權限的目的。無(wú)論是從測試的覆蓋面和測試的深度來(lái)看，滲透測試都要比網(wǎng)絡(luò )掃描，脆弱性?huà)呙韬桶踩珤呙韪鼮樯钊搿?/p>

　　滲透測試的目的

　　對于滲透測試而言，除了滿(mǎn)足某些特定標準（如PCI DSS）的要求之外，滲透測試還會(huì )有如下的好處：

• 識別和發(fā)現機構可能被攻擊的薄弱環(huán)節
• 通過(guò)外部獨立的第三方評估機構的安全評估提高客戶(hù)自身的安全級別和降低安全風(fēng)險
• 提高人員對于信息安全的意識

　　滲透測試的方法論和業(yè)界參考實(shí)踐

　　對于任何測試而言，都會(huì )相應的測試方法或者規則。在滲透測試領(lǐng)域，業(yè)界的滲透測試方法論或者最佳實(shí)踐可以作為一個(gè)很好的參考，但是測試人員在測試過(guò)程當中更多的是依靠自身的能力和經(jīng)驗去完成測試工作，因為在測試過(guò)程當中可能會(huì )遇到各種各樣的問(wèn)題。下面是行業(yè)中被廣泛接受的測試方法或者滲透測試的最佳實(shí)踐：

　　OWASP（Open Web Application Security Project）Testing Guide——關(guān)注在web應用安全測試的測試指導。該測試指導涵蓋了web應用程序大部分功能點(diǎn)的安全性測試，測試指導同時(shí)會(huì )給出一些測試的實(shí)例進(jìn)行簡(jiǎn)單的說(shuō)明。

　　OSSTMM（Open Source Security Testing Methodology Manual） -- 開(kāi)放源代碼安全測試方法手冊。OSSTMM是一個(gè)關(guān)注在安全測試和評價(jià)的方法論。OSSTMM的測試用例分為五個(gè)方面：信息和數據控制；人員安全意識水平；欺詐和社會(huì )工程學(xué)控制水平；計算機和電信網(wǎng)絡(luò )，無(wú)線(xiàn)設備，移動(dòng)設備以及物理安全訪(fǎng)問(wèn)控制；安全流程，如建筑物，周邊環(huán)境，以及軍事基地的物理位置等安全流程。

　　Special Publication 800-115 Technical Guide to Information Security Testing and Assessment – 美國NIST發(fā)布的針對信息安全測試和評估的技術(shù)指導

　　ISSAF（Information Systems Security Assessment Framework）-- 關(guān)注在信息系統安全評估的框架

　　Penetration Testing Framework -- 滲透測試的框架，該測試框架是滲透測試實(shí)踐的操作總結，它非常詳細的描述了滲透測試過(guò)程當中每一步應該做什么，怎么去做。該份測試的框架對于滲透測試的實(shí)際操作有著(zhù)非常好的參考價(jià)值。

　　滲透測試的流程

　　對于滲透測試，其流程大體包括：測試協(xié)議和方法確定，免責條款簽署，信息收集，脆弱性分析，對脆弱性進(jìn)行滲透和利用，權限提升，最終評估和報告編寫(xiě)以及客戶(hù)根據滲透測試發(fā)現問(wèn)題的整改和追蹤等環(huán)節。以下是對于上述各個(gè)環(huán)節的簡(jiǎn)要介紹：

• 滲透測試與惡意黑客的攻擊最大的區別就是：惡意黑客為了獲得想要的信息可以不計后果對目標系統進(jìn)行攻擊測試，而滲透測試人員的所執行的測試活動(dòng)是需要在特定的測試協(xié)議下執行的。因此在正式執行滲透測試之前，明確測試協(xié)議與測試方法是最重要的工作，測試協(xié)議與測試方法是后續測試人員開(kāi)展滲透測試的參照標準。對于滲透測試協(xié)議和方法的確定，下述圖示展示了atsec結合了前文所提及的方法論和業(yè)界參考實(shí)踐的經(jīng)驗總結。

