网络安全-等级保护(等保) 3-3-1 GB/T 36627-2018 附录A (资料性附录) 测评后活动、附录 B (资料性附录)渗透测试的有关概念说明

################################################################################

GB/T 36627-2018 《信息安全技术网络安全等级保护测试评估技术指南》对网络安全等级保护测评中的相关测评技术进行明确的分类和定义,系统地归纳并阐述测评的技术方法,概述技术性安全测试和评估的要素,重点关注具体技术的实现功能、原则等,并提出建议供使用,因此本标准在应用于网络安全等级保护测评时可作为对 GB/T28448和 GB/T28449的补充。
本标准的作用:
本标准适用于测评机构对网络安全等级保护对象(以下简称“等级保护对象”)开展等级测评工作,以及等级保护对象的主管部门及运营使用单位对等级保护对象安全等级保护状况开展安全评估。

前面是我们说明了标准的主要内容：
5 等级测评要求
5.1 检查技术
5.2 识别和分析技术
5.3 漏洞验证技术

下面说明附录内容：
附录 A (资料性附录) 测评后活动
附录 B (资料性附录)渗透测试的有关概念说明

#################################################################################

附录A (资料性附录) 测评后活动

A.1 测评结果分析

测评结果分析的主要目标是确定和排除误报,对漏洞进行分类,并确定产生漏洞的原因,此外,找出在整个测评中需要立即处理的严重漏洞。

以下列举了常见的造成漏洞的根本原因,包括:

- a) 补丁管理不足,
  - 如未能及时应用补丁程序,或未能将补丁程序应用到所有有漏洞的系统中;
- b) 威胁管理不足,
  - 如未及时更新防病毒特征库,无效的垃圾邮件过滤以及不符合系统运营单位安全策略的防火墙策略等;
- c) 缺乏安全基准,
  - 同类的系统使用了不一致的安全配置策略;
- d) 在系统开发中缺乏对安全性的整合,
  - 如系统开发不满足安全要求,甚至未考虑安全要求或系统应用程序代码中存在漏洞;
- e) 安全体系结构存在缺陷,
  - 如安全技术未能有效地集成至系统中(例如,安全防护设施、设备放置位置不合理,覆盖面不足,或采用过时的技术);
- f) 安全事件响应措施不足,
  - 如对渗透测试活动反应迟钝;
- g) 对最终用户
  - (例如,对社会工程学、钓鱼攻击等缺乏防范意识,使用了非授权无线接入点)或对网络、系统管理员(例如,缺乏安全运维)的人员培训不足;
- h) 缺乏安全策略或未执行安全策略,
  - 如开放的端口,启动的服务,不安全的协议,非授权主机以及弱口令等。

A.2 提出改进建议

针对每个测评结果中出现的安全问题,都提出相应的改进建议;
改进建议中宜包括问题根源分析结果。
改进建议通常包括技术性建议(例如,应用特定的补丁程序)和非技术性建议(例如,更新补丁管理制度)。
改进措施的包括:制度修改、流程修改、策略修改、安全体系架构变更、应用新的安全技术以及部署操作系统和应用的补丁程序等。

A.3 报告

在测评结果分析完成之后,宜生成包括系统安全问题、漏洞及其改进建议的报告。
测评结果可用于以下几个方面:
a) 作为实施改正措施的参考;
b) 制定改进措施以修补确认的漏洞;
c) 作为测评对象运营单位为使等级保护对象满足安全要求而采取改进措施的基准;
d) 用以反映等级保护对象安全要求的实现状况;
e) 为改进等级保护对象的安全而进行的成本效益分析;
f) 用来加强其他生命周期活动,如风险评估等;
g) 用来满足网络安全等级保护测评的报告要求。

