通过模拟黑客可能使用的攻击技术和漏洞发现技术,对客户指定目标系统的安全作深入检测,从应用攻击入手,围绕业务系统进行逐步渗透攻击,获取网络、应用、数据库的重要资源,寻找系统的薄弱点,以此帮助客户了解自身网络和应用系统的弱点,并验证评估结果,最终提出更精确、更有效的解决方案。
由于采用可控制的、非破坏性的渗透测试,因此不会对被测试应用系统造成严重的影响。在渗透测试结束后,应用系统将保持正常运行状态。应用系统渗透测试服务的所有细节和风险,都会提前告知客户,并且所有过程都在客户的控制下进行,这也是渗透测试服务与黑客攻击入侵的本质不同。
渗透测试服务内容:
操作系统:对Windows、Solaris、Aix、Linux等操作系统本身进行渗透测试;
数据库系统:对MS-SQL、Oracle、MYSQL、SYBASE等数据库系统进行渗透测试;
应用系统:对各种应用系统,如ASP、CGI、JSP、PHP等网站应用进行渗透测试;
网络设备:对路由器、防火墙、入侵检测系统等网络设备进行渗透测试。
渗透测试流程:
1.委托受理阶段:售前与委托单位就渗透测试项目进行沟通,签署《保密协议》,接收被测单位提交的资料,成立渗透测试项目组。
2.准备阶段:依据委托单位提供的文档和调查数据,编写制定《信息系统渗透测试方案》
3.实施阶段:明确渗透测试项目组测试人员分工。测试完成后,项目经理整理测试数数据,形成《信息系统渗透测试报告》。
4.评估阶段:项目组向委托单位提交渗透测试报告,根据委托单位需要可召开报告评审会议,对报告进行评审。
5.评估结束阶段:项目组将渗透测试过程中形成的各类文档、记录进行整理,并且归档。
渗透测试服务价值:
1、为客户的信息安全防御提供有价值指导信息。
2、高强度检测系统存在的安全漏洞,弥补常规安全评估存在不足。
3、发现客户信息系统底层架构存在安全漏洞隐患。