PENETRATION TEST

- 渗透测试 -

 

通过模拟黑客可能使用的攻击技术和漏洞发现技术,对客户指定目标系统的安全作深入检测,从应用攻击入手,围绕业务系统进行逐步渗透攻击,获取网络、应用、数据库的重要资源,寻找系统的薄弱点,以此帮助客户了解自身网络和应用系统的弱点,并验证评估结果,最终提出更精确、更有效的解决方案。

由于采用可控制的、非破坏性的渗透测试,因此不会对被测试应用系统造成严重的影响。在渗透测试结束后,应用系统将保持正常运行状态。应用系统渗透测试服务的所有细节和风险,都会提前告知客户,并且所有过程都在客户的控制下进行,这也是渗透测试服务与黑客攻击入侵的本质不同。

渗透测试服务内容:

操作系统:对WindowsSolarisAixLinux等操作系统本身进行渗透测试;

数据库系统:对MS-SQLOracleMYSQLSYBASE等数据库系统进行渗透测试;

应用系统:对各种应用系统,如ASPCGIJSPPHP等网站应用进行渗透测试;

网络设备:对路由器、防火墙、入侵检测系统等网络设备进行渗透测试。

渗透测试流程:

1.委托受理阶段:售前与委托单位就渗透测试项目进行沟通,签署《保密协议》,接收被测单位提交的资料,成立渗透测试项目组。

2.准备阶段:依据委托单位提供的文档和调查数据,编写制定《信息系统渗透测试方案》

3.实施阶段:明确渗透测试项目组测试人员分工。测试完成后,项目经理整理测试数数据,形成《信息系统渗透测试报告》。

4.评估阶段:项目组向委托单位提交渗透测试报告,根据委托单位需要可召开报告评审会议,对报告进行评审。

5.评估结束阶段:项目组将渗透测试过程中形成的各类文档、记录进行整理,并且归档。

渗透测试服务价值:

1、为客户的信息安全防御提供有价值指导信息。

2、高强度检测系统存在的安全漏洞,弥补常规安全评估存在不足。

3、发现客户信息系统底层架构存在安全漏洞隐患。