XXX公司渗透测试方案

XXXXXX 渗透测试方案渗透测试方案 ■■ 文档编号文档编号 ■■ 版本编号版本编号 ■■ 密级密级 ■■ 日期日期 ■■ 版本变更记录版本变更记录 时间时间版本版本说明说明修改人修改人 ■■ 适用性声明适用性声明 本文档是（以下简称“某某”）为 XXX（以下简称“XXX”）提交的渗透测试方案，供 XXX 的项目相关 人员阅读。 目录 一一. . 1.1 1.2 1.3 二二. . 2.1 2.2 2.3 2.4 2.5 概述概述. 1. 1 项目背景. 1 实施目的. 1 服务目标. 2 远程渗透测试介绍远程渗透测试介绍. 3. 3 渗透测试原理. 3 渗透测试流程. 3 渗透测试的风险规避 . 6 渗透测试的收益 . 7 渗透工具介绍. 7 系统自带工具. 8 自由软件和渗透测试工具. 8 2.5.1 2.5.2 三三. . 3.1 3.2 3.3 3.4 3.5 四四. . 五五. . 附录附录 A A 项目实施计划项目实施计划 . 10 . 10 方案制定. 10 信息收集. 11 测试实施. 11 报告输出. 15 安全复查. 15 交付成果交付成果. . 15 15 某某渗透测试的优势某某渗透测试的优势. 16. 16 某某公司简介某某公司简介 . .错误未定义书签。 - I - 一一. . 概述概述 1.11.1项目背景项目背景 XXX成立于1992年，注册资金7亿元，具有中国房地产开发企业一级资质，总资产300 多亿元，是一个涵盖房地产开发、商业管理、物业管理、商贸代理、综合投资业务的大型集 团企业。 多年来，XXX 信息系统的发展与信息化的建设密不可分，并且通过领导重视、业务需 求、自身努力已经将信息化程度提高到一定的水平。但近年来针对XXX 信息系统的安全事件 时有发生，网络面临的安全威胁日益严重。随着业务需求不断地增加、网络结构日趋复杂， 信息系统面临的安全威胁、威胁的主体及其动机和能力、威胁的客体等方面都变得更加复杂 和难于控制。 XXX 信息系统的建设是由业务系统的驱动建设而成的，初始的网络建设大多没有统一的 安全规划，而业务系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不 相同。在支持业务不断发展的前提下，如何保证系统的安全性是一个巨大的挑战，对系统进 行区域划分，进行层次化、有重点的保护是保证系统和信息安全的有效手段，信息安全体系 化的建设与开展迫在眉睫。 1.21.2实施目的实施目的 信息安全越来越成为保障企业网络的稳定运行的重要元素。XXX 信息系统经过多年的实 践和摸索，已经初具规模，在技术上、产品方面取得了很大的成就，但随着企业面临的安全 威胁不断变化，单纯地靠产品来解决各类信息安全问题已经不能满足XXX 的实际安全需求。 从根本上解决目前企业所面临的信息安全难题，只靠技术和产品是不够的，服务将直接影响 到解决各类安全问题的效果。 对于已经实施了安全防护措施 （安全产品、 安全服务） 或者即将实施安全防护措施的XXX 而言， 明确 - 1 - 网络当前的安全现状对下一步的安全建设具有重大的指导意义。所以本次项目的目的是通过 远程渗透测试全面检测 XXX 信息系统目前存在安全隐患，为下一步信息安全建设提供依据。 我们相信，凭借某某多年的安全技术积累和丰富的安全服务项目经验，能够圆满的完成 本次安全服务项目。同时，我们也希望能继续保持和XXX 在信息安全项目上长期的合作，共 同为 XXX 信息系统的安全建设贡献力量。 