近年來,政府行業持續推進網際網路+政務雲服務工作,全國各級政府著手開展政務雲資料遷移建設的同時,雲環境的安全威脅也隨之增大。
一直以來,綠盟科技依託其漏洞研究專業技術團隊,研究成果已廣泛應用到眾多安全產品中。多項基於漏洞研發的產品,均獲得國內外眾多獎項,不斷為客戶提供深層次、多角度、全方位的滲透測試服務解決方案,幫助客戶主動發掘存在的漏洞及威脅隱患,有效降低安全風險。
方案流程
綠盟科技滲透測試服務主要分為四個階段,包括測試前期準備階段、測試階段實施、複測階段實施以及成果彙報階段:
前期準備階段
在實施滲透測試工作前,技術人員會和行業客戶對滲透測試服務相關的技術細節進行詳細溝通。由此確認滲透測試的方案,方案內容主要包括確認的滲透測試範圍、最終物件、測試方式、測試要求的時間等內容。同時,客戶簽署滲透測試授權書。
測試階段實施
在測試實施過程中,綠盟科技測試人員首先使用自動化的安全掃描工具,完成初步的資訊收集、服務判斷、版本判斷、補丁判斷等工作。
其次,由人工的方式對安全掃描結果進行確認和分析,並且根據收集的各類資訊進行人工的進一步滲透測試深入。
測試人員依據自動化測試以及人工測試的結果,輸出一份滲透測試報告,提交至客戶方,並對測試中發現的高危風險提出相關的整改建議。
複測階段實施
在經過第一次滲透測試報告提交和溝通後,等待客戶針對滲透測試發現的問題整改或加固。經整改或加固後,測試人員進行迴歸測試,即二次複測。複測結束後提交給客戶複測報告和對複測結果進行溝通。
成果彙報階段
根據一次滲透測試和二次複測結果,整理滲透測試服務輸出成果,最後彙報專案領導。
圖1 滲透測試服務流程
方案優勢
深入化的測試需求分析
綠盟科技在滲透測試開展前期,會從技術層面(網路層、系統層、應用層)著手與使用者進行廣泛溝通,對使用者授權後的軟、硬資產進行採集、彙總、梳理,以便為後續工作的開展奠定良好的基礎。
規範化的滲透測試流程
綠盟科技滲透測試流程分為準備、滲透以及彙報三個基本階段。每個階段均會生成階段文件,在完成滲透測試全流程後,專案經理還將對三個階段的文件進行整理、彙總、提交,並針對過程中遇到的問題進行統一彙報。
綠盟科技提供的滲透測試可將滲透實施階段及複測階段作為兩個獨立而重要環節貫穿於整個滲透測試過程中,並與綠盟科技在專案監控管理方面的優勢進行結合,可對整個滲透測試專案的規範化加以保障。
全面化的滲透測試內容
綠盟科技滲透測試服務圍繞技術層面(系統層、應用層、網路層)展開,並且針對不同層面的安全漏洞及威脅,結合不同綠盟科技技術優勢,為使用者提供具有針對性的改進建議。
快速化的滲透測試周期
綠盟科技滲透測試經驗豐富、流程嚴謹,每個測試環節都有固定的專案階段管理辦法,嚴格規定按照實施計劃開展工作,並由專人對流程進行整體把握與監督控制,從而保證整個滲透測試流程的全面、快速、準確。
方案收益
01 明確安全隱患點
滲透測試是一個從空間到面再到點的過程,測試人員模擬駭客的入侵,從外部整體切入最終落至某個威脅點並加以利用,最終對整個網路產生威脅,以此明確業務系統中的安全隱患點。
02 提高安全意識
如上所述,任何的隱患在滲透測試服務中都可能造成“千里之堤潰於蟻穴”的效果,因此滲透測試服務可有效督促管理人員杜絕任何一處小的缺陷,從而降低整體風險。
03 提高安全技能
在測試人員與使用者的互動過程中,可提升客戶的安全技能。依託專業的滲透測試報告,也可為客戶提供當前流行安全問題的參考。
圖2 綠盟科技滲透測試的優勢