【正文】 信息收集 信息收集分析幾乎是所有入侵攻擊的前提 /前奏 /基礎(chǔ)。 滲透測試方法 及步驟 憑借著在眾多項目中的實施經(jīng)驗，形成了一套具有自身特色且行之有效的 滲透測試方法。 滲透測試流程和授權(quán) 滲透測試流程 滲透測試 授權(quán) 測試 授權(quán) 是進行滲透測試的必要條件。正因為如此，如果換作是一個對企業(yè)組織的相關(guān)情況更為了解的內(nèi)部人員來說，結(jié)合滲透測試中所暴露出來的某些問題，他能更有效和更全面的發(fā)現(xiàn)組織和企業(yè)中一些安全風(fēng)險及問題。 （ 4） 發(fā)現(xiàn)滲透測試和信息安全風(fēng)險評估未暴露的其它安全問題 目前的滲透測試，更多的仍然是從一個外部人員的角度，模擬黑客攻擊的一個過程。 （ 3） 發(fā)現(xiàn)系統(tǒng)或組織里邏輯性更強、更深層次的弱點 滲透測試和工具掃描可以很好的互相補充。 滲透測試的安全意義 從滲透測試中，客戶能夠得到的收益 有： （ 1） 協(xié)助用戶發(fā)現(xiàn)組織中的安全最短木板 一次滲透測試過程也就是一次黑客入侵實例，其中所利用到的攻擊滲透方法，也是其它具備相關(guān)技能的攻擊者所最可能利用到的方法；由滲透測試結(jié)果所暴露出來的問題，往往也是一個企業(yè)或組織中的安全最短木板，結(jié)合這些暴露出來的弱點和問題，可以協(xié)助企業(yè)有效的了解目前降低風(fēng)險的最迫切任務(wù)，使在網(wǎng)絡(luò)安全方面的有限投入可以得到最大的回報。 由于采用可控制的、非破壞性質(zhì)的滲透測試，因此不會對被評估的 客戶信息 系統(tǒng)造成嚴(yán)重的影響。 滲透測試特點 入侵者 的攻擊入侵要利用目標(biāo)網(wǎng)絡(luò)的安全弱點，滲透測試也是同樣的道理。 人工滲透測試 和工具掃描可以很好的互相補充。模 擬 入侵者 的攻擊方法對應(yīng)用 系統(tǒng) 、服務(wù)器系統(tǒng)和網(wǎng)絡(luò) 設(shè)備 進行非破壞性質(zhì)的攻擊性測試。 滲透測試原理 滲透測試主要依據(jù) CVE（ Common Vulnerabilities amp。 滲透測試：主要通過對目標(biāo)系統(tǒng)信息的全面收集、對系統(tǒng)中網(wǎng)路設(shè)備的探測、對服務(wù)器系統(tǒng)主機的漏洞掃描、對應(yīng)用平臺及數(shù)據(jù)庫系統(tǒng)的安全性掃描及通過應(yīng)用系統(tǒng)程序的安全性滲透測試等手段來完成對整個系統(tǒng)的安全性滲透檢測。 具體服務(wù) 內(nèi)容詳見以下正文。 對服務(wù)系統(tǒng)提供周期性的安全評估 服 務(wù)。 2. 項目 解決方案 該部分重點 針對各類系統(tǒng)， 主動發(fā)現(xiàn)安全隱患及不符合相關(guān)規(guī)范的問題，及時整改，防患未然。 I 年 安全技術(shù) 服務(wù) 技術(shù)建議書 二○一五年十二月 II 目 錄 1. 項目概況簡述 ............................................................................................................................... 1 項目原則 ........................................................................................................................................1 2. 項目解決方案 ............................................................................................................................... 1 滲透測試解決方案 ......................................................................................................................2 代碼審計服務(wù)解決方案 .......................................................................................................... 13 基礎(chǔ)設(shè)備安全評估解決方案 ................................................................................................. 20 應(yīng)急響應(yīng)和演練解 決方案 ...................................................................................................... 50 APP 安全評估解決方案 .......................................................................................................... 53 安全加固整改建議解決方案 ................................................................................................. 60 新業(yè)務(wù)上線安全檢查解決方案 ............................................................................................. 67 安全培訓(xùn)解決方案 ................................................................................................................... 67 3. 項目實施方案 ............................................................................................................................. 70 項目組成員 ................................................................................................................................ 