渗透测试服务技术方案.docx

《渗透测试服务技术方案.docx》由会员分享，可在线阅读，更多相关《渗透测试服务技术方案.docx（26页珍藏版）》请在第一文库网上搜索。

1、渗透测试服务技术方案2017年月目录1 安全需求分析41.1 信息系统识别41.2 渗透测试概述51.3 渗透测试分类61.4 安全需求分析72 项目设计方案92.1 项目设计概述92.2 项目设计目标102.3 项目设计原则102.4 项目设计内容123 项目实施方法133.1 项目实施范围133.2 项目实施流程143.3 项目实施启动143.4 阶段一：渗透方案授权153.5 阶段二：渗透信息收集163.6 阶段三：渗透操作验证183.7 阶段四：渗透报告输出193.8 项目交付验收204 项目实施管理204.1 项目实施计划204.2 项目人员计划224.3 项目风险管理224.4 项

2、目变更管理224.5 项目质量管理234.6 项目保密控制255 关于5.1 公司概况5.2 服务优势，错误!未定义书签错误!未定义书签错误!未定义书签错误!未定义书签5.3 服务资质1安全需求分析1.1信息系统识别随着人们进入信息社会，特别是各国政 府相继走上互联网之后，现代行政管理活动 范围日益拓展，行政信息量膨胀增长，信息 化进程逐步加快，使政府已成为整个国家信 息流的交汇点和最大的信息处理站。电子政府是一种新的管理模式，是互联 网革命带来的新的行政实践。电子政府的计 划的重心更多地是放在利用信息技术来改 造政府的服务方式上，计划包括整合政府各 部门信息资源，实现跨部门的联网办公等内 容

3、。信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息 用户和规章制度组成的以处理信息流为目的的人机一体化系统。A信息系统功能：信息系统的五个基本功能：输入、存储、处理、输出和控制。 输入功能：信息系统的输入功能决定于系统所要达到的目的及系统的能力和信息环境 的许可。 存储功能：存储功能指的是系统存储各种信息资料和数据的能力。 处理功能：基于数据仓库技术的联机分析处理(OLAP)和数据挖掘(DM)技术。 输出功能：信息系统的各种功能都是为了保证最终实现最佳的输出功能。 控制功能对构成系统的各种信息处理设备进行控制和管理，对整个信息加工、处理、 传输、输出等环节通过各种程序进行控制

4、。信息系统结构：信息系存在具有的层次模型：物理层、操作系统层、工具层、数据层、功能 层、业务层和用户层。信息系统的结构模式有集中式的结构模式、客户机/服务 器(C/S)结构模式和浏览器/服务器(B/S)结构模式三种。信息系统网络拓扑：图71.2渗透测试概述随着互联网技术的发展，企事业信息业务平台处于一个相对开放的环境中， 由于各类网页应用系统的复杂性和多样性导致系统漏洞层出不穷，病毒木马和恶 意代码网上肆虐，黑客入侵和篡改信息系统的安全事件频繁发生。信息系统安全将成为今后全球性的一大安全课题。中小型企业信息系统以及 企业信息系统应用系统受资金、人才等因素影响，信息系统应用安全问题更为突 出。很

5、多信息系统应用服务器成为黑客危害其他网络安全和攻入内部网络的跳板。 造成信息系统应用安全问题的原因很多，信息系统应用数量非常庞大，而且不断 增长，而信息系统开发人员安全编程意识和能力严重不足，给攻击者留下大量可 乘之机。有些已运行的信息系统应用系统由于难以更改、或更改成本过高，或系渗透测试定义:渗透测试目的:统已加密、或版权问题等原因无法更改也是信息系统安全问题的重要原因。渗透测试，也叫白客攻击测试，它是一种 从攻击者的角度来对主机系统的安全程度进 行安全评估的手段，在对现有信息系统不造成 任何损害的前提下，模拟入侵者对指定系统进 行攻击测试。确定用户系统所存在的安全威胁，及时使 安全管理员发

6、现系统维护和管理中的不足，以 降低安全风险，对应企业重要信息业务安全建 设尤为重要。针对客户重点业务系统渗透测试，以发现、验证系统风险；渗透测试模拟黑客事件能从中找出企业最急需解决的安全问题；渗透测试和工具扫描的结果一起为日后的安全加固安全规划等提供重要依 据；渗透测试以非常明显直观的结果反映出系统的安全现状越来越受到国际/国 内信息安全业界的认可和重视。1.3 渗透测试分类根据渗透方法分类 黑箱测试zeroknowledge testing99渗透者完全处于对系统一无所知的状态。通常，这种类型的测试，最初的信 息获取来自DNS、信息系统、EnIail及各种公开对外的服务器。 白盒测试测试者可

7、以通过正常渠道向被测单位取得各种资料，包括网络拓扑、员工资 料甚至信息系统或其他程序的代码片段，也能与单位其他员工进行面对面的沟通 这类的测试目的是模拟企业内部雇员的越权操作。根据渗透目标分类 主机操作系统渗透对Windows、Solaris、AIX、Linux、SCO、SGl等操作系统本身进行渗透测 试。 数据库系统渗透对 MS-SQL, ORACLE, mysql, infomix, Sybase, DB2 等数据库应用系统进行 渗透测试。 应用系统渗透对渗透目标提供的各种应用，如ASP、CGK JSP、PHP等组成的WWW应用进 行渗透测试。 网络设备渗透对各种防火墙、入侵检测系统、网络

