信息系统渗透测试服务方案复习课程.doc

《信息系统渗透测试服务方案复习课程.doc》由会员分享，可在线阅读，更多相关《信息系统渗透测试服务方案复习课程.doc（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、如有侵权，请联系网站删除，仅供学习与交流信息系统渗透测试服务方案【精品文档】第 4 页信息系统渗透测试服务方案通过模拟黑客对目标系统进行渗透测试，发现分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、跨站脚本漏洞及弱口令等安全隐患，评估系统抗攻击能力，提出安全加固建议。信息系统渗透测试类型： 第一类型：互联网渗透测试，是通过互联网发起远程攻击，比其他类型的渗透测试更能说明漏洞的严重性； 第二类型：合作伙伴网络渗透测试，通过接入第三方网络发起远程攻击； 第三类型：内网渗透测试，通过接入内部网络发起内部攻击。 信息系统渗透测试步骤： 基础信息收集、主机安全分析、敏感信息分析、应用安全分

2、析、弱口令分析 主要检测内容： 跨站脚本漏洞、主机远程安全、残留信息、SQL注入漏洞、系统信息泄露、弱口令等 信息系统渗透测试过程： 分为委托受理、准备、实施、综合评估、结题五个阶段，参见下图。 委托受理阶段：售前与委托单位就渗透测试项目进行前期沟通，签署保密协议，接收被测单位提交的资料。前期沟通结束后，双方签署，双方签署信息系统渗透测试合同。 准备阶段：项目经理组织人员依据客户提供的文档资料和调查数据，编写制定信息系统渗透测试方案。项目经理与客户沟通测试方案，确定渗透测试的具体日 期、客户方配合的人员。项目经理协助被测单位填写信息系统渗透测试用户授权单，并通知客户做好测试前的准备工作。如果项

3、目需从被测单位的办公局域网内 进行，测试全过程需有客户方配合人员在场陪同。 实施阶段：项目经理明确项目组测试人员承担的测试项。测试完成后，项目组整理渗透测试数据，形成信息系统渗透测试报告。综合评估阶段：项目组和客户沟通测试结果，向客户发送信息系统渗透测试报告。必要时，可根据客户需要召开报告评审会，对信息系统渗透测试报告进行 评审。如被测单位希望复测，由被测单位在整改完毕后提交信息系统整改报告，项目组依据信息系统渗透测试整改报告开展复测工作。复测结束后，项目组依据 复测结果，出具信息系统渗透测试复测报告。 结题阶段：项目组将测评过程中生成的各类文档、过程记录进行整理，并交档案管理员归档保存。中心质量专员请客户填写客户满意度调查表，收集客户反馈意见。1) 测评流程：