附录 B (资料性附录)渗透测试的有关概念说明

B.1 综述

渗透测试是一种安全性测试,在该类测试中,测试人员将模拟攻击者,利用攻击者常用的工具和技术对应用程序、信息系统或者网络的安全功能发动真实的攻击。
相对于单一的漏洞,大多数渗透测试试图寻找一组安全漏洞,从而获得更多能够进入系统的机会。
渗透测试也可用于确定:
- a) 系统对现实世界的攻击模式的容忍度如何;
- b) 攻击者需要成功破坏系统所面对的大体复杂程度;
- c) 可减少系统威胁的其他对策;
- d) 防御者能够检测攻击并且做出正确反应的能力。
渗透测试是一种非常重要的安全测试,测试人员需要丰富的专业知识和技能。
尽管有经验的测试人员可降低这种风险,但不能完全避免风险,因此渗透测试宜经过深思熟虑和认真规划。
渗透测试通常包括非技术攻击方法。
- 例如,一个渗透测试人员可以通过破坏物理安全控制机制的手段连接到网络,以窃取设备、捕获敏感信息(可能是通过安装键盘记录设备)或者破坏网络通信。
- 在执行物理安全渗透测试时宜谨慎行事,明确如何验证测试人员入侵活动的有效性,如通过接入点或者文档。
- 另一种非技术攻击手段是通过社会工程学,如伪装成客服坐席人员打电话询问用户的密码,或者伪装成用户打电话给客服坐席人员要求重置密码。
- 更多关于物理安全测试、社会工程学技术以及其他非技术手段的渗透攻击测试,不在本标准的讨论范围。

B.2 渗透测试阶段

B.2.1 概述

渗透测试通常包括规划、发现、攻击、报告四个阶段,如图 B.1所示。

B.2.2 规划阶段

在规划阶段,确定规则,管理层审批定稿,记录在案,并设定测试目标。
规划阶段为一个成功的渗透测试奠定基础,在该阶段不发生实际的测试。

B.2.3 发现阶段

渗透测试的发现阶段包括两个部分:
第一部分是实际测试的开始,包括信息收集和扫描。
- 除端口及服务标识外,还有以下技术也被用于收集网络信息目标:
- 网络端口和服务标识用于进行潜在目标的确定。
  - a) 通过 DNS、InterNIC(WHOIS)查询和网络监听等多种方法获取主机名和IP地址信息;
  - b) 通过搜索系统 Web服务器或目录服务器来获得系统内部用户姓名、联系方式等;
  - c) 通过诸如 NetBIOS枚举方法和网络信息系统获取系统名称、共享目录等系统信息;
  - d) 通过标识提取得到应用程序和服务的相关信息,如版本号。
第二部分是脆弱性分析,其中包括将被扫描主机开放的服务、应用程序、操作系统和漏洞数据库进行比对。
测试人员可以使用他们自己的数据库,或者 CNVD等公共数据库来手动找出漏洞。

B.2.4 攻击阶段

执行攻击是渗透测试的核心。
攻击阶段是一个通过对原先确定的漏洞进一步探查,进而核实潜在漏洞的过程。
如果攻击成功,说明漏洞得到验证,确定相应的保障措施就能够减轻相关的安全风险。
在大多数情况下,执行探查并不能让攻击者获得潜在的最大入口,反而会使测试人员了解更多目标网络和其潜在漏洞的内容,或诱发对目标网络的安全状态的改变。
- 一些漏洞可能会使测试人员能够提升对于系统或网络的权限,从而获得更多的资源;
- 若发生上述情况,则需要额外的分析和测试来确定网络安全情况和实际的风险级别。
  - 比如说,识别可从系统上被搜集、改变或删除的信息的类型。
倘若利用一个特定漏洞的攻击被证明行不通,测试人员可尝试利用另一个已发现的漏洞。
如果测试人员能够利用漏洞,可在目标系统或网络中安装部署更多的工具,以方便测试。
- 这些工具用于访问网络上的其他系统或资源,并获得有关网络或组织的信息。
在进行渗透测试的过程中,需要对多个系统实施测试和分析,以确定攻击者可能获得的访问级别。
虽然漏洞扫描器仅对可能存在的漏洞进行检查,但渗透测试的攻击阶段会利用这些漏洞来确认其存在性。

B.2.5 报告阶段

- 渗透测试的报告阶段与其他三个阶段同时进行(见图 B.1)。
- 在规划阶段,将编写测试计划;
- 在发现和攻击阶段,通常是保存测试记录并定期向系统管理员和/或管理部门报告。
- 在测试结束后,报告通常是用来描述被发现的漏洞、目前的风险等级,并就如何弥补发现的薄弱环节提供建议和指导。

