信息系統(tǒng)滲透測試服務(wù)方案

1、信息系統(tǒng)滲透測試服務(wù)方案 通過模擬黑客對目標(biāo)系統(tǒng)進(jìn)行滲透測試， 發(fā)現(xiàn)分析并驗證其存在的主 機(jī)安全漏洞、敏感信息泄露、SQL注入漏洞、跨站腳本漏洞及弱口令 等安全隱患，評估系統(tǒng)抗攻擊能力，提出安全加固建議。 信息系統(tǒng)滲透測試類型：第一類型：互聯(lián)網(wǎng)滲透測試，是通過互聯(lián)網(wǎng)發(fā)起遠(yuǎn)程攻擊，比其他 類型的滲透測試更能說明漏洞的嚴(yán)重性；第二類型：合作伙伴網(wǎng)絡(luò)滲透測試，通過接入第三方網(wǎng)絡(luò)發(fā)起遠(yuǎn)程 攻擊；第三類型：內(nèi)網(wǎng)滲透測試，通過接入內(nèi)部網(wǎng)絡(luò)發(fā)起內(nèi)部攻擊。信息系統(tǒng)滲透測試步驟：基礎(chǔ)信息收集、主機(jī)安全分析、敏感信息分析、應(yīng)用安全分析、弱 口令分析主要檢測內(nèi)容：跨站腳本漏洞、主機(jī)遠(yuǎn)程安全、殘留信息、SQL注入漏洞

2、、系統(tǒng)信息泄露、弱口令等信息系統(tǒng)滲透測試過程：分為委托受理、準(zhǔn)備、實施、綜合評估、結(jié)題五個階段，參見下圖。委托受理階段：售前與委托單位就滲透測試項目進(jìn)行前期溝通，簽 署保密協(xié)議，接收被測單位提交的資料。前期溝通結(jié)束后，雙方 簽署，雙方簽署信息系統(tǒng)滲透測試合同 。準(zhǔn)備階段：項目經(jīng)理組織人員依據(jù)客戶提供的文檔資料和調(diào)查數(shù)據(jù)，編寫制定信息系統(tǒng)滲透測試方案。項目經(jīng)理與客戶溝通測試方案， 確定滲透測試的具體日 期、客戶方配合的人員。項目經(jīng)理協(xié)助被測 單位填寫信息系統(tǒng)滲透測試用戶授權(quán)單，并通知客戶做好測試前 的準(zhǔn)備工作。如果項目需從被測單位的辦公局域網(wǎng)內(nèi)進(jìn)行，測試全過程需有客戶方配合人員在場陪同。實施階段

3、：項目經(jīng)理明確項目組測試人員承擔(dān)的測試項。測試完成 后，項目組整理滲透測試數(shù)據(jù)，形成信息系統(tǒng)滲透測試報告 。 綜合評估階段：項目組和客戶溝通測試結(jié)果，向客戶發(fā)送信息系統(tǒng) 滲透測試報告。必要時，可根據(jù)客戶需要召開報告評審會，對信 息系統(tǒng)滲透測試報告進(jìn)行 評審。如被測單位希望復(fù)測，由被測單 位在整改完畢后提交信息系統(tǒng)整改報告， 項目組依據(jù)信息系統(tǒng)滲透 測試整改報告開展復(fù)測工作。復(fù)測結(jié)束后，項目組依據(jù)復(fù)測結(jié)果,出具信息系統(tǒng)滲透測試復(fù)測報告。結(jié)題階段：項目組將測評過程中生成的各類文檔、過程記錄進(jìn)行整 理，并交檔案管理員歸檔保存。中心質(zhì)量專員請客戶填寫客戶滿意 度調(diào)查表，收集客戶反饋意見。1）測評流程:匸要流程涉及文檔(托 齊I 3盼工整署保密協(xié)議一 V丄二保密協(xié)儀系統(tǒng)淒透測試今同_韻統(tǒng)書尬測認(rèn)方充 ）V蜀邊衣刖刖空孑u（編制系統(tǒng)滲透剛試方寶） c 方巔威認(rèn) J（系址込和情況驗證 ）現(xiàn)場港透廁試逑押港透測試（索貌運(yùn)廳情況驗證迅錄）/_ _ _ _ _ _"