• 

  分(fēn)析準備階段

  确定項目評估範圍，調研客戶管理(lǐ)制度、主要業務(wù)系統和業務(wù)系統功能(néng)、網絡結構與網絡環境。
• 

  現狀評估階段

  通過信息系統資産(chǎn)識别，調研已有(yǒu)安(ān)全措施，确立組織的安(ān)全策略等活動，對信息系統進行詳細的全面摸底，并完成信息資産(chǎn)列表和資産(chǎn)價值賦值。
• 

  威脅評估

  從物(wù)理(lǐ)、網絡、主機、數據、應用(yòng)五個層面分(fēn)析信息資産(chǎn)可(kě)能(néng)面臨的威脅及手段，評估威脅産(chǎn)生的範圍和影響力，并進行賦值分(fēn)析和列表。
• 

  脆弱性評估

  面向信息資産(chǎn)，采用(yòng)諸如安(ān)全訪談與檢查、系統漏洞掃描、WEB漏洞掃描、系統安(ān)全配置參數核查等多(duō)種脆弱性發現技(jì )術，充分(fēn)發現信息系統的技(jì )術弱點、行為(wèi)弱點和管理(lǐ)弱點，并進行專家解讀和賦值，形成信息資産(chǎn)脆弱性清單和脆弱性賦值。
• 

  風險分(fēn)析階段

  通過量化信息資産(chǎn)價值、脆弱性和威脅，采用(yòng)标準風險度量計算方法計算風險，并根據風險量化值分(fēn)級排序，獲得信息系統風險等級清單，進行信息安(ān)全風險象限分(fēn)析。
• 

  風險處置階段

  在充分(fēn)認知和度量信息系統風險的基礎上，結合經驗分(fēn)析，形成權威的安(ān)全評估報告，并對信息系統的風險處置給出專家意見。

滲透測試需要服務(wù)人員盡可(kě)能(néng)完整的模拟黑客使用(yòng)的漏洞發現技(jì )術和攻擊手段，從攻擊者的角度對目标網絡、系統、主機應用(yòng)的安(ān)全性作(zuò)為(wèi)深入的非破壞性的探測，發現系統最脆弱的環節。滲透測試能(néng)夠以非常明顯、直觀的結果反映出系統的安(ān)全現狀，其目的是能(néng)夠讓管理(lǐ)人員直觀的了解自己網絡和系統所面臨的問題。

• 

  網絡方面

  針對該系統所在網絡層進行網絡拓撲的探測、路由測試、防火牆規則試探、規避測試、入侵檢測規則試探、規避測試、無線(xiàn)網安(ān)全、不同網段Vlan之間的滲透、端口掃描等存在漏洞的發現和通過漏洞利用(yòng)來驗證此種威脅可(kě)能(néng)帶來的損失或後果，并提供避免或防範此類威脅、風險或漏洞的具(jù)體(tǐ)改進或加固措施。

  了解更多(duō)
• 

  系統方面

  通過采用(yòng)适當的測試手段，發現測試目标在系統識别、服務(wù)識别、身份認證、數據庫接口模塊、系統漏洞檢測以及驗證等方面存在的安(ān)全隐患，并給出該種隐患可(kě)能(néng)帶來的損失或後果，并提供避免或防範此類威脅、風險或漏洞的具(jù)體(tǐ)改進或加固措施。

  了解更多(duō)
• 

  應用(yòng)方面

  通過采用(yòng)适當測試手段，發現測試目标在系統認證及授權、代碼審查、被信任系統的測試、文(wén)件接口模塊、應急流程測試、信息安(ān)全、報警響應等方面存在的安(ān)全漏洞,演示再現利用(yòng)該漏洞可(kě)能(néng)造成的客戶資金損失，提供避免或防範此類威脅、風險或漏洞的具(jù)體(tǐ)改進或加固措施。

  了解更多(duō)
• 

  實施準備

  1、滲透測試方案及計劃;
  2、滲透測試方案的風險規避。
• 

  信息搜集

  1、域名(míng)及IP分(fēn)布;
  2、網絡拓撲、設備及操作(zuò)系統;
  3、端口及服務(wù);
  4、應用(yòng)系統情況;
  5、最新(xīn)漏洞情況;
  6、其他(tā)信息。
• 

  滲透實施

  1、獲取目标系統權限;
  2、利用(yòng)漏洞或後門木(mù)馬植入，獲取控制;
  3、跳闆滲透，進一步擴展攻擊成果;
  4、獲取敏感信息數據和資源。