• 在滲透測試中，根據客戶(hù)提供信息的多少，我們可以人為的將滲透測試分為黑盒測試和白盒測試。所謂的黑盒測試是客戶(hù)盡可能少的給測試人員提供測試目標的信息，測試人員在不了解目標系統的情況下展開(kāi)測試。白盒測試是測試人員在完全了解系統的設計和架構或者網(wǎng)絡(luò )配置的情況下對目標進(jìn)行滲透，以確保所有安全問(wèn)題都被發(fā)現了。
• 從測試人員測試活動(dòng)的攻擊性的角度評價(jià)，可以將滲透測試劃分成四種情況：

　　被動(dòng)的測試活動(dòng)，在此種情況下測試人員不會(huì )主動(dòng)向目標系統發(fā)送攻擊指令，測試人員通常會(huì )執行信息捕獲的工作。

　　謹慎的測試活動(dòng)，在此種情況下測試人員通常會(huì )對目標系統執行嗅探工作并根據嗅探獲得的漏洞進(jìn)行分析和評估。

　　審議的測試活動(dòng)，在此種情況下測試人員通常會(huì )將發(fā)現的漏洞信息與客戶(hù)進(jìn)行討論，以明確哪些漏洞在測試過(guò)程當中需要執行實(shí)際的漏洞驗證和利用。

　　具有侵略性的測試活動(dòng)，在此種情況下測試人員通常會(huì )根據所發(fā)現的漏洞信息進(jìn)行逐個(gè)驗證，此時(shí)測試人員考慮更多的是如何最大限度獲得目標系統的系統權限或者獲得目標系統上存儲的信息。

