中科匯能MEES護航服務

滲透測試服務


滲透性測試是對安全情況最客觀、最直接的評估方式,主要是模擬黑客的攻擊方法對系統和網絡進行非破壞性質的攻擊性測試,目的是侵入系統,獲取系統控制權并將入侵的過程和細節產生報告給用戶;滲透測試需要投入的人力資源較大、對測試者的專業技能要求很高(滲透測試報告的價值直接依賴于測試者的專業技能),但是非常準確,可以發現邏輯性更強、更深層次的弱點,由此證實用戶系統所存在的安全威脅和風險,并能及時提醒安全管理員完善安全策略。 

1、滲透測試范圍選定

中科匯能根據客戶安全需求及重要業務系統的結構,并充分考慮到體系安全、系統運維、業務運行,測試的范圍確定以下滲透對象網絡設備、主機操作系統、應用系統、數據庫系統。

2、滲透測試接入

中科匯能根據客戶安全體系實施情況及測試需求制定滲透測試接入點。

3、滲透測試方式

(1)內網測試滲透測試人員由內部網絡發起測試,這類測試能夠模擬企業內部違規操作者的行為,并繞過了防火墻的保護;常用滲透方式:遠程緩沖區溢出 ,口令猜測,以及b/s或c/s應用程序測試。

(2)外網測試滲透測試人員完全處于外部網絡,模擬對內部狀態一無所知的外部攻擊者的行為。包括對網絡設備的遠程攻擊,口令管理安全性測試,防火墻規則試探、規避,web及其它開放應用服務的安全性測試。

4、滲透測試方法

(1)黑箱測試

滲透者完全處于對系統一無所知的狀態。通常,這種類型的測試,最初的信息獲取來自DNS、Web、Email及各種公開對外的服務器。

(2)白盒測試

中科匯能可以通過正常渠道向被測單位取得各種資料,包括網絡拓撲、員工資料甚至網站或其他程序的代碼片段,也能與單位其他員工進行面對面的溝通。這類的測試目的是模擬企業內部雇員的越權操作。

(3)隱秘測試

中科匯能隱秘是針對被測單位而言的。通常,接受滲透測試的單位網絡管理部門會收到通知:在某些時間段進行測試。因此能夠檢測網絡中出現的變化。但在隱秘測試中,被測單位也僅有極少數人知曉測試的存在,因此能夠有效地檢驗單位中的信息安全事件監控、響應、恢復做得是否到位。

5、滲透測試實施

1)數據收集

中科匯能通過漏洞掃描工具收集網絡、主機、系統、應用已知漏洞信息,針對目前沒有公開發布的溢出漏洞,采用人工綜合獲取。

2)漏洞分析

中科匯能通過分析收集來的數據,可發現高、中、低三個級別的風險、漏洞、溢出問題,組合成入侵者可能利用的途徑,確認可以被利用的漏洞。

3)漏洞利用

中科匯能利用網絡邊界設備配置漏洞、主機所提供的高風險服務、自行和外包開發的應用程序代碼溢出、數據庫調用注入等問題進行滲透測試。并通過漏洞提升操作權限跳轉相鄰可信系統。

6、綜合分析

中科匯能針對被測目標存在的漏洞被技術利用的可能性進行分析,按照客戶信息安全體系保障的需求對現有信息系統中的設備、主機、系統、應用,對其攻擊者或病毒等非人主體的可利用程度進行量化并賦值。

中科匯能根據滲透測試結果提供分析報告和整改建議方案、安全建設方案、安全體系建設、安全建設、安全運維等提供全生命周期的安全服務。



微信服務

微信公眾號

電話咨詢
解決方案
護航服務
QQ客服
t天天赚钱 股票趋势技术分析下 什么是大盘股票 河北一定牛十一选五走势 北京赛车官网下载 股票配资平台体验 河北十一选五的开奖 云南快乐10分在线预测 finnciti游戏理财平台 湖北11选5前三直遗漏 体彩湖南幸运赛车