【正文】 受控：C級(jí)項(xiàng)目編號(hào)：DPtechYNDWAQFW2017XXX安全服務(wù)方案 杭州迪普科技股份有限公司Hangzhou DPTech Technologies Co., Ltd年 月目 錄1 項(xiàng)目概述 62 遵循原則 63 推薦服務(wù)內(nèi)容 74 服務(wù)詳細(xì)介紹 8 網(wǎng)站安全監(jiān)控 8 服務(wù)簡(jiǎn)介 9 服務(wù)功能 11 服務(wù)特點(diǎn) 14 輸出成果 15 滲透測(cè)試服務(wù) 15 測(cè)試方法 16 測(cè)試內(nèi)容 17 實(shí)施步驟 18 輸出成果 21 服務(wù)收益 21 網(wǎng)絡(luò)安全評(píng)估 21 評(píng)估內(nèi)容 22 評(píng)估方法 26 實(shí)施步驟 28 輸出成果 38 安全巡檢服務(wù) 38 服務(wù)內(nèi)容 38 輸出成果 39 服務(wù)收益 39 服務(wù)頻率 39 安全加固服務(wù) 40 加固內(nèi)容 40 加固流程 42 輸出成果 46 服務(wù)收益 47 服務(wù)頻率 47 應(yīng)急響應(yīng)服務(wù) 47 服務(wù)內(nèi)容 48 輸出成果 49 服務(wù)收益 49 服務(wù)頻率 50 新系統(tǒng)入網(wǎng)安全評(píng)估 50 評(píng)估內(nèi)容 51 輸出成果 52 服務(wù)收益 53 服務(wù)頻率 53 安全攻防演練培訓(xùn) 53 培訓(xùn)課程 54 培訓(xùn)流程 61 培訓(xùn)考核 62 培訓(xùn)優(yōu)勢(shì) 62 重要時(shí)期安全保障 63 現(xiàn)場(chǎng)值守 63 預(yù)案制定 64 應(yīng)急處理 64 輸出成果 655 服務(wù)配套工具 656 項(xiàng)目投資估算 667 項(xiàng)目管理方案 67 項(xiàng)目管理方法 67 組織結(jié)構(gòu)圖 68 項(xiàng)目溝通 69 日常溝通、記錄和備忘錄 69 報(bào)告 69 會(huì)議 69 項(xiàng)目實(shí)施質(zhì)量保證 70 項(xiàng)目執(zhí)行人員的質(zhì)量職責(zé) 71 安全服務(wù)質(zhì)量保證 71 系統(tǒng)安全及風(fēng)險(xiǎn)規(guī)避方案 74 項(xiàng)目實(shí)施工具 74 項(xiàng)目實(shí)施策略 74 項(xiàng)目實(shí)施中的配合 758 保密承諾 76 保密協(xié)議 76 保密協(xié)議的必要性 76 保密條款 76 違約責(zé)任 77 項(xiàng)目實(shí)施人員專(zhuān)項(xiàng)保密承諾 78 保密承諾的必要性 78 保密內(nèi)容和范圍 78 保密責(zé)任 789 迪普科技簡(jiǎn)介 79 公司介紹 79 服務(wù)資質(zhì) 80 國(guó)內(nèi)最高的信息安全服務(wù)二級(jí)資質(zhì) 80 中國(guó)通信企業(yè)協(xié)會(huì)風(fēng)險(xiǎn)評(píng)估資質(zhì) 82 ISO 27001信息安全管理體系認(rèn)證 83 國(guó)家信息安全漏洞庫(kù)支撐單位 84 中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅治理聯(lián)盟成員單位 84 ISO9001認(rèn)證 85 ISO14001認(rèn)證 86 部分漏洞提交證明 86 服務(wù)優(yōu)勢(shì) 88 信息安全監(jiān)管機(jī)構(gòu)高度認(rèn)可 88 強(qiáng)大的漏洞挖掘研究能力 88 專(zhuān)業(yè)的安全咨詢(xún)服務(wù)團(tuán)隊(duì) 88 國(guó)家重大會(huì)議活動(dòng)首選安全保障團(tuán)隊(duì) 891 項(xiàng)目概述近年來(lái)，隨著棱鏡門(mén)事件的爆發(fā)，網(wǎng)絡(luò)和信息安全受到前所未有的關(guān)注。