? 網(wǎng)絡(luò)信息系統(tǒng)滲透性測試安全評估
1.目標(biāo)
模擬黑客入侵的技術(shù)手段對目標(biāo)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全檢查�����,找出目標(biāo)系統(tǒng)是否存在可以被攻擊者真實利用的漏洞以及由此引起的風(fēng)險大小,從而為制定相應(yīng)的應(yīng)對措施與解決方案提供實際的依據(jù)�。2.滲透測試流程
安言咨詢說提供的滲透測試過程主要包括以下階段:
方案制定。獲取到客戶的書面授權(quán)許可后,才進(jìn)行滲透測試的實施��。并且將實施范圍����、方法、時間��、人員等具體的方案與客戶進(jìn)行交流����,并得到客戶的認(rèn)同。在測試實施之前�����,安全顧問會做到讓客戶對滲透測試過程和風(fēng)險的知曉���,使隨后的正式測試流程都在客戶的控制下�。
確定范圍��?���?蛻舾鶕?jù)自己的需要����,確定本次項目的范圍�;允許使用的攻擊手段����,是否允許使用暴力破解、拒絕服務(wù)等手段��。
信息收集���。這包括:操作系統(tǒng)類型指紋收集����;網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析�����;端口掃描和目標(biāo)系統(tǒng)提供的服務(wù)識別等�����?����?梢圆捎靡恍┥虡I(yè)安全評估系統(tǒng)(如:ISS、極光等)����;免費(fèi)的檢測工具(NESSUS、Nmap等)進(jìn)行收集���。
測試實施����。這是整個評估過程中花費(fèi)時間最長的一個階段����,安全工程師利用端口掃描、漏洞掃描等工具對滲透測試的目標(biāo)進(jìn)行安全漏洞檢查�,并根據(jù)掃描結(jié)果篩選可以利用的...
