信息系統(tǒng)滲透測試服務(wù)方案

1、信息系統(tǒng)滲透測試服務(wù)方案 通過模擬黑客對目標(biāo)系統(tǒng)進(jìn)行滲透測試，發(fā)現(xiàn)分析并驗(yàn)證其存在的主機(jī)安全漏洞、敏感信息泄露、SQL注入漏洞、跨站腳本漏洞及弱口令等安全隱患，評估系統(tǒng)抗攻擊能力，提出安全加固建議。信息系統(tǒng)滲透測試類型： 第一類型：互聯(lián)網(wǎng)滲透測試，是通過互聯(lián)網(wǎng)發(fā)起遠(yuǎn)程攻擊，比其他類型的滲透測試更能說明漏洞的嚴(yán)重性； 第二類型：合作伙伴網(wǎng)絡(luò)滲透測試，通過接入第三方網(wǎng)絡(luò)發(fā)起遠(yuǎn)程攻擊； 第三類型：內(nèi)網(wǎng)滲透測試，通過接入內(nèi)部網(wǎng)絡(luò)發(fā)起內(nèi)部攻擊。 信息系統(tǒng)滲透測試步驟： 基礎(chǔ)信息收集、主機(jī)安全分析、敏感信息分析、應(yīng)用安全分析、弱口令分析 主要檢測內(nèi)容： 跨站腳本漏洞、主機(jī)遠(yuǎn)程安全、殘留信息、SQL注入漏洞

2、、系統(tǒng)信息泄露、弱口令等 信息系統(tǒng)滲透測試過程： 分為委托受理、準(zhǔn)備、實(shí)施、綜合評估、結(jié)題五個階段，參見下圖。 委托受理階段：售前與委托單位就滲透測試項(xiàng)目進(jìn)行前期溝通，簽署保密協(xié)議，接收被測單位提交的資料。前期溝通結(jié)束后，雙方簽署，雙方簽署信息系統(tǒng)滲透測試合同。 準(zhǔn)備階段：項(xiàng)目經(jīng)理組織人員依據(jù)客戶提供的文檔資料和調(diào)查數(shù)據(jù)，編寫制定信息系統(tǒng)滲透測試方案。項(xiàng)目經(jīng)理與客戶溝通測試方案，確定滲透測試的具體日 期、客戶方配合的人員。項(xiàng)目經(jīng)理協(xié)助被測單位填寫信息系統(tǒng)滲透測試用戶授權(quán)單，并通知客戶做好測試前的準(zhǔn)備工作。如果項(xiàng)目需從被測單位的辦公局域網(wǎng)內(nèi) 進(jìn)行，測試全過程需有客戶方配合人員在場陪同。 實(shí)施階段：項(xiàng)目經(jīng)理明確項(xiàng)目組測試人員承擔(dān)的測試項(xiàng)。測試完成后，項(xiàng)目組整理滲透測試數(shù)據(jù)，形成信息系統(tǒng)滲透測試報(bào)告。綜合評估階段：項(xiàng)目組和客戶溝通測試結(jié)果，向客戶發(fā)送信息系統(tǒng)滲透測試報(bào)告。必要時，可根據(jù)客戶需要召開報(bào)告評審會，對信息系統(tǒng)滲透測試報(bào)告進(jìn)行 評審。如被測單位希望復(fù)測，由被測單位在整改完畢后提交信息系統(tǒng)整改報(bào)告，項(xiàng)目組依據(jù)信息系統(tǒng)滲透測試整改報(bào)告開展復(fù)測工作。復(fù)測結(jié)束后，項(xiàng)目組依據(jù) 復(fù)測結(jié)果，出具信息系統(tǒng)滲透測試復(fù)測報(bào)告。 結(jié)題階段：項(xiàng)目組將測評過程中生成的各類文檔、過程記錄進(jìn)行整理，并交檔案管理員歸檔保存。中心質(zhì)量專員請客戶填寫客戶滿意