信息系统渗透测试服务方案_第1页
信息系统渗透测试服务方案_第2页
信息系统渗透测试服务方案_第3页
信息系统渗透测试服务方案_第4页
信息系统渗透测试服务方案_第5页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、信息系统渗透测试服务方案 通过模拟黑客对目标系统进行渗透测试, 发现分析并验证其存在的主 机安全漏洞、敏感信息泄露、SQL注入漏洞、跨站脚本漏洞及弱口令 等安全隐患,评估系统抗攻击能力,提出安全加固建议。 信息系统渗透测试类型:第一类型:互联网渗透测试,是通过互联网发起远程攻击,比其他 类型的渗透测试更能说明漏洞的严重性;第二类型:合作伙伴网络渗透测试,通过接入第三方网络发起远程 攻击;第三类型:内网渗透测试,通过接入内部网络发起内部攻击。信息系统渗透测试步骤:基础信息收集、主机安全分析、敏感信息分析、应用安全分析、弱 口令分析主要检测内容:跨站脚本漏洞、主机远程安全、残留信息、SQL注入漏洞

2、、系统信息泄露、弱口令等信息系统渗透测试过程:分为委托受理、准备、实施、综合评估、结题五个阶段,参见下图。委托受理阶段:售前与委托单位就渗透测试项目进行前期沟通,签 署保密协议,接收被测单位提交的资料。前期沟通结束后,双方 签署,双方签署信息系统渗透测试合同 。准备阶段:项目经理组织人员依据客户提供的文档资料和调查数据,编写制定信息系统渗透测试方案。项目经理与客户沟通测试方案, 确定渗透测试的具体日 期、客户方配合的人员。项目经理协助被测 单位填写信息系统渗透测试用户授权单,并通知客户做好测试前 的准备工作。如果项目需从被测单位的办公局域网内进行,测试全过程需有客户方配合人员在场陪同。实施阶段

3、:项目经理明确项目组测试人员承担的测试项。测试完成 后,项目组整理渗透测试数据,形成信息系统渗透测试报告 。 综合评估阶段:项目组和客户沟通测试结果,向客户发送信息系统 渗透测试报告。必要时,可根据客户需要召开报告评审会,对信 息系统渗透测试报告进行 评审。如被测单位希望复测,由被测单 位在整改完毕后提交信息系统整改报告, 项目组依据信息系统渗透 测试整改报告开展复测工作。复测结束后,项目组依据复测结果,出具信息系统渗透测试复测报告。结题阶段:项目组将测评过程中生成的各类文档、过程记录进行整 理,并交档案管理员归档保存。中心质量专员请客户填写客户满意 度调查表,收集客户反馈意见。1)测评流程:匸要流程涉及文档/准 1(受舛客户|请): -(签嘛岔办议( 签讦呑同WW(保密协议) 系统滲透测试合同)1/_ 二-二二-:二.C编制系统趕测试方案)( 系绒滲透测伽案 ) ,” 乂、(方总丽认(系统淒透测试用八授权单)现场渗透测试)远程瀋透测试)f(累统运存焉况验证)(系统运厅情况验证迥虽)/c编制渗透测试报告j4Il -I阶C 如需宴厂敕

人人文库> 全部分类> 教育资料 > 中学教育

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论