B.3 渗透测试方案

渗透测试方案宜侧重于在应用程序、系统或网络中的设计和实现中,定位和挖掘出可利用的漏洞缺陷。
渗透测试重现最可能的和最具破坏性的攻击模式,包括最坏的情况,诸如管理员的恶意行为。
由于渗透测试场景可以设计以模拟内部攻击、外部攻击,或两者兼而有之,因此外部和内部安全测试方法均要考虑到。
- 如果内部和外部测试都要执行,则通常优先执行外部测试。
- 外部攻击是模拟从组织外部发起的攻击行为,可能来自于对组织内部信息一无所知的攻击者。
  - 模拟一个外部攻击,测试人员不知道任何关于目标环境以外的信息,特别是IP地址或地址范围情况的真实信息。
  - 测试人员可通过公共网页、新闻页面以及类似的网站收集目标信息,进行综合分析;
  - 使用端口扫描器和漏洞扫描器,以识别目标主机。
  - 由于测试人员的流量往往需要穿越防火墙,因此通过扫描获取的信息量远远少于内部角度测试所获得的信息。
  - 从外部控制该组织网络上的主机后,测试人员可尝试将其作为跳板机,并使用此访问权限去危及那些通常不能从外部网络访问的其他主机。
  - 模拟外部攻击的渗透测试是一个迭代的过程,利用最小的访问权限取得更大的访问。
- 内部攻击是模拟组织内部违规操作者的行为。
  - 除了测试人员位于内部网络(即防火墙后面),
  - 并已授予对网络或特定系统一定程度的访问权限(通常是作为一个用户,但有时层次更高)之外,内部渗透测试与外部测试类似。
  - 测试人员可以通过权限提升获得更大程度的网络及系统的访问权限。
渗透测试对确定一个信息系统的脆弱性以及如果网络受到破坏所可能发生的损害程度非常重要。
由于渗透测试使用真正的资源并对生产系统和数据进行攻击,可能对网络和系统引入额外的风险,因此测试人员宜制订测试方案,明确测试策略,限制可能使用的特定工具或技术,在可能造成危害之前停止测试。
- 测试人员宜重视渗透测试过程及结果的交流,帮助系统管理员和/或管理部门及时了解测试进度以及攻击者可能利用的攻击方法和攻击途径。

B.4 渗透测试风险

在渗透测试过程中,测试人员通常会利用攻击者常用的工具和技术来对被测系统和数据发动真实的攻击,必然会对被测系统带来安全风险,在极端情况或应用系统存在某些特定安全漏洞时可能会产生如下安全风险:
- a) 在使用 Web漏洞扫描工具进行漏洞扫描时,可能会对 Web服务器及 Web应用程序带来一定的负载,占用一定的资源,在极端情况下可能会造成 Web服务器宕机或服务停止;
- b) 如 Web应用程序某功能模块提供对数据库、文件写操作的功能(包括执行Insert、Delete、Update等命令),且未对该功能模块实施数据有效性校验、验证码机制、访问控制等措施,则在进行 Web漏洞扫描时有可能会对数据库、文件产生误操作,如在数据库中插入垃圾数据、删除记录/文件、修改数据/文件等;
- c) 在进行特定漏洞验证时,可能会根据该漏洞的特性对主机或 Web应用程序造成宕机、服务停止等风险;
- d) 在对 Web应用程序/操作系统/数据库等进行口令暴力破解时,可能触发其设置的安全机制,导致 Web应用程序/操作系统/数据库的账号被锁定,暂时无法使用;
- e) 在进行主机远程漏洞扫描及进行主机/数据库溢出类攻击测试,极端情况下可能导致被测试服务器操作系统/数据库出现死机或重启现象。

