3-渗透测试服务-产品白皮书_V2.5_20190506.docxVIP

渗透测试服务 ——产品白皮书 2019 年 05 月  █ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，所有版权均属奇安信集团所有，受到有关产权及版权法保护。任何个人、机构未经奇安信集团的书面授权许可，不得以任何方式复制或引用本文的任何片断。 █ 版本变更记录 时间 版本 说明 修改人 2018-11-02 V1.0~V2.2 创建并修改 黄贵仁，周培源 2019-03-23 V2.3 微调及调整格式 安首鹏 2019-05-06 V2.4~V2.5 品牌切换 安首鹏 █ 适用性说明 本模板用于撰写奇安信集团中各种正式文件，包括技术手册、标书、白皮书、会议通知、公司制度等文档使用。 目 录 1 背景 1 2 典型应用场景 2 3 服务目标与价值 3 3.1 全面安全检测 3 3.2 安全能力提升 3 3.3 合法合规运营 3 4 服务内容 4 4.1 系统层安全渗透测试 4 4.2 中间件层安全渗透测试 5 4.3 WEB应用层安全渗透测试 6 4.4 整改建议和复测 8 5 服务优势 9 5.1 东半球最强大的的安全服务团队 9 5.2 基于大数据的“威胁情报”能力 10 5.3 丰富的项目经验 10 5.4 全面的安全服务资质 11 6 总结 12 背景 近些年来随着信息技术的普及和发展，互联网威胁和攻击技术也相伴而生，信息系统面临着日益增大的安全风险，特别是面向互联网提供服务的业务系统应用，一旦存在的安全漏洞如SQL注入、跨站点脚本攻击、未经授权的用户访问、反序列化漏洞等，信息系统非常容易遭受攻击和利用，单位内部数据极有可能被攻击者非法获取，这将给企业单位/个人带来潜在的数据泄露、经济损失以及机构名誉损失，因此需要站在攻击者和非法恶意用户的角度及时发现业务系统存在的信息安全隐患，消除潜在的致命的信息安全威胁、弥补常规信息安全工作的不足，提升信息系统安全防护水平，已经成为了目前迫切需要解决的问题。  典型应用场景 企业/单位已对安全进行投入，但难以确认安全防护效果。 担忧机密资料外泄、用户资料外泄的客户。 用户开发完毕的新系统平台需要上线前检查。 线上业务系统发现安全漏洞或被监管单位通报。 监管行业客户：如公安部网监业务部门、国家安全部面向互联网监管业务部门、工信部国家互联网应急中心、各省分中心和各省通信管理局等，需要对辖区范围内的网站安全进行管控。  服务目标与价值 全面安全检测 奇安信渗透测试服务，依托奇安信大量经验丰富的攻防技术专家及多年积累的丰富渗透测试经验，以渗透测试作为切入点，对网络中的关键信息系统进行全面深入的模拟黑客攻击测试，从而找出信息系统中存在的缺陷和漏洞；能够清晰了解目前业务系统的安全短板，以便采取必要的防范措施。然后以渗透测试结论为依据，对整个信息系统中的高危漏洞进行安全加固。经过上述一系列系统信息安全建设，能够在很大程度上提高信息系统的系统安全性和业务连续性，使之能够更好的为广大用户服务。 安全能力提升 奇安信渗透测试服务的渗透测试报告，包含详细的测试过程和修复建议、当前互联网安全最新最全的攻击手法，可作为内部安全意识学习案例，对信息系统的相关人员进行培训教育使用。有效提高信息系统相关人员的网络安全认知度和网络安全能力。 合法合规运营 渗透测试是网络安全规范和法律的基本要求，如信息安全等级保护、网络安全法等法律法规对信息系统均有要求进行渗透测试，通过奇安信渗透测试服务，可满足信息安全等级保护、网络安全法等法律法规对渗透测试的要求。同时可以提前发现信息系统存在的安全问题，规避因网络安全问题导致单位形象和经济损失风险。  服务内容 系统层安全渗透测试 系统层安全渗透测试包括但不限于如下内容： 口令猜解：针对操作系统、数据库等应用的口令登录安全进行测试，利用自动化工具，并通过使用密码字典文件，大量尝试登录单位内部的系统，进而找出存在空口令、弱口令的系统账号。该测试存在一定的安全风险，因为当系统设备启用密码登录安全策略时，大量的尝试会造成账号锁定，导致拒绝服务攻击发生，故执行相关操作时需特别当心。 溢出测试：当无法直接利用帐户口令登陆系统时，也会采用系统溢出的方法直接获得系统控制权限，此方法有时会导致系统死机或从新启动，但不会导致系统数据丢失，如出现死机等故障，只要将系统从新启动并开启原有服务即可。 敏感信息泄露：敏感信息的泄露会使系统存在于风险当中，如开启了不需要的服务、服务端口不恰当的对非授权区域开放、DNS区域传送机制未合理配置、特定系统服务（如telnet、SSH、FTP等）旗标未修改屏蔽等，此类敏感信息的不合理控制，会给攻击者的信息收集以及系统攻击工作带来极大便利，因此，在本服务测试中网神将对此类信息进行重点排查。 系统安全管理：