1.31.3服务目标服务目标 某某在本次 XXX 信息安全服务项目中将达到以下的目标 通过远程渗透测试全面检测XXX 信息系统直接暴露在互联网上的安全隐患，并提供 实际可行的安全修复建议。 - 2 - 二二. . 远程渗透测试介绍远程渗透测试介绍 2.12.1渗透测试原理渗透测试原理 渗透测试过程主要依据某某安全专家已经掌握的安全漏洞信息，模拟黑客的真实攻击方 法对系统和网络进行非破坏性质的攻击性测试。这里，所有的渗透测试行为将在客户的书面 明确授权和监督下进行。 2.22.2渗透测试流程渗透测试流程 方案制定方案制定 某某获取到 XXX 的书面授权许可后，才进行渗透测试的实施。并且将实施范围、方法、 时间、人员等具体的方案与XXX 进行交流，并得到 XXX 的认同。 在测试实施之前，某某会做到让 XXX 对渗透测试过程和风险的知晓， 使随后的正式测试 流程都在 XXX 的控制下。 信息收集信息收集 这包括操作系统类型指纹收集；网络拓扑结构分析；端口扫描和目标系统提供的服务 识别等。可以采用一些商业安全评估系统（如 ISS、极光等）；免费的检测工具（ NESSUS、 Nmap 等）进行收集。 测试实施测试实施 在规避防火墙、入侵检测、防毒软件等安全产品监控的条件下进行操作系统可检测到 的漏洞测试、应用系统检测到的漏洞测试（如Web 应用），此阶段如果成功的话，可能获 得普通权限。 渗透测试人员可能用到的测试手段有扫描分析、溢出测试、口令爆破、社会工程学、 客户端攻击、中间人攻击等，用于测试人员顺利完成工程。在获取到普通权限后，尝试由普 - 3 - 通权限提升为管理员权限，获得对系统的完全控制权。一旦成功控制一台或多台服务器后， 测试人员将利用这些被控制的服务器作为跳板，绕过防火墙或其他安全设备的防护，从而对 内网其他服务器和客户端进行进一步的渗透。此过程将循环进行，直到测试完成。最后由渗 透测试人员清除中间数据。 报告输出报告输出 渗透测试人员根据测试的过程结果编写直观的渗透测试服务报告。内容包括具体的操 作步骤描述；响应分析以及最后的安全修复建议。 安全复查安全复查 渗透测试完成后，某某协助XXX 对已发现的安全隐患进行修复。修复完成后，某某渗透 测试工程师对修复的成果再次进行远程测试复查，对修复的结果进行检验，确保修复结果的 有效性。 下图是更为详细的步骤拆分示意图 - 4 - 某某渗透测试流程图某某渗透测试流程图 - 5 - 2.32.3渗透测试的风险规避渗透测试的风险规避 在渗透测试过程中，虽然我们会尽量避免做影响正常业务运行的操作，也会实施风险规 避的计策，但是由于测试过程变化多端，渗透测试服务仍然有可能对网络、系统运行造成一 定不同程度的影响，严重的后果是可能造成服务停止，甚至是宕机。比如渗透人员实施系统 权限提升操作时，突遇系统停电，再次重启时可能会出现系统无法启动的故障等。 因此，我们会在渗透测试前与XXX 详细讨论渗透方案，并采取如下多条策略来规避渗透 测试带来的风险 时间策略时间策略 为减轻渗透测试造成的压力和预备风险排除时间，一般的安排测试时间在业务量不高的 时间段。 测试策略测试策略 为了防范测试导致业务的中断，可以不做一些拒绝服务类的测试。非常重要的系统不建 议做深入的测试，避免意外崩溃而造成不可挽回的损失；具体测试过程中，最终结果可以由 测试人员做推测，而不实施危险的操作步骤加以验证等。 备份策略备份策略 为防范渗透过程中的异常问题，测试的目标系统需要事先做一个完整的数据备份，以便 在问题发生后能及时恢复工作。 对于核心业务系统等不可接受可能风险的系统的测试