XXX公司渗透测试方案.docVIP

XXX渗透测试方案 ■ 文档编号 ■ 密级 ■ 版本编号 ■ 日期 ！  ■ 版本变更记录 时间 版本 说明 修改人 ■ 适用性声明 本文档是（以下简称“某某”）为XXX（以下简称“XXX”）提交的渗透测试方案，供XXX的项目相关人员阅读。 目录 一. 概述 1 1.1 项目背景 1 1.2 实施目的 1 1.3 服务目标 2 二. 远程渗透测试介绍 3 2.1 渗透测试原理 3 2.2 渗透测试流程 3 2.3 渗透测试的风险规避 6 2.4 渗透测试的收益 7 2.5 渗透工具介绍 7 2.5.1 系统自带工具 8 2.5.2 自由软件和渗透测试工具 8 三. 项目实施计划 10 3.1 方案制定 10 3.2 信息收集 11 3.3 测试实施 11 3.4 报告输出 15 3.5 安全复查 15 四. 交付成果 16 五. 某某渗透测试的优势 16 附录A 某某公司简介 19 概述 项目背景 XXX成立于1992年，注册资金7亿元，具有中国房地产开发企业一级资质，总资产300多亿元，是一个涵盖房地产开发、商业管理、物业管理、商贸代理、综合投资业务的大型集团企业。 多年来，XXX信息系统的发展与信息化的建设密不可分，并且通过领导重视、业务需求、自身努力已经将信息化程度提高到一定的水平。但近年来针对XXX信息系统的安全事件时有发生，网络面临的安全威胁日益严重。随着业务需求不断地增加、网络结构日趋复杂，信息系统面临的安全威胁、威胁的主体及其动机和能力、威胁的客体等方面都变得更加复杂和难于控制。 XXX信息系统的建设是由业务系统的驱动建设而成的，初始的网络建设大多没有统一规划，系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。在支持业务不断发展的前提下，如何保证系统的安全性是一个巨大的挑战，对系统进行区域划分，进行层次化、有重点的保护是保证系统和信息安全的有效手段信息安全越来越成为保障企业网络的稳定运行的重要元素。经过多年的实践和摸索，已经初具规模，在技术上、产品方面取得了很大的成就，但随着企业面临的安全威胁不断变化，单纯地靠产品来解决各类信息安全问题已经不能满足的实际安全需求。从根本上解决目前企业所面临的信息安全难题，只靠技术和产品是不够的，服务将直接影响到解决各类安全问题的效果。 对于已经了安全防护措施（安全产品、安全服务）或者即将安全防护措施的而言，明确网络当前的安全现状对下一步的安全建设有重大的指导意义。 远程渗透测试介绍 渗透测试原理 渗透测试过程主要依据某某安全专家已经掌握的安全漏洞信息，模拟黑客的真实攻击方法对系统和网络进行非破坏性质的攻击性测试。这里，所有的渗透测试行为将在客户的书面明确授权和监督下进行。 渗透测试流程 方案制定 某某获取到XXX的书面授权许可后，才进行渗透测试的实施。并且将实施范围、方法、时间、人员等具体的方案与XXX进行交流，并得到XXX的认同。 在测试实施之前，某某会做到让XXX对渗透测试过程和风险的知晓，使随后的正式测试流程都在XXX的控制下。 信息收集 这包括：操作系统类型指纹收集；网络拓扑结构分析；端口扫描和目标系统提供的服务识别等。可以采用一些商业安全评估系统（如：ISS、极光等）；免费的检测工具（NESSUS、Nmap等）进行收集。 测试实施 在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行：操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试（如：Web应用），此阶段如果成功的话，可能获得普通权限。渗透测试，测试尝试由普通权限提升为管理员权限，获得对系统的完全控制权。渗透测试清除中间数据。输出渗透测试根据测试的结果编写直观的渗透测试服务报告。 某某渗透测试流程图 渗透测试的风险规避 在渗透测试过程中，虽然我们尽量避免影响正常业务运行，也会风险规避的，但是由于测试，渗透测试服务仍然有可能对网络、系统运行造成一定不同程度的影响，可能造成服务停止，甚至是宕机 我们的渗透测试人员在XXX约定的范围、时间内实施测试，而XXX人员可以与此同时进行相关的检测监控工作，测试自己能不能发现正在进行的渗透测试过程，从中真实的评估自己的检测预警能力。 渗透工具介绍 渗透测试人员模拟黑客入侵攻击的过程中使用的是操作系统自带网络应用、管理和诊断工具、黑客可以在网络上免费下载的扫描器、远程入侵代码和本地提升权限代码以及某某自主开发的安全扫描工具。 这些工具经过全球数以万计的程序员、网络管理员、安全专家以及黑客的测试和实际应用，在技术上已经非常成熟，实现了网络检查和安全测试的高度可控性，能够根据使用者的实际要求进行有针对性的测试。但是安全工具本身也是一把双刃剑，为了做到万无一失，我们也将针对系统可能出现