xxx公司渗透测试方案e8khfa42.docVIP

XXX渗透测试方案 ■ 文档编号 ■ 密级 ■ 版本编号 ■ 日期 ！  ■ 版本变更记录 时间 版本 说明 修改人 ■ 适用性声明 本文档是（以下简称“某某”）为XXX（以下简称“XXX”）提交的渗透测试方案，供XXX的项目相关人员阅读。 目录 TOC \h \z \t 绿盟科技--附录1,1,绿盟科技--附录2,2,绿盟科技--附录3,3,绿盟科技--标题 1,1,绿盟科技--标题 2,2,绿盟科技--标题 3,3 HYPERLINK \l _Toc282975428 一. 概述 PAGEREF _Toc282975428 \h 1 HYPERLINK \l _Toc282975429 1.1 项目背景 PAGEREF _Toc282975429 \h 1 HYPERLINK \l _Toc282975430 1.2 实施目的 PAGEREF _Toc282975430 \h 1 HYPERLINK \l _Toc282975431 1.3 服务目标 PAGEREF _Toc282975431 \h 2 HYPERLINK \l _Toc282975432 二. 远程渗透测试介绍 PAGEREF _Toc282975432 \h 3 HYPERLINK \l _Toc282975433 2.1 渗透测试原理 PAGEREF _Toc282975433 \h 3 HYPERLINK \l _Toc282975434 2.2 渗透测试流程 PAGEREF _Toc282975434 \h 3 HYPERLINK \l _Toc282975435 2.3 渗透测试的风险规避 PAGEREF _Toc282975435 \h 6 HYPERLINK \l _Toc282975436 2.4 渗透测试的收益 PAGEREF _Toc282975436 \h 7 HYPERLINK \l _Toc282975437 2.5 渗透工具介绍 PAGEREF _Toc282975437 \h 7 HYPERLINK \l _Toc282975438 2.5.1 系统自带工具 PAGEREF _Toc282975438 \h 8 HYPERLINK \l _Toc282975439 2.5.2 自由软件和渗透测试工具 PAGEREF _Toc282975439 \h 8 HYPERLINK \l _Toc282975440 三. 项目实施计划 PAGEREF _Toc282975440 \h 10 HYPERLINK \l _Toc282975441 3.1 方案制定 PAGEREF _Toc282975441 \h 10 HYPERLINK \l _Toc282975442 3.2 信息收集 PAGEREF _Toc282975442 \h 11 HYPERLINK \l _Toc282975443 3.3 测试实施 PAGEREF _Toc282975443 \h 11 HYPERLINK \l _Toc282975444 3.4 报告输出 PAGEREF _Toc282975444 \h 15 HYPERLINK \l _Toc282975445 3.5 安全复查 PAGEREF _Toc282975445 \h 15 HYPERLINK \l _Toc282975446 四. 交付成果 PAGEREF _Toc282975446 \h 16 HYPERLINK \l _Toc282975447 五. 某某渗透测试的优势 PAGEREF _Toc282975447 \h 16 HYPERLINK \l _Toc282975448 附录A 某某公司简介 PAGEREF _Toc282975448 \h 19 PAGE 概述 项目背景 XXX成立于1992年，注册资金7亿元，具有中国房地产开发企业一级资质，总资产300多亿元，是一个涵盖房地产开发、商业管理、物业管理、商贸代理、综合投资业务的大型集团企业。 多年来，XXX信息系统的发展与信息化的建设密不可分，并且通过领导重视、业务需求、自身努力已经将信息化程度提高到一定的水平。但近年来针对XXX信息系统的安全事件时有发生，网络面临的安全威胁日益严重。随着业务需求不断地增加、网络结构日趋复杂，信息系统面临的安全威胁、威胁的主体及其动机和能力、威胁的客体等方面都变得更加复杂和难于控制。 XXX信息系统的建设是由业务系统的驱动建设而成的，初始的网络建设大多没有统一的安全规划，而业务系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。在支持业务不断发展的前提下，如何保证系统的安全性是一个巨