欢迎来到天天文库
浏览记录
ID:47665011
大小:1.22 MB
页数:29页
时间:2020-01-28
《某公司渗透测试方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、.word可编辑.XXX渗透测试方案■文档编号■密级■版本编号■日期.专业.专注..word可编辑.!.专业.专注..word可编辑.■版本变更记录时间版本说明修改人.专业.专注..word可编辑.■适用性声明本文档是(以下简称“某某”)为XXX(以下简称“XXX”)提交的渗透测试方案,供XXX的项目相关人员阅读。.专业.专注..word可编辑.目录一.概述11.1项目背景11.2实施目的11.3服务目标2二.远程渗透测试介绍32.1渗透测试原理32.2渗透测试流程32.3渗透测试的风险规避62.4渗透测试的收益72
2、.5渗透工具介绍72.5.1系统自带工具82.5.2自由软件和渗透测试工具8三.项目实施计划103.1方案制定103.2信息收集113.3测试实施11.专业.专注..word可编辑.3.4报告输出153.5安全复查15四.交付成果16五.某某渗透测试的优势16附录A某某公司简介19.专业.专注..word可编辑.一.概述1.1项目背景XXX成立于1992年,注册资金7亿元,具有中国房地产开发企业一级资质,总资产300多亿元,是一个涵盖房地产开发、商业管理、物业管理、商贸代理、综合投资业务的大型集团企业。多年来,XXX
3、信息系统的发展与信息化的建设密不可分,并且通过领导重视、业务需求、自身努力已经将信息化程度提高到一定的水平。但近年来针对XXX信息系统的安全事件时有发生,网络面临的安全威胁日益严重。随着业务需求不断地增加、网络结构日趋复杂,信息系统面临的安全威胁、威胁的主体及其动机和能力、威胁的客体等方面都变得更加复杂和难于控制。XXX信息系统的建设是由业务系统的驱动建设而成的,初始的网络建设大多没有统一的安全规划,而业务系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。在支持业务不断发展的前提下,如何保证系统的
4、安全性是一个巨大的挑战,对系统进行区域划分,进行层次化、有重点的保护是保证系统和信息安全的有效手段,信息安全体系化的建设与开展迫在眉睫。1.2实施目的信息安全越来越成为保障企业网络的稳定运行的重要元素。XXX信息系统.专业.专注..word可编辑.经过多年的实践和摸索,已经初具规模,在技术上、产品方面取得了很大的成就,但随着企业面临的安全威胁不断变化,单纯地靠产品来解决各类信息安全问题已经不能满足XXX的实际安全需求。从根本上解决目前企业所面临的信息安全难题,只靠技术和产品是不够的,服务将直接影响到解决各类安全问题的
5、效果。对于已经实施了安全防护措施(安全产品、安全服务)或者即将实施安全防护措施的XXX而言,明确网络当前的安全现状对下一步的安全建设具有重大的指导意义。所以本次项目的目的是通过远程渗透测试全面检测XXX信息系统目前存在安全隐患,为下一步信息安全建设提供依据。我们相信,凭借某某多年的安全技术积累和丰富的安全服务项目经验,能够圆满的完成本次安全服务项目。同时,我们也希望能继续保持和XXX在信息安全项目上长期的合作,共同为XXX信息系统的安全建设贡献力量。1.1服务目标某某在本次XXX信息安全服务项目中将达到以下的目标:n
6、通过远程渗透测试全面检测XXX信息系统直接暴露在互联网上的安全隐患,并提供实际可行的安全修复建议。.专业.专注..word可编辑.一.远程渗透测试介绍1.1渗透测试原理渗透测试过程主要依据某某安全专家已经掌握的安全漏洞信息,模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试。这里,所有的渗透测试行为将在客户的书面明确授权和监督下进行。1.2渗透测试流程方案制定某某获取到XXX的书面授权许可后,才进行渗透测试的实施。并且将实施范围、方法、时间、人员等具体的方案与XXX进行交流,并得到XXX的认同。在测试实施之
7、前,某某会做到让XXX对渗透测试过程和风险的知晓,使随后的正式测试流程都在XXX的控制下。信息收集这包括:操作系统类型指纹收集;网络拓扑结构分析;端口扫描和目标系统提供的服务识别等。可以采用一些商业安全评估系统(如:ISS、极光等);免费的检测工具(NESSUS、Nmap等)进行收集。测试实施.专业.专注..word可编辑.在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行:操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试(如:Web应用),此阶段如果成功的话,可能获得普通权限。渗透测试人员可能用到的测试
8、手段有:扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等,用于测试人员顺利完成工程。在获取到普通权限后,尝试由普通权限提升为管理员权限,获得对系统的完全控制权。一旦成功控制一台或多台服务器后,测试人员将利用这些被控制的服务器作为跳板,绕过防火墙或其他安全设备的防护,从而对内网其他服务器和客户端进行进一步的渗透。此过程将循环进行
此文档下载收益归作者所有