B.5 渗透测试风险规避

针对渗透测试过程中可能出现的测试风险,测评人员宜向用户详细介绍渗透测试方案中的内容,并对测试过程中可能出现的风险进行提示,并与用户就如下内容进行协商,做好渗透测试的风险管控:
- a) 测试时间:
  - 为减轻渗透测试造成的压力和预备风险排除时间,宜尽可能选择访问量不大、业务不繁忙的时间窗口,测试前可在应用系统上发布相应的公告;
- b) 测试策略:
  - 为了防范测试导致业务的中断,测试人员宜在进行带有渗透、破坏、不可控性质的高风险测试前(如主机/数据库溢出类验证测试、DDoS等),与应用系统管理人员进行充分沟通,在应用系统管理人员确认后方可进行测试;
  - 宜优先考虑对与生产系统相同配置的非生产系统进行测试,在非业务运营时间进行测试或在业务运营时间使用非限制技术,以尽量减少对生产系统业务的影响;
  - 对于非常重要的生产系统,不建议进行拒绝服务等风险不可控的测试,以避免意外崩溃而造成不可挽回的损失;
- c) 备份策略:
  - 为防范渗透过程中的异常问题,建议在测试前管理员对系统进行备份(包括网页文件、数据库等),以便在出现误操作时能及时恢复;如果条件允许,也可以采取对目标副本进行渗透的方式加以实施;
- d) 应急策略:
  - 测试过程中,如果被测系统出现无响应、中断或者崩溃等异常情况,测试人员宜立即中止渗透测试,并配合用户进行修复处理;
  - 在确认问题并恢复系统后,经用户同意方可继续进行其余的测试;
- e) 沟通机制:
  - 在测试前,宜确定测试人员和用户配合人员的联系方式,用户方宜在测试期间安排专人职守,与测试人员保持沟通,如发生异常情况,可及时响应;
  - 测试人员宜在测试结束后要求用户检查系统是否正常,以确保系统的正常运行。

##################################################################################

等保专题内容到这里就全部结束了，后面会稍稍总结一下。

愿各位在进步中安心。

2025.06.02禾木

可联系作者付费获取，定价69.9。包括如下内容：

1. 信息安全技术全套标准指南

———GB/T 22239-2019 《信息安全技术网络安全等级保护基础要求》
———GB/T25058 信息安全技术信息系统安全等级保护实施指南;
———GB/T22240 信息安全技术信息系统安全等级保护定级指南;
———GB/T25070 信息安全技术网络安全等级保护安全设计技术要求;
———GB/T28448 信息安全技术网络安全等级保护测评要求;
———GB/T28449 信息安全技术网络安全等级保护测评过程指南。

2. 等保2.0标准执行之高风险判定

3. GBT 22239-2019 《信息安全技术网络安全等级保护基础要求》一到四级对比表格（按照十大方面整理，每方面包含四级要求并标记高风险项）

4. GBT 22239-2019 +GBT 25070—2019 《信息安全技术网络安全等级保护基础要求》+《信息安全技术网络安全等级保护安全设计技术要求》一到四级对比表格（在基础要求中添加安全设计技术要求，安全设计技术要求主要用于开发人员和产品经理）

5. GBT 36958—2018 《信息安全技术网络安全等级保护安全管理中心技术要求》一到四级对比表格（说明安全管理中心技术要求：系统管理要求、安全管理要求、审计管理要求、接口要求、自身安全要求）

6. GBT 22239-2019+GBT 28448-2019 《信息安全技术网络安全等级保护基础要求》+《信息安全技术网络安全等级保护测评要求》一到四级对比表格（在基础要求中添加等保测评要求，可用于实施过程）

7. 等保项目预调研情况汇报表（博主整理word，用于项目前期调研和高风险项判定，分为2级和3级两个文档，并根据项目经验整理和标准整理前期项目调研内容）

部分材料下载链接：

1、等保二级高风险项核对表下载链接：

https://download.csdn.net/download/qq_42591962/90878930?spm=1001.2014.3001.5503

https://files.cnblogs.com/files/hemukg/%E7%AD%89%E4%BF%9D2%E7%BA%A7%E9%AB%98%E9%A3%8E%E9%99%A9%E9%A1%B9%E6%A0%B8%E5%AF%B9%E8%A1%A8.zip?t=1747979835&download=true

2、GBT 36958-2018 《信息安全技术网络安全等级保护安全管理中心技术要求》1~4级拆分表下载链接：

https://download.csdn.net/download/qq_42591962/90879022?spm=1001.2014.3001.5503

https://files.cnblogs.com/files/hemukg/%E5%AE%89%E5%85%A8%E7%AE%A1%E7%90%86%E4%B8%AD%E5%BF%83%E6%8A%80%E6%9C%AF%E8%A6%81%E6%B1%821~4%E7%BA%A7%E8%A6%81%E6%B1%82%E6%8B%86%E5%88%86%E8%A1%A8.zip?t=1747625995&download=true

##################################################################################