8、设备进行渗透测试。图-21.4 安全需求分析安全风险客户困扰是否担心信息业务系统被黑客入侵？信息系统中是否存在风险或者漏洞？通过什么方法发现这些风险和漏洞？ 对于信息系统中风险和漏洞，如何进行加固防 护？网络中的风险和漏洞的加固防护依据是什么？渗透测试需求分析图-3渗透测试是侵入系统并获得渗透测试对象的最高权限。事后将入侵的 详细过程和细节以报告的形式提交给用户；如何凸显出信息系统风险最严重、最需解决安 全问题？ 确定用户系统所存在的安全威胁，及时使安全管理员发现系统维护和 管理中的不足，以降低安全风险，对应企业重要信息业务安全建设尤为重要；渗透测试主要针对重点业务系统进行，因此将占用主机系统

9、及其所在 的网络环境的部分资源。对于其他的资源没有特殊的要求。在有周密计划、良好 组织的前提下由有经验的专家来进行，不会对系统造成破坏； 渗透测试是一项综合素质要求较高的测试活动，因此对渗透测试人员 也有着较高的要求； 渗透测试可能会涉及到被测试目标组织的机密信息，对人员的保密要 求和职业道德素质有着很高的要求;2项目设计方案5.1 项目设计概述随着网络技术的发展已经深入到社会生活的各个方面。网络新业务的不断兴 起，为国内企事业单位日常办公提供了极大的便利，通过网上办公系统、网上视 频会议系统、电话语音系统、互动式信息系统系统、门户型信息系统等应用，极 大地提高了企事业单位的办公效率。以信息化

10、带动工业化，加快国民经济结构的 战略性调整，实现社会生产力的跨越式发展，是信息建设的首要任务。针对客户信息业务模式特点与安全渗透测试需求，充分了解客户信息系统当 前安全风险现状。对客户信息业务目标系统进行全面、深入、颗粒化的安全风险 识别，以发现信息业务系统存在的安全隐患，让客户明确当前信息系统中存在的 安全问题。提供信息业务针对性的安全解决方案，最大限度降低控制客户业务安 全风险，提高客户业务安全运营核心优势。为此，为客户提供信息系统渗透测试项目设计方案：INkt testMke1:Eiiterinj Iirectiry 7tbind-9.l.lfeitests D Nourittr 12:

11、21:27 2eI =InsJbjNd :1:ftA:A till b dns.gjo(帆fiku*)I(M(J5 tl* COfitwits of thfhise i file Inte ktfstin) IK 川 dft$ alNdJ.dit4 Md i.R:，燃I:4n$adbJs(Klit:2:iAMS thf 保加SXl)NS CKlif swnti(5,a Nil to dnsaftaische(dl) rttr*s ISCJIK.testlj IKIng file i.JscWJiatlI: InsJHMJChf:):1AMNI 而枚曲 has 20M SeMOtiCSlI ti

12、ll(o d.bcM停)Mm IWJIULIKi同 file IIns9JccMJat)信息系统安全渗透测试模拟黑客的攻击方法，在客 户的授权和监督下对客户系统和网络进行非破坏性质 攻击性测试。这种检测方式能够综合验证系统技术防护手段和 安全管理手段的有效性；可以发现逻辑性更强、更深层 次的弱点；让管理者能够直观的了解自己网络和系统的 安全状态。信息系统渗透测试方式工具扫描手工验证图-45.2 项目设计目标对客户信息系统渗透测试安全服务项目的主要目标是：直观体现信息业务安 全风险现状了解当前降低安全风险的初始任务；检验信息系统安全基础设施的有 效性,针对渗透成果获得有效处理方案；防止系统入侵安

13、全隐患再次被黑客利用， 避免业务经济损失数量持续增加；维护客户业务公众形象与声誉，增强对客户可 靠业务环境的信心；最大限度的降低客户安全运营成本，提高信息业务发展安全 竞争力；帮助客户建立一体化信息系统隐患检测机制，渗透成果作为信息系统信 息安全建设参考依据。渗透结果记录渗透安全报告安全解决方案 渗透成果汇总 严重安全问题及 时告知客户 清除检测过程中 间记录文件过程经验总结渗透成果汇报 检测过程 检测深度 检测结果 渗透输出报告渗透成果保密 结合渗透结果报 告和实际信息系 统安全情况提供具 有 针对性的安全解 决建议图-55.3 项目设计原则本项目遵守的符合性、标准性、规范性、可控性、完整性

14、、最小影响原则和 保密原则。符合性原则的技术设计方案、实施方案及项目成果符合国家200327号文件指出的积 极防御、综合防范的方针和等级保护的原则要求。标准性原则的服务方案的设计与实施依据了国内、国际的相关标准，主要有:ISO 17799IATF 15408国内相关安全评估及安全技术标准规范性原则在服务过程中相关管理及文档规范，采用如下办法保障项目质量及对项目 进行跟踪和严格控制：PMl项目管理办法SSE-CMM项目中采用的管理规范及文档标准规范可控性原则将从多个方面配合客户，以便达到对此次项目可控性。这些可控性包括：人员可控性项目组人员的资历将由客户项目负责人认可，保证项目组成员工作的连续

15、性。派遣有经验的安全顾问参加本项目的工作，同时还会安排和有丰富经验的 项目管理人员、质量保证人员、标准化审核人员等支持项目的工作。项目过程可控性实施的工具、方法和过程，双方项目组在进行项目实施之前讨论确认，并形 成正式的文字材料。为了保证工程按进度实施，双方项目组定期举行项目例会, 讨论项目实施情况并确认下一步工作计划。整体性原则安全检测方案将涉及客户信息安全的各个环节和各个层次，全面覆盖客户 全网环境的各点；检测报告将结合客户的安全体系特点。最小影响原则会从项目管理层面和工具技术层面，将检测工作对客户信息系统正常运行 的可能影响降低到最低限度，不会对现网的运行和业务的正常提供产生显著影响。5.4 项目设计内容针对当前客户信息系统业务面