公司网络信息系统渗透测试服务内容及方案.docxVIP

公司网络信息系统渗透测试服务内容及方案 服务范围 渗透测试服务的范围主要包括了操作系统、应用系统、WEB程序和网络设备。 操作系统包括： Windows、发行版Linux、AIX、Solaris、FreeBSD等主流系统。 应用系统包括： Oracle、MySQL、MSSQL、Sybase、DB2、I下一代防火墙ormix等主流数据库，Apache、IIS、Tomcat、Weblogic等主流WEB服务器，FTP、DNS等主流应用服务器。 WEB程序包括： ASP、PHP、JSP、.NET、Perl、Python、Shell等语言编写的WEB程序。 网络设备包括： 常见厂商的路由器、交换机等设备。 服务方式 目前，渗透测试服务根据测试的位置不同可以分为内部测试和外部测试；根据测试的方法不同分为黑盒测试和白盒测试两类；根据服务的周期不同分为单次服务和年度服务两种类型。 内部测试和外部测试 内部测试是指经过用户授权后，测试人员到达用户工作现场，根据用户的期望测试的目标直接接入到用户的办公网络甚至业务网络中。这种测试的好处就在于免去了测试人员从外部绕过防火墙、入侵保护等安全设备的工作。一般用于检测内部威胁源和路径。 外部测试与内部测试相反，测试人员无需到达客户现场，直接从互联网访问用户的某个接入到互联网的系统并进行测试即可。这种测试往往是应用于那些关注门户站点的用户，主要用于检测外部威胁源和路径。 黑盒测试和白盒测试 黑盒测试是指测试人员对除目标系统的IP或域名以外的信息一无所知的情况下对系统发起的测试工作，这种方式可以较好的模拟黑客行为，了解外部恶意用户可能对系统带来的威胁。 白盒测试则是指测试人员通过用户授权获取了部分信息的情况下进行的测试，如：目标系统的帐号、配置甚至源代码。这种情况用户模拟并检测内部的恶意用户可能为系统带来的威胁。 服务流程 渗透测试服务主要分为四个阶段，包括测试前期准备阶段、测试阶段实施、复测阶段实施以及成果汇报阶段： 前期准备阶段 在实施渗透测试工作前，技术人员会和客户对渗透测试服务相关的技术细节进行详细沟通。由此确认渗透测试的方案，方案内容主要包括确认的渗透测试范围、最终对象、测试方式、测试要求的时间等内容。同时，客户签署渗透测试授权书。 测试阶段实施 在测试实施过程中，测试人员首先使用自动化的安全扫描工具，完成初步的信息收集、服务判断、版本判断、补丁判断等工作。 然后由人工的方式对安全扫描的结果进行人工的确认和分析。并且根据收集的各类信息进行人工的进一步渗透测试深入。 结合自动化测试和人工测试两方的结果，测试人员需整理渗透测试服务的输出结果并编制渗透测试报告，最终提交客户和对报告内容进行沟通。 复测阶段实施 在经过第一次渗透测试报告提交和沟通后，等待客户针对渗透测试发现的问题整改或加固。经整改或加固后，测试人员进行回归测试，即二次复测。复测结束后提交给客户复测报告和对复测结果进行沟通。 成果汇报阶段 根据一次渗透测试和二次复测结果，整理渗透测试服务输出成果，最后汇报项目领导。 服务报告 在渗透测试实施工作完成后三个工作日内，渗透测试人员将出示一份渗透测试报告。 根据测试结果，测试人员将针对每种威胁进行详细描述，描述内容至少包括了测试范围、过程、使用的技术手段以及获得的成果。 除此之外，测试人员还将结合测试目标的具体威胁内容编写解决方案和相关的安全建议，为管理员的维护和修补工作提供参考。输出如下报告： 《XX系统渗透测试报告》 服务注意事项 为保障客户系统在渗透测试过程中稳定、安全的运转，我们将提供以下多种方式来进行风险规避。 时间的控制 从时间安排上，测试人员将将尽量避免在数据高峰时进行测试，以此来减小测试工作对被测试系统带来的压力。 另外，测试人员在每次测试前也将通过电话、邮件等方式告知相关人员，以防止测试过程中出现意外情况。 工具使用 在使用工具测试的过程中，测试人员会通过设置线程、插件数量等参数来减少其对系统的压力，同时还会去除任何可能对目标系统带来危害的插件，如：远程溢出攻击类插件、拒绝服务攻击类插件等等。 技术手段 渗透测试人员都具有丰富的经验和技能，在每一步测试前都会预估可能带来的后果，对于可能产生影响的测试（如：溢出攻击）将被记录并跳过，并在随后与客户协商决定是否进行测试及测试方法。 监控措施 针对每一系统进行测试前，测试人员都会告知被测试系统管理员，并且在测试过程中会随时关注目标系统的负荷等信息，一旦出现任何异常，将会停止测试。 目标对象的选择 为更大程度的避免风险的产生，渗透测试还经常选择对备份系统进行测试。因为备份系统与在线系统所安装的应用和承载的数据差异较小，而其稳定性要求又比在线系统低，因此，选择对备份系统进行测试也是规避风险的一种常见方式。 操作记录 测试人员会在测试过程中形