2014年中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立，習(xí)近平主席“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”等指示的提出，無(wú)不表明網(wǎng)絡(luò)與信息安全工作已經(jīng)上升至國(guó)家戰(zhàn)略安全層面。在這種形勢(shì)下，網(wǎng)絡(luò)安全的重要性被提到了前所未有的高度。在XXX中，如果網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)被黑客攻擊，頁(yè)面被得法自發(fā)、敏感信息被竊取，其影響將難以估計(jì)。同時(shí)，規(guī)定將對(duì)出現(xiàn)安全事件的組織負(fù)責(zé)人進(jìn)行處罰。隨著安全技術(shù)的發(fā)展，各行業(yè)的網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)，必將成為黑客或反動(dòng)勢(shì)力的攻擊目標(biāo)。種種跡象表明，如果網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)存在安全漏洞，將非常容易導(dǎo)致被攻擊者非法入侵，并對(duì)敏感數(shù)據(jù)進(jìn)行非法竊取、篡改、刪除等操作。編寫(xiě)本方案的目的，是希望通過(guò)迪普科技長(zhǎng)期從事網(wǎng)絡(luò)安全、網(wǎng)站安全、安全服務(wù)工作的經(jīng)驗(yàn)，以及對(duì)黑客攻擊過(guò)程的深入理解，為XXX的網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)提供全方位的安全防護(hù)建議，并為XXX的安全運(yùn)行保駕護(hù)航。2 遵循原則本次為XXX提供的安全服務(wù)，全程遵循以下原則。l 先進(jìn)性原則安全服務(wù)和形成的規(guī)劃方案，在路線(xiàn)上應(yīng)與業(yè)界的主流發(fā)展趨勢(shì)相一致，保證依據(jù)此方案進(jìn)行安全防護(hù)的XXX具備先進(jìn)性。l 標(biāo)準(zhǔn)性原則安全服務(wù)和產(chǎn)品的選擇，按照國(guó)家安全管理、安全控制、安全規(guī)程為參考依據(jù)。l 實(shí)用性原則具備多層次、多角度、全方位、立體化的安全保護(hù)功能。各種安全技術(shù)措施盡顯其長(zhǎng)，相互補(bǔ)充。當(dāng)某一種或某一層保護(hù)失效時(shí)，其它仍可起到保護(hù)作用。l 可控性原則安全服務(wù)和安全規(guī)劃的技術(shù)和解決方案，涉及的工程實(shí)施應(yīng)具有可控性。l 系統(tǒng)性、均衡性、綜合性研究原則安全服務(wù)從全系統(tǒng)出發(fā)，綜合分析各種安全風(fēng)險(xiǎn)，采取相應(yīng)的安全措施，并根據(jù)風(fēng)險(xiǎn)的大小，采取不同強(qiáng)度的安全措施，提供具有最優(yōu)的性能價(jià)格比的安全解決方案。l 可行性、可靠性原則技術(shù)和解決方案，需在保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)的前提下，提供最優(yōu)安全保障。l 可擴(kuò)展性原則良好的可擴(kuò)展性，能適應(yīng)安全技術(shù)的快速發(fā)展和更新，能隨著安全需求的變化而變化，充分保證投資的效益。3 推薦服務(wù)內(nèi)容根據(jù)國(guó)家監(jiān)管機(jī)構(gòu)要求以及XXX安全需求，我們推薦以下服務(wù)內(nèi)容。