渗透信息系统渗透测试服务方案

信息系统渗透测试服务方案

通过模拟黑客对目标系统进行渗透测试发现分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、跨站脚本漏洞及弱口令等安全隐患评估系统抗攻击能力提出安全加固建议。信息系统渗透测试类型

第一类型互联网渗透测试是通过互联网发起远程攻击 比其他类型的渗透测试更能说明漏洞的严重性

第二类型合作伙伴网络渗透测试通过接入第三方网络发起远程攻击

第三类型 内网渗透测试通过接入内部网络发起内部攻击。

信息系统渗透测试步骤

基础信息收集、主机安全分析、敏感信息分析、应用安全分析、弱口令分析

主要检测内容

跨站脚本漏洞、主机远程安全、残留信息、 SQL注入漏洞、系统信息泄露、弱口令等

信息系统渗透测试过程

分为委托受理、准备、实施、综合评估、结题五个阶段参见下图。

委托受理阶段售前与委托单位就渗透测试项目进行前期沟通签署《保密协议》 接收

被测单位提交的资料。前期沟通结束后双方签署双方签署《信息系统渗透测试合同》 。

准备阶段 项目经理组织人员依据客户提供的文档资料和调查数据编写制定《信息系统渗透测试方案》 。项目经理与客户沟通测试方案确定渗透测试的具体日期、客户方配合的人员。项目经理协助被测单位填写《信息系统渗透测试用户授权单》 并通知客户做好测试前的准备工

作。 如果项目需从被测单位的办公局域网内进行测试全过程需有客户方配合人员在场陪同。

实施阶段项目经理明确项目组测试人员承担的测试项。测试完成后项目组整理渗透测试数据形成《信息系统渗透测试报告》 。

综合评估阶段项目组和客户沟通测试结果 向客户发送《信息系统渗透测试报告》 。必要时可根据客户需要召开报告评审会对《信息系统渗透测试报告》进行评审。如被测单位希望复测由被测单位在整改完毕后提交信息系统整改报告项目组依据《信息系统渗透测试整改报告》开展复测工作。复测结束后项目组依据复测结果 出具《信息系统渗透测试复测报告》 。

结题阶段项目组将测评过程中生成的各类文档、过程记录进行整理并交档案管理员归档保存。中心质量专员请客户填写《客户满意度调查表》 收集客户反馈意见。

1)测评流程

)

C 如盡