【什么是渗透测试】

渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。
这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。

 

【渗透测试的作用】

为了更好地配合客户做好信息安全风险评估,渗透测试服务作为与安全评估服务互为补充的技术服务,以模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全进行深入探测,发现系统最脆弱的环节。
渗透测试能够直观的让管理人员知道系统所面临的问题。

 

【怎么实施渗透测试】

渗透测试主要依据天帷安全专家已经掌握的安全漏洞和安全检测工具,模拟黑客的攻击方法在客户授权和监督下对客户的系统和网络进行非破坏性质的攻击性测试。
渗透测试的范围包括主机操作系统渗透、数据库系统渗透、应用系统渗透和网络设备渗透。

 

【渗透测试流程】

 

【实施方案制定、客户书面同意】
客户书面授权委托,并同意实施方案是进行渗透测试的必要条件。渗透测试首先必须将实施方法、实施时间、实施人员,实施工具等具体的实施方案提交给客户,并得到客户的相应书面委托和授权。应该做到客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制下进行。这也是专业渗透测试服务与黑客攻击入侵的本质不同。
【信息收集分析】
信息收集是每一步渗透攻击的前提,通过信息收集可以有针对性地制定模拟攻击测试计划,提高模拟攻击的成功率,同时可以有效的降低攻击测试对系统正常运行造成的不利影响。
信息收集的方法包括Ping Sweep、DNS Sweep、DNS zone transfer、操作系统指纹判别、应用判别、账号扫描、配置判别等。信息收集常用的工具包括商业网络安全漏洞扫描软件(例如:游刃、极光等),免费安全检测工具(例如:NMAP、NESSUS等)。操作系统内置的许多功能(例如:TELNET、NSLOOKUP、IE等)也可以作为信息收集的有效工具。
【内部计划制定、二次确认】
根据客户设备范围和项目时间计划,并结合前一步初步的信息收集得到的设备存活情况、网络拓扑情况以及扫描得到的服务开放情况、漏洞情况制定内部的详细实施计划。具体包括每个地址下一步可能采用的测试手段,详细时间安排。并将以下一步工作的计划和时间安排与客户进行确认。
【取得权限、提升权限】
通过初步的信息收集分析,存在两种可能性,一种是目标系统存在重大的安全弱点,测试可以直接控制目标系统;另一种是目标系统没有远程重大的安全弱点,但是可以获得普通用户权限,这时可以通过该普通用户权限进一步收集目标系统信息。接下来尽最大努力取得超级用户权限、收集目标主机资料信息,寻求本地权限提升的机会。这样不停的进行信息收集分析、权限提升的结果形成了整个的渗透测试过程。
【生成报告】
渗透测试之后,天帷将会提供一份渗透测试报告。渗透测试报告将会十分详细的说明渗透测试过程中的得到的数据和信息、并且将会详细的纪录整个渗透测试的全部操作。

 

【为什么选择天帷实施网站安全规划与加固】

行业领先的信息安全专业服务提供
提供从咨询、规划、设计、实施到行业整体解决方案全面的服务解决方案
公司员工具有多年的企业安全服务、信息咨询服务经验,以及专业服务实践
基于企业规模,业务模式,应用范围的信息系统的有针对性的服务方案
以客户需求为中心的灵活的服务解决方案设计

 

ITIL® is a registered trade mark of AXELOS Limited