序號(hào)服務(wù)內(nèi)容服務(wù)描述服務(wù)方式1網(wǎng)站安全監(jiān)控對(duì)XXX指定的網(wǎng)站進(jìn)行7*24小時(shí)安全監(jiān)控，并提供監(jiān)控日?qǐng)?bào)、周報(bào)、月報(bào)，在網(wǎng)站出現(xiàn)異常情況時(shí)（被攻擊、篡改、掛馬），進(jìn)行實(shí)時(shí)告警。遠(yuǎn)程2滲透測(cè)試服務(wù)通過(guò)人工方式，模擬黑客攻擊方法，對(duì)XXX的網(wǎng)站進(jìn)行非破壞性質(zhì)的安全測(cè)試，查找應(yīng)用層面漏洞并給出對(duì)應(yīng)的修復(fù)建議。遠(yuǎn)程/現(xiàn)場(chǎng)3網(wǎng)絡(luò)安全評(píng)估評(píng)估XXX的網(wǎng)絡(luò)拓?fù)浼軜?gòu)、安全域規(guī)劃、邊界防護(hù)、安全防護(hù)措施、核心設(shè)備安全配置、設(shè)備脆弱性等，從而全面評(píng)估網(wǎng)絡(luò)的安全現(xiàn)狀，查找安全隱患。現(xiàn)場(chǎng)4安全巡檢服務(wù)定期對(duì)XXX的業(yè)務(wù)系統(tǒng)進(jìn)行安全漏洞檢測(cè)、基線(xiàn)配置核查、安全日志審計(jì)，評(píng)估業(yè)務(wù)系統(tǒng)的安全現(xiàn)狀，如果存在安全風(fēng)險(xiǎn)，則提供對(duì)應(yīng)的整改建議?，F(xiàn)場(chǎng)5安全加固服務(wù)對(duì)安全巡檢發(fā)現(xiàn)的漏洞進(jìn)行修復(fù)、配置隱患進(jìn)行優(yōu)化的過(guò)程。加固內(nèi)容包括但不限于系統(tǒng)補(bǔ)丁、防火墻、防病毒、危險(xiǎn)服務(wù)、共享、自動(dòng)播放、密碼安全。遠(yuǎn)程/現(xiàn)場(chǎng)6應(yīng)急響應(yīng)服務(wù)當(dāng)XXX的網(wǎng)站或服務(wù)器遭受黑客入侵攻擊時(shí)，第一時(shí)間對(duì)入侵事件進(jìn)行分析、檢測(cè)、抑制、處理，查找入侵來(lái)源并恢復(fù)系統(tǒng)正常運(yùn)行。遠(yuǎn)程/現(xiàn)場(chǎng)7新系統(tǒng)入網(wǎng)安全評(píng)估在新系統(tǒng)入網(wǎng)前，對(duì)其進(jìn)行全面的安全評(píng)估，包括滲透測(cè)試、漏洞檢測(cè)、基線(xiàn)核查，評(píng)估新系統(tǒng)的安全狀況，查找不符合安全要求的配置項(xiàng)以及安全風(fēng)險(xiǎn)點(diǎn)。遠(yuǎn)程/現(xiàn)場(chǎng)8安全攻防演練培訓(xùn)為XXX提供一個(gè)理論結(jié)合實(shí)際、可以實(shí)戰(zhàn)演練、場(chǎng)景真實(shí)逼真的安全攻防培訓(xùn)，從而真正提升受訓(xùn)人員的安全技術(shù)和實(shí)際動(dòng)手能力?，F(xiàn)場(chǎng)9重要時(shí)期安全保障在重要時(shí)期（如重大會(huì)議、重大節(jié)假日），我司派出安全攻防經(jīng)驗(yàn)豐富的安全專(zhuān)家，進(jìn)駐用戶(hù)現(xiàn)場(chǎng)，對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行現(xiàn)場(chǎng)安全值守和保障?，F(xiàn)場(chǎng)4 服務(wù)詳細(xì)介紹下面，對(duì)每項(xiàng)服務(wù)內(nèi)容，進(jìn)行詳細(xì)說(shuō)明。 網(wǎng)站安全監(jiān)控隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)站攻擊的門(mén)檻不斷降低。各類(lèi)型網(wǎng)站受到的安全威脅越來(lái)越多，為形象、各Web應(yīng)用系統(tǒng)的正常使用。