風(fēng)險(xiǎn)評(píng)估
通過(guò)結(jié)合客戶行業(yè)的業(yè)務(wù)特點(diǎn)和系統(tǒng)現(xiàn)狀,對(duì)客戶的整體信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,識(shí)別和評(píng)估信息資產(chǎn)的重要性、安全威脅的可能性、安全脆弱性的嚴(yán)重程度、以及安全控制措施的有效性等要素,對(duì)所有評(píng)估發(fā)現(xiàn)的不可接受風(fēng)險(xiǎn)給出對(duì)應(yīng)的安全處置和加固建議,協(xié)助客戶提升對(duì)重要信息系統(tǒng)的安全風(fēng)險(xiǎn)管理和安全保障能力。
信息安全滲透測(cè)試是通過(guò)模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù),對(duì)客戶指定目標(biāo)系統(tǒng)的安全作深入檢測(cè),從應(yīng)用攻擊入手,圍繞業(yè)務(wù)系統(tǒng)進(jìn)行逐步滲透攻擊,嘗試獲取網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)庫(kù)的重要資源,尋找系統(tǒng)的薄弱點(diǎn),并驗(yàn)證評(píng)估結(jié)果,最終提出有針對(duì)性的安全解決方案。 由于采用可控制的、非破壞性的滲透測(cè)試,因此不會(huì)對(duì)被測(cè)試應(yīng)用系統(tǒng)造成嚴(yán)重的影響。應(yīng)用系統(tǒng)滲透測(cè)試服務(wù)的所有細(xì)節(jié)和風(fēng)險(xiǎn),都會(huì)提前告知客戶,并且所有過(guò)程都在客戶的控制下進(jìn)行。 信息安全滲透測(cè)試內(nèi)容
? 操作系統(tǒng):對(duì)Windows、Solaris、Aix、Linux等操作系統(tǒng)本身進(jìn)行滲透測(cè)試;
? 數(shù)據(jù)庫(kù)系統(tǒng):對(duì)MS-SQL、Oracle、MYSQL、SYBASE等數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行滲透測(cè)試;
? 應(yīng)用系統(tǒng):對(duì)各種應(yīng)用系統(tǒng),如ASP、CGI、JSP、PHP等網(wǎng)站應(yīng)用進(jìn)行滲透測(cè)試;
? 網(wǎng)絡(luò)設(shè)備:對(duì)路由器、防火墻、入侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測(cè)試。
信息系統(tǒng)滲透測(cè)試類型
第一類型:互聯(lián)網(wǎng)滲透測(cè)試,是通過(guò)互聯(lián)網(wǎng)發(fā)起遠(yuǎn)程攻擊,比其他類型的滲透測(cè)試更能說(shuō)明漏洞的嚴(yán)重性;
第二類型:政務(wù)外網(wǎng)滲透測(cè)試,通過(guò)接入北京市政務(wù)外網(wǎng)發(fā)起遠(yuǎn)程攻擊;
第三類型:內(nèi)網(wǎng)滲透測(cè)試,通過(guò)接入內(nèi)部網(wǎng)絡(luò)發(fā)起內(nèi)部攻擊。
風(fēng)險(xiǎn)評(píng)估模型
安全滲透測(cè)試概述信息安全滲透測(cè)試是通過(guò)模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù),對(duì)客戶指定目標(biāo)系統(tǒng)的安全作深入檢測(cè),從應(yīng)用攻擊入手,圍繞業(yè)務(wù)系統(tǒng)進(jìn)行逐步滲透攻擊,嘗試獲取網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)庫(kù)的重要資源,尋找系統(tǒng)的薄弱點(diǎn),并驗(yàn)證評(píng)估結(jié)果,最終提出有針對(duì)性的安全解決方案。 由于采用可控制的、非破壞性的滲透測(cè)試,因此不會(huì)對(duì)被測(cè)試應(yīng)用系統(tǒng)造成嚴(yán)重的影響。應(yīng)用系統(tǒng)滲透測(cè)試服務(wù)的所有細(xì)節(jié)和風(fēng)險(xiǎn),都會(huì)提前告知客戶,并且所有過(guò)程都在客戶的控制下進(jìn)行。 信息安全滲透測(cè)試內(nèi)容
? 操作系統(tǒng):對(duì)Windows、Solaris、Aix、Linux等操作系統(tǒng)本身進(jìn)行滲透測(cè)試;
? 數(shù)據(jù)庫(kù)系統(tǒng):對(duì)MS-SQL、Oracle、MYSQL、SYBASE等數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行滲透測(cè)試;
? 應(yīng)用系統(tǒng):對(duì)各種應(yīng)用系統(tǒng),如ASP、CGI、JSP、PHP等網(wǎng)站應(yīng)用進(jìn)行滲透測(cè)試;
? 網(wǎng)絡(luò)設(shè)備:對(duì)路由器、防火墻、入侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測(cè)試。
信息系統(tǒng)滲透測(cè)試類型
第一類型:互聯(lián)網(wǎng)滲透測(cè)試,是通過(guò)互聯(lián)網(wǎng)發(fā)起遠(yuǎn)程攻擊,比其他類型的滲透測(cè)試更能說(shuō)明漏洞的嚴(yán)重性;
第二類型:政務(wù)外網(wǎng)滲透測(cè)試,通過(guò)接入北京市政務(wù)外網(wǎng)發(fā)起遠(yuǎn)程攻擊;
第三類型:內(nèi)網(wǎng)滲透測(cè)試,通過(guò)接入內(nèi)部網(wǎng)絡(luò)發(fā)起內(nèi)部攻擊。
風(fēng)險(xiǎn)評(píng)估流程