• 從測試范圍的選擇，客戶(hù)可以指定整體網(wǎng)絡(luò )環(huán)境的系統組件，或者是部分的網(wǎng)絡(luò )環(huán)境的系統組件，又或者是對于特定的目標系統進(jìn)行測試。
• 對于測試人員在測試過(guò)程當中的活動(dòng)，客戶(hù)可以要求測試人員隱秘的執行滲透測試活動(dòng)，又或者明確測試人員并不需要隱藏測試活動(dòng)可以公開(kāi)執行滲透測試工作。
• 在滲透測試活動(dòng)中，客戶(hù)可以要求測試人員對如下方面執行滲透測試工作：對互聯(lián)網(wǎng)絡(luò )執行滲透（如互聯(lián)網(wǎng)上的web服務(wù)器，數據庫服務(wù)器，網(wǎng)絡(luò )設備等等）；對通訊執行滲透測試（如PSTN網(wǎng)絡(luò )，電信網(wǎng)絡(luò )，3G網(wǎng)絡(luò )等方面）；對物理安全執行滲透測試（如目標系統的物理防護，電磁輻射等方面）；執行社會(huì )工程學(xué)測試（主要是為了測試員工的安全意識）。
• 在測試方法設定的時(shí)候，客戶(hù)還可以要求測試人員以外網(wǎng)或者內網(wǎng)作為滲透測試活動(dòng)的出發(fā)點(diǎn)。
• 在確定測試協(xié)議和方法之后，測試人員通常會(huì )要求客戶(hù)出具一份滲透測試的免責聲明，該聲明中會(huì )明確聲明測試人員不需要為測試過(guò)程中產(chǎn)生的任何風(fēng)險承擔法律責任。這份免責聲明，對于滲透測試人員而言是很好的法律保護，因為任何的測試活動(dòng)都不可能百分之百安全，在某些測試過(guò)程（如對漏洞進(jìn)行滲透和利用）當中難免會(huì )存在一些安全風(fēng)險，如果沒(méi)有此份聲明測試人員迫于法律的限制不可能完成后續的測試工作。
• 當完成上述兩個(gè)準備階段的工作之后，測試人員通常會(huì )進(jìn)入非常重要和關(guān)鍵的一個(gè)環(huán)節----信息收集。在信息收集過(guò)程當中包括但不限于以下信息：IP地址信息，關(guān)聯(lián)域名信息，域名聯(lián)系人信息，DNS服務(wù)器信息，郵件服務(wù)器信息，IP地址段路由信息，和目標系統相關(guān)的人員信息收集，目標系統漏洞信息，或者通過(guò)社會(huì )工程學(xué)從相關(guān)人員口中套取有用的信息等等。信息收集是一門(mén)比較高深的學(xué)科，如果信息收集得很好，很多時(shí)候都不需要使用技術(shù)手段對系統漏洞進(jìn)行滲透利用都能獲得系統的權限。
• 對于滲透測試而言，雖然它是一項通過(guò)模擬黑客或者駭客的攻擊以評估系統或者網(wǎng)絡(luò )環(huán)境安全性的活動(dòng)，但是滲透測試比真實(shí)生活當中的攻擊行為有著(zhù)更多的限制。滲透測試并不以摧毀或者破壞系統的可用性為目的。在滲透測試過(guò)程當中，我們需要最大限度的保證客戶(hù)業(yè)務(wù)的正常運轉（當然客戶(hù)的特殊要求除外），在這個(gè)前提下 盡最大可能發(fā)現和挖掘目標系統的脆弱性并進(jìn)行利用。因此，在進(jìn)行真正滲透之前，我們通常需要對發(fā)現的脆弱性進(jìn)行分析，分析和評估該脆弱性可能會(huì )對目標系統造成的影響，并制定相應的應急預案。對于脆弱性的分析通常會(huì )借助外部的脆弱性?huà)呙韫ぞ呷鏝essus，QualysGuard ，WebInspect或者是Nikto2等等進(jìn)行脆弱性的發(fā)現和識別，測試人員會(huì )根據所發(fā)現脆弱性的類(lèi)型，CVE（Common Vulnerabilities and Exposures）依據CVSS（Common Vulnerability Scoring System）對于脆弱性的評分，客戶(hù)被測目標系統所處的實(shí)際環(huán)境等因素進(jìn)行綜合考慮以進(jìn)一步對脆弱性進(jìn)行分析。在PCI DSS第11.2中要求客戶(hù)需要每個(gè)季度或者在基礎架構或應用程序有任何重大升級或修改后（例如操作系統升級、環(huán)境中添加子網(wǎng)絡(luò )或環(huán)境中添加網(wǎng)絡(luò )服務(wù)器）都需要執行內部和外部脆弱性?huà)呙?。外?脆弱性?huà)呙枋切枰蒔CI SSC授權的掃描服務(wù)提供商執行，業(yè)界的術(shù)語(yǔ)叫做ASV（Approved Scanning Vendors）。目前PCI DSS對于外部脆弱性?huà)呙杌顒?dòng)不僅僅要求需要由ASV開(kāi)展，對于實(shí)際執行脆弱性?huà)呙璧娜藛T也需要經(jīng)由PCI SSC進(jìn)行培訓，考核并獲得相應資質(zhì)證書(shū)之后才能出具具有資格的掃描報告。在滲透測試脆弱性分析的階段，測試人員可以參考客戶(hù)提供最近的ASV掃描報告作為脆弱性分析的輸入數據。
• 在完成對脆弱性分析之后，測試人員會(huì )根據與客戶(hù)之間的滲透測試方法和協(xié)議進(jìn)一步對脆弱性進(jìn)行滲透或者利用。在測試過(guò)程當中，滲透測試人員可能在初次攻擊完成之后獲得了有限的權限，此時(shí)滲透測試方法和協(xié)議則是測試人員最好的參考。如果客戶(hù)允許執行進(jìn)一步的權限提升操作，測試人員則可能會(huì )嘗試將以獲得的權限提升至管理員級別或者系統級別的權限。
• 在完成對脆弱性的滲透和利用之后，測試人員會(huì )對滲透的結果進(jìn)行評估和判斷，以確定脆弱性的可利用價(jià)值，同時(shí)滲透測試的過(guò)程以及測試過(guò)程中發(fā)現信息將會(huì )被編寫(xiě)到最終的滲透測試報告當中。對于在滲透測試過(guò)程當中，由于特定的原因（如客戶(hù)的要求，漏洞利用條件的限制等等）導致脆弱性并沒(méi)有被實(shí)際測試，測試人員將會(huì )在報告當中描述惡意人員可能對該脆弱性使用的攻擊方法以及該脆弱性被成功利用后可能帶來(lái)的安全風(fēng)險。
• 客戶(hù)根據滲透測試報告中所發(fā)現的脆弱性以及測試人員提供的解決方法進(jìn)行脆弱性修復。對于完整的滲透測試流程通常還會(huì )包含對修復后的脆弱性進(jìn)行驗證測試，從第三方的角度去評估脆弱性修復的有效性。