應(yīng)實(shí)現(xiàn)以下基本安全需求: l 監(jiān)控網(wǎng)站頁(yè)面內(nèi)容完整、不被篡改；l 監(jiān)控網(wǎng)站存在的SQL注入、XSS、非法訪問(wèn)、信息泄露等應(yīng)用層漏洞，從而提前解決潛在風(fēng)險(xiǎn)；l 監(jiān)控網(wǎng)站，防止網(wǎng)站掛馬而導(dǎo)致的客戶(hù)滿(mǎn)意度損失；l 監(jiān)控網(wǎng)站是否存在敏感信息，對(duì)于網(wǎng)站的敏感信息內(nèi)容自行配制告警功能，方便管理者及時(shí)了解到發(fā)生的安全事件，可根據(jù)量化的標(biāo)準(zhǔn)，對(duì)網(wǎng)站的安全事件嚴(yán)重程度進(jìn)行不同形式的告警，杜絕可能存在的政治風(fēng)險(xiǎn)和聲譽(yù)損失；l 監(jiān)控網(wǎng)站是否被釣魚(yú)，導(dǎo)致相關(guān)的名譽(yù)損失。 ? 服務(wù)簡(jiǎn)介WEB網(wǎng)站安全監(jiān)控平臺(tái)安全監(jiān)控系統(tǒng)是迪普科技根據(jù)“云”的理念研發(fā)出的一款全天候Web監(jiān)測(cè)系統(tǒng)。WEB網(wǎng)站安全監(jiān)控平臺(tái)監(jiān)控系統(tǒng)基于PAAS（PlatformAs–AService）模式，通過(guò)部署于各信息節(jié)點(diǎn)的監(jiān)測(cè)引擎對(duì)客戶(hù)指定的網(wǎng)站（WEB應(yīng)用）進(jìn)行可用率和站點(diǎn)安全性檢測(cè)，以保障客戶(hù)網(wǎng)站業(yè)務(wù)持續(xù)性，從而向客戶(hù)提供網(wǎng)站安全的保障。 服務(wù)功能 被動(dòng)防御被動(dòng)防御主要提供如下服務(wù)：l 網(wǎng)站異常推送無(wú)需時(shí)時(shí)刻刻緊盯著網(wǎng)站，也無(wú)需改變?nèi)魏尉W(wǎng)絡(luò)的部署，也不需專(zhuān)門(mén)的人員進(jìn)行安全設(shè)備維護(hù)及分析日志，一旦Web出現(xiàn)任何異常行為，迪普科技WEB網(wǎng)站安全監(jiān)控平臺(tái)會(huì)自動(dòng)把異常推送到云端，然后在云端進(jìn)行分析檢測(cè)。您完全不用擔(dān)心找不到異常的解決辦法，WEB網(wǎng)站安全監(jiān)控平臺(tái)會(huì)幫你完成這一系列繁雜的任務(wù)。l 預(yù)警服務(wù)每一個(gè)用戶(hù)所發(fā)生的異常行為都會(huì)在推送到云端分析結(jié)束后保留在云端特征庫(kù)中，一旦該異常再次發(fā)生，異常比對(duì)后，云端幾乎可無(wú)間隔預(yù)警。也就是說(shuō)我們的用戶(hù)越多，WEB網(wǎng)站安全監(jiān)控平臺(tái)全方位立體式的監(jiān)控就越完善，您的網(wǎng)站也越加安全。l 專(zhuān)業(yè)團(tuán)隊(duì)Web異常原因根據(jù)系統(tǒng)環(huán)境，人員等各種因素各式各樣。在遇到云端無(wú)法解決的情況下，我們專(zhuān)業(yè)團(tuán)隊(duì)會(huì)在第一時(shí)間通知您，并提供解決方案。l 系統(tǒng)報(bào)表每日監(jiān)測(cè)后網(wǎng)站性能等監(jiān)測(cè)指標(biāo)都可以隨時(shí)生成相應(yīng)的報(bào)表，方便您的查閱。您無(wú)需在去找人進(jìn)行參數(shù)整理等重復(fù)性工作，解決大量的人力重復(fù)勞動(dòng)。 主動(dòng)掃描主動(dòng)掃描主要提供如下服務(wù)：l 網(wǎng)站性能監(jiān)控性能監(jiān)控主要對(duì)服務(wù)器性能、網(wǎng)站訪問(wèn)可用率、延遲、故障時(shí)間的一個(gè)持續(xù)評(píng)測(cè)。是主動(dòng)掃描中基礎(chǔ)模塊之一，它能更準(zhǔn)確的讓您清楚每天網(wǎng)站運(yùn)行的狀態(tài)。