信息系統(tǒng)滲透測試服務(wù)方案

1、成功足失敗Z球一切祁足劭力的結(jié)果頁典內(nèi)容1信息系統(tǒng)滲透測試服務(wù)方案通過模擬黑客對目標(biāo)系統(tǒng)進行滲透測試，發(fā)現(xiàn)分析并驗證其存在的主 機安全漏洞、敏感信息泄露、SQL注入漏洞、跨站腳木漏洞及弱口令 等安全隱患，評估系統(tǒng)抗攻擊能力，提出安全加固建議。信息系統(tǒng)滲透測試類型：第一類型：互聯(lián)網(wǎng)滲透測試，是通過互聯(lián)網(wǎng)發(fā)起遠程攻擊，比其他 類型的滲透測試更能說明漏洞的嚴重性；第二類型：合作伙伴網(wǎng)絡(luò)滲透測試，通過接入第三方網(wǎng)絡(luò)發(fā)起遠程 攻擊；第三類型：內(nèi)網(wǎng)滲透測試，通過接入內(nèi)部網(wǎng)絡(luò)發(fā)起內(nèi)部攻擊。信息系統(tǒng)滲透測試步驟：基礎(chǔ)信息收集、 主機安全分析、敏感信息分析、應(yīng)用安全分析、弱成功足失敗Z球一切祁足劭力的結(jié)果頁舜內(nèi)

2、容2口令分析主要檢測內(nèi)容:跨站腳本漏洞、 主機遠程安全、殘留信息、SQL注入漏洞、系統(tǒng)信息泄露、弱口令等信息系統(tǒng)滲透測試過程：分為委托受理、準(zhǔn)備、實施、綜合評估、結(jié)題五個階段，參見下圖。委托受理階段：售前與委托單位就滲透測試項目進行前期溝通，簽 署保密協(xié)議，接收被測單位提交的資料。前期溝通結(jié)束后，雙方 簽署，雙方簽署信息系統(tǒng)滲透測試合同。準(zhǔn)備階段：項目經(jīng)理組織人員依據(jù)客戶提供的文檔資料和調(diào)查數(shù)據(jù), 編寫制定信息系統(tǒng)滲透測試方案。項目經(jīng)理與客戶溝通測試方案, 確定滲透測試的具體FI期、客戶方配合的人員。項目經(jīng)理協(xié)助被測 單位填寫信息系統(tǒng)滲透測試用戶授權(quán)單，并通知客戶做好測試前 的準(zhǔn)備工作。如果項

3、目需從被測單位的辦公局域網(wǎng)內(nèi)進行，測試全 過程需有客戶方配合人員在場陪同。實施階段：項目經(jīng)理明確項目組測試人員承擔(dān)的測試項。測試完成 后，項目組整理滲透測試數(shù)據(jù)，形成信息系統(tǒng)滲透測試報告。綜合評估階段：項目組和客戶溝通測試結(jié)果，向客戶發(fā)送信息系統(tǒng) 滲透測試報告。必要時，可根據(jù)客戶需要召開報告評審會，對信 息系統(tǒng)滲透測試報告進行評審。如被測單位希望復(fù)測，由被測單 位在整改完畢后提交信息系統(tǒng)整改報告， 項目組依據(jù) 信息系統(tǒng)滲透 測試整改報告 開展復(fù)測工作。復(fù)測結(jié)束后，項目組依據(jù)復(fù)測結(jié)果, 出具信息系統(tǒng)滲透測試復(fù)測報告。結(jié)題階段：項目組將測評過程中生成的各類文檔、過程記錄進行整 理，并成功足失敗Z球一切祁足劭力的結(jié)果頁典內(nèi)容3交檔案管理員歸檔保存。中心質(zhì)量專員請客戶填寫客戶滿意 度調(diào)查表，收集客戶反饋意見。成功足失敗Z球一切祁足劭力的結(jié)果頁卿內(nèi)容41）測評流程：主要流程涉及文檔c現(xiàn)場滲透測試:遠盂訝試J召托受理階尊/ 受理客戸川諸教署傑命協(xié)議簽訂合同保密協(xié)議 ）MHB MMMMHB （編制系統(tǒng)顯測試方案）37方索凝硝認c系繪漁逐則試合同/_、系統(tǒng)滲透測試方耒）C系統(tǒng)滲透測試用戶授權(quán)單）)C報告審祝/發(fā)送客八滿總:度調(diào)沓問卷X弭戶滿意度調(diào)杳1C系統(tǒng)運