2015UICC网络安全测试报告2

2015

通讯卡网络安全测试报告广东楚天龙智能卡有限公司

2015/6/1

1、目的

这份文件的目的是为了在PCI－CP标准里需要做网络内外部渗透测试的需求，而在公司内部在高安全网络里做了渗透测试。这份文件会解释渗透测试的内容，范围，参与人员和渗透测试里的成绩。

2、范围

以PCI－CP逻辑标准里的需求，卡产必须每一年或如网络上有大变更，在高安全网络里做内外部渗透测试。而渗透测试的范围只限制在个人化网络里，以确保在个人化网络里的持卡人信息以保持安全。

3、引用标准

这次的内外部渗透测试是以美国的NSIT-SP800-155的标准和建议，而以下是标准里的引用内容：

计划环节：在计划环节里，公司内部里会任命内部IT成员作为批准的渗透测试成员而CISO会带领渗透测试团队举行内外部渗透测试。IT成员必须了解渗透测试的工具的和具备技术上的知识以确保测试的准确性。

网络发现环节：人员在网络发现环节里，利用网络发现和漏洞扫描器工具（Nmap，NESSUS, Nexpose, etc.)来扫整个网络段，以确保网络的现场状态和网络的服务器和防火墙上的漏洞。所用的漏洞扫描器能进行以下的功能：

Injection Flaws (e.g., SQL Injection)

∙Buffer overflow

∙Insecure cryptographic storage

∙Improper error handling

∙All other discovered network vulnerabilities.

攻击环节：在攻击环节里，人员会以漏洞扫描器所扫出来的漏洞报告，以渗透测试工具（Kali Linux里所自带的Metaspliot Framework工具）来做攻击。攻击是以被动形态而进行，以确保攻击不会损坏服务器或防火墙

报告环节：在报告环节里，人员会以以上所有累计的结果跟成绩做分析。分析是以以下的表作为标准：

以上表解释的是正式攻击发生的可能性和损失对比以确认风险数。风险数的定义是以以下的解释来定义：

∙High（高等）：风险可能会轻易的被渗透而又有直接生意或技术上的损坏。

∙Medium（中等）：风险可能需要低等的技术有能力的人来渗透而可能有生意或技术上的损坏。

∙Low（低等）：风险可能需要中或高的技术有能力的人又可能有少量的生意和技术上的损坏。

4、网络结构

这次渗透测试的网络结构如下：

5、网络发现总结

以下是网络发现的总结：

网段：192.168.2.0

网段：192.168.3.0

网段：192.168.4.0

公网地址：120.86.69.81

6、漏洞详细

以下是漏洞的详细：

外部漏洞扫描（没有发现漏洞，详细可以参考漏洞扫描报告）

内部漏洞扫描（中和高等）（低等的详细可以参考漏洞扫描报告）：

7、渗透测试详细

证据：

以下是攻击确认的例子：

CISO意见：