檢測(cè)功能：n 有效的監(jiān)測(cè)網(wǎng)站實(shí)時(shí)的可用率，更加直觀的表現(xiàn)出網(wǎng)站的性能；n 統(tǒng)計(jì)網(wǎng)站的故障時(shí)間，可有效的查出故障時(shí)間段，針對(duì)性解決網(wǎng)站故障；n 網(wǎng)站性能分析，根據(jù)監(jiān)測(cè)結(jié)果智能分析出網(wǎng)站可能出現(xiàn)的異常情況。l 網(wǎng)站篡改檢測(cè)網(wǎng)站防線(xiàn)攻破后，入侵者會(huì)對(duì)網(wǎng)站的頁(yè)面內(nèi)容進(jìn)行篡改，發(fā)布一些危害網(wǎng)站正常運(yùn)行的言論，從對(duì)網(wǎng)站形象帶來(lái)巨大負(fù)面影響。檢測(cè)功能:n 有效防止掛黑鏈，避免影響網(wǎng)站優(yōu)化，導(dǎo)致排名下降；n 及時(shí)發(fā)現(xiàn)留后門(mén)，預(yù)防網(wǎng)站二次入侵；n 第一時(shí)間發(fā)現(xiàn)惡意修改的虛假信息，避免誤導(dǎo)用戶(hù)；n 時(shí)刻檢測(cè)惡意代碼植入，避免網(wǎng)站被殺軟警報(bào)屏蔽；n 避免主頁(yè)被篡改，減少聲譽(yù)損失，避免網(wǎng)站服務(wù)中斷。l 網(wǎng)站掛馬監(jiān)控掛馬檢測(cè)模塊采用大規(guī)模、分布式、動(dòng)態(tài)行為檢測(cè)和靜態(tài)檢測(cè)相結(jié)合的掛馬識(shí)別方式，能夠準(zhǔn)確判斷出網(wǎng)站的掛馬頁(yè)面，并及時(shí)發(fā)出警報(bào)，可以有效維護(hù)網(wǎng)站安全和利益。同時(shí)，通過(guò)高級(jí)木馬檢測(cè)服務(wù)，用戶(hù)可指定監(jiān)控間隔周期、監(jiān)控頁(yè)面深度、報(bào)警方式等參數(shù)，更好的滿(mǎn)足用戶(hù)需求。檢測(cè)功能:n 檢測(cè)iframe框架掛馬，讓您及時(shí)清理，避免成為木馬散布點(diǎn)；n 檢測(cè)script掛馬，避免通過(guò)script的調(diào)用來(lái)掛馬；n 檢測(cè)圖片偽裝掛馬，讓您及時(shí)處理，避免網(wǎng)頁(yè)被殺軟報(bào)警；n 檢測(cè)網(wǎng)頁(yè)漏洞，讓您及時(shí)修復(fù)，預(yù)防被掛馬；n 實(shí)時(shí)監(jiān)控網(wǎng)站掛馬情況，讓您及時(shí)處理掛馬問(wèn)題。l 網(wǎng)站敏感詞監(jiān)控敏感詞監(jiān)控主要是針對(duì)網(wǎng)站敏感詞的一個(gè)檢測(cè)過(guò)濾，它能準(zhǔn)確的檢測(cè)出你在其管理平臺(tái)中設(shè)立的敏感詞。一旦發(fā)現(xiàn)存在某個(gè)頁(yè)面中，WEB網(wǎng)站安全監(jiān)控平臺(tái)會(huì)主動(dòng)提醒您。檢測(cè)功能:n 檢測(cè)網(wǎng)頁(yè)源碼中敏感詞出現(xiàn)；n 檢測(cè)數(shù)據(jù)庫(kù)中敏感詞出現(xiàn)；n 統(tǒng)計(jì)敏感詞出現(xiàn)次數(shù)，定位到具體代碼數(shù)據(jù)。l 網(wǎng)跨站釣魚(yú)檢測(cè)跨站釣魚(yú)檢測(cè)模塊通過(guò)靜態(tài)分析技術(shù)與虛擬機(jī)沙箱行為檢測(cè)技術(shù)相結(jié)合，對(duì)網(wǎng)站進(jìn)行跨站釣魚(yú)檢測(cè)，能在最快的時(shí)間內(nèi)完成跨站檢測(cè)。檢測(cè)功能：n 檢測(cè)iframe框架跨站釣魚(yú)；n 檢測(cè)script跨站釣魚(yú)，避免通過(guò)script的調(diào)用來(lái)跨站釣魚(yú)；n 檢測(cè)img跨站釣魚(yú)；n 對(duì)頁(yè)面的中的鏈接域名進(jìn)行監(jiān)測(cè)，保障用戶(hù)訪問(wèn)的域名正確性。 