通過模擬黑客對目標系統進行滲透測試,發現分析并驗證其存在的主機安全漏洞、敏感信息泄露、SQL注入漏洞、跨站腳本漏洞及弱口令等安全隱患,評估系統抗攻擊能力,提出安全加固建議。
信息系統滲透測試類型:
第一類型:互聯網滲透測試,是通過互聯網發起遠程攻擊,比其他類型的滲透測試更能說明漏洞的嚴重性;
第二類型:合作伙伴網絡滲透測試,通過接入第三方網絡發起遠程攻擊;
第三類型:內網滲透測試,通過接入內部網絡發起內部攻擊。 信息系統滲透測試步驟:
基礎信息收集、主機安全分析、敏感信息分析、應用安全分析、弱口令分析
主要檢測內容:
跨站腳本漏洞、主機遠程安全、殘留信息、SQL注入漏洞、系統信息泄露、弱口令等
信息系統滲透測試過程:
分為委托受理、準備、實施、綜合評估、結題五個階段,參見下圖。 委托受理階段:售前與委托單位就滲透測試項目進行前期溝通,簽署《保密協議》,接收被測單位提交的資料。前期溝通結束后,雙方簽署,雙方簽署《信息系統滲透測試合同》。
準備階段:項目經理組織人員依據客戶提供的文檔資料和調查數據,
編寫制定《信息系統滲透測試方案》。項目經理與客戶溝通測試方案,確定滲透測試的具體日 期、客戶方配合的人員。項目經理協助被測單位填寫《信息系統滲透測試用戶授權單》,并通知客戶做好測試前的準備工作。如果項目需從被測單位的辦公局域網內 進行,測試全過程需有客戶方配合人員在場陪同。
實施階段:項目經理明確項目組測試人員承擔的測試項。測試完成后,項目組整理滲透測試數據,形成《信息系統滲透測試報告》。 綜合評估階段:項目組和客戶溝通測試結果,向客戶發送《信息系統滲透測試報告》。必要時,可根據客戶需要召開報告評審會,對《信息系統滲透測試報告》進行 評審。如被測單位希望復測,由被測單位在整改完畢后提交信息系統整改報告,項目組依據《信息系統滲透測試整改報告》開展復測工作。復測結束后,項目組依據 復測結果,出具《信息系統滲透測試復測報告》。
結題階段:項目組將測評過程中生成的各類文檔、過程記錄進行整理,并交檔案管理員歸檔保存。中心質量專員請客戶填寫《客戶滿意度調查表》,收集客戶反饋意見。
