渗透测试服务

字号：大中小

　　A.1 服务概述

　　渗透测试（Penetration Test）是一种模拟黑客攻击的行为，使用黑客的攻击技术和漏洞发现技术，对目标系统的安全作深入的探测，发现系统最脆弱的环节。渗透测试能够直观的让管理人员知道自己网络所面临的安全问题。

　　渗透测试是一种专业的安全服务，能够通过识别安全问题来帮助企业了解当前的安全状况。一份客观、真实、具体有效的渗透测试报告，有助于组织IT管理者用案例说明目前的安全现状，从而增加信息安全的认知程度，甚至提高组织在安全方面的长期策划和预算。

　　信息安全是一个整体工程，渗透测试有助于提高组织中所有成员的安全意识，有助于改善整个企业或组织网络的安全状况。

　　A.2 服务内容　　

渗透测试服务

　　CFCA的渗透测试服务是一个专业而全面的安全服务，我们有一套成熟的渗透测试流程、测试方案、服务文档。CFCA的渗透测试主要包括以下六个方面的内容：

　　■主机系统

　　通过国内外的商业漏洞扫描工具对Windows、Linux、Unix、AIX、Solaris等主流操作系统的已知漏洞进行扫描检测并使用专业工具对发现的漏洞实施验证测试。

　　■网络应用

　　通过远程漏洞扫描挖掘常见的网络应用漏洞，对漏洞进行人工验证测试。对于WEB应用程序，根据OWASP提出的安全测试标准对常见的SQL注入、跨站脚本攻击、信息泄露、文件上传等漏洞进行挖掘和测试。

　　■安全策略

　　在渗透测试服务中，对于客户已有的网络访问控制、网络攻击防护等安全策略及防护措施，测试人员将尝试通过技术手段对现有的安全措施进行绕过和逃逸，进而确认这些安全防护策略和措施的有效性和可靠性。

　　■数据库

　　数据安全是企业安全防护的重点对象，也是渗透测试中的其中一项主要内容。渗透测试服务可以挖掘数据库软件由于安全补丁未安装、安全配置不当、安全策略失效等问题而导致的安全脆弱点并为客户提供安全有效的漏洞修复建议。

　　■业务安全

　　无论是系统漏洞扫描还是应用漏洞扫描都无法直接发现业务系统中的业务安全漏洞，CFCA通过对业务流程、逻辑的梳理，将业务安全测试覆盖到每一个业务操作点，深入挖掘业务操作过程中可能存在的业务安全漏洞。

　　■网络设备

　　渗透测试服务将对客户网络中的网络设备及网络安全设备进行安全测试，利用已知或者挖掘未知的安全漏洞突破网络边界限制和安全控制策略，为客户暴露隐藏的网络安全隐患点。

　　A.3 服务流程

　　您只需要将渗透测试的目标信息资料提供给CFCA的测试人员，在必要的情况下为测试人员提供接入环境。我们的安全服务团队便会对您的系统开展专业而全面的渗透测试服务，为测试发现的安全漏洞提供专业的修复建议，配合您进行漏洞修复并在修复完成后进行漏洞复查测试，在项目交付时提供全套的实施过程文档以及交付物。　

渗透测试服务

　　A.4 客户收益

　　■明确安全隐患点

　　渗透测试是一个从空间到面再到点的过程，测试人员模拟黑客的入侵，从外部整体切入最终落至某个威胁点并加以利用，最终对整个网络产生威胁，以此明确整体系统中的安全隐患点。

　　■提高人员安全意识

　　任何的隐患在渗透测试服务中都可能造成“千里之堤溃于蚁穴”的效果，渗透测试服务可有效督促管理人员杜绝任何一处小的缺陷，从而降低整体风险。

　　■提高人员安全技能

　　在测试人员与客户管理员的交互过程中，可提升客户的安全技能水平。另外，通过专业的渗透测试报告，也能为客户提供当前流行安全问题的参考。