涉及如下内容:Р域名及IP分布Р网络拓补、设备及操作系统OSР端口及服务情况Р应用系统情况Р最新漏洞情况Р其它信息(如服务器管理员的相关信息等)Р渗透测试方案细化Р根据预攻击阶段信息收集的结果,对渗透测试方案进行细化,主要是具体漏洞细节及针对这些漏洞的可能采用的测试手段,详细时间安排,以及可能带来的风险,需要客户配合或关注的地方等。方案细化后再次知会客户并取得客户同意授权才能进行下一步操作。Р渗透测试的实施Р在取得客户同意后,开始具体的实施过程,包括如下几方面内容:Р获得目标系统权限Р后门木马植入,保持控制权Р跳板渗透,进一步扩展攻击成果Р获取敏感信息数据或资源Р在实施过程中,特别提请注意的是采取的渗透测试技术及手段一定不能导致对象的业务中断和工作异常,必须对对象的状态进行实时监控,必要的情况下可以要求客户协助进行。Р渗透测试报告Р渗透测试之后,针对每个系统需要向客户提供一份渗透测试报告《相关系统网络渗透测试报告》,报告十分详细的说明渗透测试过程中的得到的数据和信息,并且将会详细的纪录整个渗透测试的全部操作。Р渗透测试报告应包含如下内容:Р渗透结论Р包括目标系统的安全状况、存在的问题、渗透测试的结果等Р渗透测试项目的介绍Р包括项目情况、时间、参与人员、操作地点等Р渗透测试过程Р包括渗透测试的各个实施阶段中的方法、工具、技术及其操作细节等Р渗透测试的证据Р渗透测试的一些过程及证明文件Р解决方案Р针对渗透测试中发现的问题给出对应的解决办法和建议Р附录部分Р渗透测试中的一些其它相关内容,如异常事件的记录和处理等Р三同步工作Р包括网络部、业务支撑与信息部,兼顾全部区公司新上线系统基线达标检查,新上线设备安全配置核查,各域新业务上线安全检查。Р新业务上线安全检查目标Р在新业务上线前,对相关的IT设备、业务系统应用进行安全检查,确保业务系统安全的入网上线,符合集团及上级机关的安全要求。
全文预览
