您的位置:360文档中心› 信息系统渗透测试方案1.doc

信息系统渗透测试方案1.doc

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息系统渗透测试方案1 广东省XXXX厅重要信息系统

渗透测试方案

目录

1. 概述(1)

1.1. 渗透测试概述(1)

1.2. 为客户带来的收益(1)

2. 涉及的技术(1)

2.1. 预攻击阶段(2)

2.2. 攻击阶段(3)

2.3. 后攻击阶段(3)

2.4. 其它手法(4)

3. 操作中的注意事项(4)

3.1. 测试前提供给渗透测试者的资料(4)

3.1.1. 黑箱测试(4)

3.1.2. 白盒测试(4)

3.1.3. 隐秘测试(4)

3.2. 攻击路径(5)

3.2.1内网测试(5)

3.2.2外网测试(5)

3.2.3不同网段/vlan之间的渗透(5)

3.3. 实施流程(6)

3.3.1. 渗透测试流程(6)

3.3.2. 实施方案制定、客户书面同意(6) 3.3.3. 信息收集分析(6)

3.3.

4. 内部计划制定、二次确认(7)

3.3.5. 取得权限、提升权限(7)

3.3.6. 生成报告(7)

3.4. 风险规避措施(7)

3.4.1. 渗透测试时间与策略(7)

3.4.2. 系统备份和恢复(8)

3.4.3. 工程中合理沟通的保证(8)

3.4.4. 系统监测(8)

3.5. 其它(9)

4. 渗透测试实施及报表输出(9)

4.1. 实际操作过程(9)

4.1.1. 预攻击阶段的发现(9)

4.1.2. 攻击阶段的操作(10)

4.1.3. 后攻击阶段可能造成的影响(11)

4.2. 渗透测试报告(12)

5. 结束语(12)

1.概述

1.1. 渗透测试概述

渗透测试(Penetration Test)是指安全工程师尽可能完整摸拟黑客使用的漏洞发现技术和攻击手段,对目标网络/系统/主机/应用的安全性做深入的探测,发现系统最脆弱的环节的过程,渗透测试能够直观的让管理人员知道自己网络面临的问题。

渗透测试是一种专业的安全服务,类似于军队里的“实战演习”或者“沙盘推演”,通过实战和推演,让用户清晰了解目前网络的脆弱性、可能造成的影响,以便采取必要的防范措施。

1.2. 为客户带来的收益

从渗透测试中,客户能够得到的收益至少有:

1)协助用户发现组织中的安全最短板,协助企业有效的了解

目前降低风险的初始任

务;

2)一份文档齐全有效的渗透测试报告有助于组织IT管理者以案例说明目前安全现

状,从而增强信息安全认知程度,甚至提高组织在安全方面的预算;

3)信息安全是一个整体工程,渗透测试有助于组织中的所有成员意识到自己岗位同样

可能提高或降低风险,有助于内部安全的提升;

当然,渗透测试并不能保证发现目标网络中所有的弱点,因此我们不宜片面强调它的重要性。

2.涉及的技术

我们简单介绍渗透测试的各个阶段可能会用到的一些工具。

2.1. 预攻击阶段

基本网络信息获取

●Ping 目标网络得到IP 地址和ttl 等信息

●Tcptraceroute 等traceroute 的结果

●Whois 结果

●Netcraft 获取目标可能存在的域名、web 及服务器信息

●Curl 获得目标web 基本信息

●Nmap 对网站进行端口扫描并判断操作系统类型

●Google 、yahoo 、baidu 等搜索引擎获取目标信息

●采用FWtester 、hping3等工具进行防火墙规则探测

●……

常规漏洞扫描和采用商用软件进行检测

●结合使用xscan 与Nessu 等商用或免费扫描工个进行漏洞扫描

●采用Solarwind 对网络设备等进行发现

●采用nikto 、webinspect 等软件对web 常见漏洞进行扫描

●采用如AppDetective 之类的商用软件对数据库进行扫描分析

●……

信息系统渗透测试服务方案1 信息系统渗透测试服务方案

通过模拟黑客对目标系统进行渗透测试,发现分析并验证其存在的主机安全漏洞、敏感信息泄露、SQL注入漏洞、跨站脚本漏洞及弱口令等安全隐患,评估系统抗攻击能力,提出安全加固建议。

信息系统渗透测试类型:

第一类型:互联网渗透测试,是通过互联网发起远程攻击,比其他类型的渗透测试更能说明漏洞的严重性;

第二类型:合作伙伴网络渗透测试,通过接入第三方网络发起远程攻击;

第三类型:内网渗透测试,通过接入内部网络发起内部攻击。

信息系统渗透测试步骤:

基础信息收集、主机安全分析、敏感信息分析、应用安全分析、弱口令分析

主要检测内容:

跨站脚本漏洞、主机远程安全、残留信息、SQL注入漏洞、系统信息泄露、弱口令等

信息系统渗透测试过程:

分为委托受理、准备、实施、综合评估、结题五个阶段,参见下图。委托受理阶段:售前与委托单位就渗透测试项目进行前期沟通,签署《保密协议》,接收被测单位提交的资料。前期沟通结束后,双方签署,双方签署《信息系统渗透测试合同》。

准备阶段:项目经理组织人员依据客户提供的文档资料和调查数据,

编写制定《信息系统渗透测试方案》。项目经理与客户沟通测试方案,确定渗透测试的具体日期、客户方配合的人员。项目经理协助被测单位填写《信息系统渗透测试用户授权单》,并通知客户做好测试前的准备工作。如果项目需从被测单位的办公局域网内进行,测试全过程需有客户方配合人员在场陪同。

实施阶段:项目经理明确项目组测试人员承担的测试项。测试完成后,项目组整理渗透测试数据,形成《信息系统渗透测试报告》。

综合评估阶段:项目组和客户沟通测试结果,向客户发送《信息系统渗透测试报告》。必要时,可根据客户需要召开报告评审会,对《信息系统渗透测试报告》进行评审。如被测单位希望复测,由被测单位在整改完毕后提交信息系统整改报告,项目组依据《信息系统渗透测试整改报告》开展复测工作。复测结束后,项目组依据复测结果,出具《信息系统渗透测试复测报告》。

结题阶段:项目组将测评过程中生成的各类文档、过程记录进行整理,并交档案管理员归档保存。中心质量专员请客户填写《客户满意度调查表》,收集客户反馈意见。

1) 测评流程:

相关文档
最新文档