　　基于應用層和網(wǎng)絡(luò )層的滲透測試

　　對于PCI DSS第 11.3中有要求至少每年或者在基礎架構或應用程序有任何重大升級或修改后需要執行內部和外部基于應用層和網(wǎng)絡(luò )層的滲透測試。何為應用層滲透測試？何為網(wǎng)絡(luò )層滲透測試呢？應用層滲透測試指的是對web應用程序進(jìn)行滲透測試，測試要求覆蓋OWASP Top 10（OWASP項目組會(huì )周期性的根據OWASP聯(lián)盟中應用開(kāi)發(fā)和測試專(zhuān)家反饋的結果定期對web應用面臨的安全問(wèn)題進(jìn)行統計和排名，Top 10是web應用程序前10名影響最大的脆弱性）中的所有安全問(wèn)題。對于網(wǎng)絡(luò )層的滲透測試，通常是指對操作系統，網(wǎng)絡(luò )設備等系統組件進(jìn)行系統級別的滲透測試。

　　下圖是2007年和2010年OWASP Top 10的排名對比。從圖中可以看到Top 10的內容在這兩年的評估當中出現了變化。所以在滲透測試過(guò)程當中我們除了參照PCI DSS的要求之外，還需要參照OWASP最新的關(guān)于Top 10的排名情況。

　　怎樣選擇合適的滲透測試合作機構

　　前面介紹了很多關(guān)于滲透測試介紹，以及測試流程和方法，然而我們在實(shí)際執行滲透測試工作的時(shí)候，應該如何選擇合適的滲透測試實(shí)驗室或者滲透測試人員進(jìn)行測試工作呢？對于滲透測試人員的選擇，PCI DSS在第11.3的要求：測試人員可以是內部具有能力且獨立的內部人員或者外部合格的第三方評測機構。對于內部人員的選擇，技術(shù)能力的考慮和測試人員的獨立性是最為重要的因素。對于第三方的評測機構的選擇，除了技術(shù)水平的考慮，以下的參考因素能夠為客戶(hù)在滲透測試過(guò)程當中可能會(huì )面臨的安全風(fēng)險提供很好的安全保障。

• 專(zhuān)一性，IT安全是否是該公司的主營(yíng)的業(yè)務(wù)？
• 該公司自身是否切實(shí)執行IT安全流程？
• 評估機構和他們員工是否具有相關(guān)的資質(zhì)？
• 該評估機構是否為行業(yè)的領(lǐng)導者，幫助或者能夠分享相關(guān)的標準信息？
• 該機構是否具有相關(guān)的成功項目經(jīng)驗？
• 該評估機構是否能夠提供除滲透測試以外其他能夠提高客戶(hù)流程等有價(jià)值的服務(wù)？
• 該評估機構是否能夠在很多不同的技術(shù)領(lǐng)域提供專(zhuān)業(yè)知識和經(jīng)驗？
• 評估機構安全評測的獨立性，是否能夠為客戶(hù)提供第三方獨立的不帶任何偏見(jiàn)的評估報告？
• 該評估機構是否為客戶(hù)提供足夠的保險和合理的法律協(xié)議保障？
• 誰(shuí)是該評估機構的服務(wù)客戶(hù)？

　　參考文檔和鏈接

　　[1] PCI DSS  https://www.pcisecuritystandards.org/security_standards/index.php
　　[2] OWASP Testing Guide  https://www.owasp.org/index.php/OWASP_Testing_Project
　　[3] OSSTMM - ISECOM - Making Sense of Security  www.isecom.org/osstmm/
　　[4] Special Publication 800-115 Technical Guide to Information Security Testing and Assessment  http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf
　　[5] ISSAF（Information Systems Security Assessment Framework）www.oissg.org/issaf
　　[6] Penetration Testing Framework  www.vulnerabilityassessment.co.uk/Penetration%20Test.html
　　[7] OWASP Top 10 OWASP_Top_10_-_2010 Presentation.pptx http://owasptop10.googlecode.com/files/OWASP_Top_10_-_2010%20Presentation.pptx
　　[8] Nessus  www.tenable.com/products/nessus
　　[9] QualysGuard   www.qualys.com/products
　　[10] WebInspect  https://www.fortify.com/products/web_inspect.html
　　[11]  Nikto2  http://cirt.net/nikto2
　　[12] CVE  http://cve.mitre.org/
　　[13] CVSS  http://www.first.org/cvss/