70 項目分工界面 ............................................................................................................................ 73 工作量的計算方法及依據(jù) ...................................................................................................... 78 項目進度 ..................................................................................................................................... 78 項目質(zhì)量保證措施 ................................................................................................................... 80 4. 項目售后服務(wù) ............................................................................................................................. 86 5. 安全工具簡述 ............................................................................................................................. 86 滲透測試工具 ............................................................................................................................ 86 代碼審計工具 ............................................................................................................................ 94 1. 項目概況 簡述 項目 原則 安全 服務(wù)的方案設(shè)計與具體實施滿足以下原則： （ 1） 保密原則：對服務(wù)的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進行任何侵害求方網(wǎng)絡(luò)的行為，否則求方有權(quán)追究的責(zé)任。 （ 2） 標(biāo)準(zhǔn)性原則：服務(wù)方案的設(shè)計與實施依據(jù)國內(nèi)或國際的相關(guān)標(biāo)準(zhǔn)進行； （ 3） 規(guī)范性原則：服務(wù)提供商的工作中的過程和文檔，具有嚴(yán)格的規(guī)范性，可以便于項目的跟蹤和控制； （ 4） 可控性原則：服務(wù)用的工具、方法和過程要在雙方認可的范圍之內(nèi)，服務(wù)的進度要跟上進度表的安排，保證求方對于服務(wù)工作的可控性； （ 5） 整體性原則：服務(wù)的范圍和內(nèi)容當(dāng)整體全面，包括安全涉及的各個層面，避免由于遺漏造成未來的安全隱患； （ 6） 最小影響原則：服務(wù)工作盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運行，不能對現(xiàn)網(wǎng)的運行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)擁塞、服務(wù)中斷，如無法避免出現(xiàn)這些情況在答書上詳細描述）； 針對上述各項 ，在技術(shù)方案中落實諸原則各方面，并予以詳細解釋。主要包括 安全管理咨詢服務(wù)和安全技術(shù)評估服務(wù) 。該服務(wù)嚴(yán)格參照和各類系統(tǒng)安全配置規(guī)范執(zhí)行，防護能力測評按照工信部《網(wǎng)絡(luò)單元安全防護檢測評分方法（試 行）》執(zhí)行。 滲透測試 解決方案 滲透測試簡介 滲透測試概念 滲透測試 （ Peration Test） , 是完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對目標(biāo)系統(tǒng)的安全做深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。該滲透測試是一個完整、系統(tǒng)的測試過程，涵蓋了網(wǎng)絡(luò)層面、主機層面、數(shù)據(jù)層面以及 安全服務(wù) 層面的安全性測試。 Exposures 公共漏洞和暴露 ） 已經(jīng)發(fā)現(xiàn)的安全漏洞， 以及隱患漏洞。 滲透測試目標(biāo) 滲 透 測試?yán)?各種安全掃描器 對網(wǎng)站及 相關(guān) 服務(wù)器 等設(shè)備 進行非破壞性質(zhì)的模擬 入侵者 攻擊，目的是侵入 系統(tǒng)并獲取系統(tǒng) 信息并將入侵的過程和細節(jié)總結(jié)編寫成測試 報告 ， 由此確定存在的安全威脅 ， 并能及時 提醒安全管理員完善安全策略，降低安全風(fēng)險。工具掃描具有很好的效率和速度，但是存在一定的誤報率，不能發(fā)現(xiàn)高層次、復(fù)雜的安全問題；滲透 測試對 測試者的專業(yè)技能很高（滲透測試報告的價值直接依賴于測試者的專業(yè)技能 ），但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強、更深層次的弱點。 測試人員 模擬真正的 入侵者 入侵攻擊方法，以人工滲透為主，輔助以攻擊工具的使用， 以保證 整個滲透測試過程都在可以控制和調(diào)整的范圍之內(nèi) ，同時確保對網(wǎng)絡(luò)沒有造成破壞性的損害 。在滲透測試結(jié)束后， 客戶信息 系統(tǒng)將基本保持一致。 （ 2） 作為網(wǎng)絡(luò)安全狀況方面的具體證據(jù)和真實案例 滲透測試的結(jié)果可以作為向投資方或管理人員提供的網(wǎng)絡(luò)安 全狀況方面的具體證據(jù)，一份文檔齊全有效的滲透測試報告有助于 IT 組織管理者以案例的形式向相關(guān)人員直觀展示目前企業(yè)或組織的安全現(xiàn)狀，從而增強員工對信息安全的認知程度，提高相關(guān)人員的安全意識及素養(yǎng)，甚至提高組織在安全方面的預(yù)算。工具掃描具有很好的效率和速度，但是存在一定的誤報率和漏報率，并且不能發(fā)現(xiàn)高層次、復(fù)雜、 并且相互關(guān)聯(lián)的安全問題；滲透測試的價值直接依賴于實施者的專業(yè)技能和素養(yǎng)但是非常準(zhǔn)確，可以發(fā)現(xiàn)系統(tǒng)和組織里邏輯性更強、更深層次的弱點。往往來