服務(wù)特點(diǎn) 易操作用戶(hù)只需要登錄我們的平臺(tái)，在其授權(quán)管理后，設(shè)置網(wǎng)站所需要監(jiān)控的項(xiàng)目。迪普科技本著“以人為本”理念，在產(chǎn)品設(shè)計(jì)時(shí)非常注重用戶(hù)體驗(yàn)，您只需要簡(jiǎn)單的幾步操作既可完成整個(gè)網(wǎng)站的監(jiān)控。同時(shí)產(chǎn)品中擁有豐富的幫助文檔，即使您沒(méi)有接觸過(guò)類(lèi)似產(chǎn)品，在幫助文檔的指引下也可以順利的完成操作?？梢栽诠芾砥脚_(tái)中根據(jù)您設(shè)置對(duì)網(wǎng)站安全情況進(jìn)行日?qǐng)?bào)、周報(bào)、月報(bào)的報(bào)告通告，并通過(guò)郵件及時(shí)通知您。 智能管理l 主動(dòng)掃描模式，被動(dòng)防御模式主動(dòng)掃描模式可主動(dòng)更深入的測(cè)查出網(wǎng)站所存在的安全隱患，可主動(dòng)發(fā)現(xiàn)各種網(wǎng)頁(yè)掛馬、敏感詞的出現(xiàn)、以及網(wǎng)站實(shí)時(shí)性能的一個(gè)總體分析。您可隨意調(diào)整掃描模式，達(dá)到預(yù)期效果。被動(dòng)防御模式可全天候監(jiān)測(cè)網(wǎng)站異常，并在異常出現(xiàn)第一時(shí)間預(yù)警通您。l 節(jié)省投資與管理成本提供365*7*24全天候的在線(xiàn)木馬監(jiān)測(cè)服務(wù)，讓您的站點(diǎn)每一分鐘都在監(jiān)控中。 大大節(jié)省您在安全設(shè)備采購(gòu)的投資，并且您無(wú)需親自動(dòng)手操作各種安全設(shè)備，避免在使用設(shè)備過(guò)程中的繁瑣，節(jié)省您的時(shí)間和精力。l 訂閱故障統(tǒng)計(jì)報(bào)告站點(diǎn)安全情況可根據(jù)用戶(hù)需求進(jìn)行訂閱，讓用戶(hù)能夠了解到行業(yè)內(nèi)、地域內(nèi)站點(diǎn)的安全情況，及時(shí)做好維護(hù)升級(jí)，避免不必要的損失。 輸出成果網(wǎng)站安全監(jiān)控的輸出成果如下：l 《XXX網(wǎng)站安全監(jiān)控周報(bào)》l 《XXX網(wǎng)站安全監(jiān)控月報(bào)》 滲透測(cè)試服務(wù)滲透測(cè)試服務(wù)，是在XXX授權(quán)的前提下，以模擬黑客攻擊的方式，對(duì)XXX網(wǎng)站的安全漏洞、安全隱患進(jìn)行全面檢測(cè)，最終目標(biāo)是查找網(wǎng)站的安全漏洞、評(píng)估網(wǎng)站的安全狀態(tài)、提供漏洞修復(fù)建議。在滲透過(guò)程中，我們會(huì)采用業(yè)界領(lǐng)先的漏洞檢測(cè)技術(shù)、攻擊技術(shù)、攻擊工具和迪普安全團(tuán)隊(duì)編寫(xiě)的腳本。過(guò)程分為四步：計(jì)劃與準(zhǔn)備、信息收集、實(shí)施滲透、輸出報(bào)告。計(jì)劃與準(zhǔn)備階段主要是根據(jù)網(wǎng)站反饋的內(nèi)容制定項(xiàng)目實(shí)施方案與計(jì)劃；信息收集與實(shí)施滲透是項(xiàng)目的實(shí)施階段，輸出報(bào)告主要是匯總和評(píng)估項(xiàng)目中發(fā)現(xiàn)的安全威脅，并輸出文檔。1234 測(cè)試方法我司提供的滲透測(cè)試服務(wù)，采用的測(cè)試方法如下。l 信息搜集信息探測(cè)階段包括信息收集，端口、服務(wù)掃描，計(jì)算機(jī)漏洞檢測(cè)，此階段主要做滲透前的踩點(diǎn)用。使用工具：l Maltego ，搜集管理員、tel、常用id，網(wǎng)絡(luò)拓?fù)涞萳 Nmap ，端口、服務(wù)掃描，弱口令破解，系統(tǒng)信息探測(cè)