網絡信息系統滲透性測試安全評估
來源: 發布日期:2017.12.15 點擊量:
1.目標
模擬黑客入侵的技術手段對目標網絡系統進行安全檢查,找出目標系統是否存在可以被攻擊者真實利用的漏洞以及由此引起的風險大小�����,從而為制定相應的應對措施與解決方案提供實際的依據。
2.滲透測試流程
安言咨詢說提供的滲透測試過程主要包括以下階段:
方案制定。獲取到客戶的書面授權許可后����,才進行滲透測試的實施�����。并且將實施范圍���、方法�����、時間�、人員等具體的方案與客戶進行交流�����,并得到客戶的認同��。在測試實施之前,安全顧問會做到讓客戶對滲透測試過程和風險的知曉�,使隨后的正式測試流程都在客戶的控制下�。
確定范圍��?����?蛻舾鶕约旱男枰_定本次項目的范圍�����;允許使用的攻擊手段����,是否允許使用暴力破解、拒絕服務等手段��。
信息收集���。這包括:操作系統類型指紋收集����;網絡拓撲結構分析��;端口掃描和目標系統提供的服務識別等�?���?梢圆捎靡恍┥虡I安全評估系統(如:ISS、極光等)���;免費的檢測工具(NESSUS、Nmap等)進行收集����。
測試實施���。這是整個評估過程中花費時間最長的一個階段�����,安全工程師利用端口掃描�、漏洞掃描等工具對滲透測試的目標進行安全漏洞檢查�,并根據掃描結果篩選可以利用的漏洞。
攻擊測試階段����。安全工程師針對發現的漏洞�����,利用攻擊程序進行攻擊測試;如果測試成功����,例如:獲得系統的機密數據,則結束滲透測試過程���。如果所有的攻擊測試都沒有成功,可以根據客戶的需要選擇使用暴力破解等手段進行更深一步的測試���,或者直接結束測試過程。
報告輸出��。滲透測試人員根據測試的過程結果編寫直觀的滲透測試服務報告���,內容包括:具體的操作步驟描述����;響應分析以及最后的安全修復建議。
安全復查。滲透測試完成后����,協助客戶對已發現的安全隱患進行修復��,修復完成后,滲透測試工程師對修復的成果再次進行測試復查,對修復的結果進行檢驗,確保修復結果的有效性���。
下圖是更為詳細的步驟拆分示意圖:
滲透測試流程圖
3.滲透測試的成果
滲透測試是站在實戰角度對客戶指定的目標系統進行的安全評估,可以讓客戶相關人員直觀的了解到自己網絡、系統��、應用中隱含的漏洞和危害發生時可能導致的損失����。
通過安言咨詢的滲透測試,可以獲得如下成果:
安全缺陷:從黑客的角度發現客戶安全體系中的漏洞(隱含缺陷)���,協助客戶明確目前降低風險的措施,為下一步的安全策略調整指明了方向����。
測試報告:能幫助客戶以實際案例的形式來說明目前安全現狀,從而增加客戶對信息安全的認知度����,提升客戶人員的風險危機意識��,從而實現內部安全等級的整體提升。
交互式滲透測試:我們的滲透測試人員在客戶約定的范圍�、時間內實施測試��,而客戶人員可以與此同時進行相關的檢測監控工作,測試自己能不能發現正在進行的滲透測試過程�,從中真實的評估自己的檢測預警能力�����。
相關客戶案例:
