XXX公司滲透測試方案

1、XXX滲透測試方案文檔編號密級版本編號日期版本變更記錄時間版本說明修改人適用性聲明本文檔是（以下簡稱“某某”）為 XXXXXX（以下簡稱“XXXXXX”）提交的滲透測試方案，供 XXXXXX 的項目相關人員閱讀。目錄一.概述13.2項目背景13.3實施目的13.4服務目標2二.遠程滲透測試介紹3滲透測t原理3滲透測t流程3滲透測試的風險規(guī)避6滲透測試的收益7滲透工具介紹7系統(tǒng)自帶工具8自由軟件和滲透測試工具8三.項目實施計劃1031方案制定10信息收集11測試實旅11報告輸出15安全雋杳15四.交付成果16五.某某滲透測t的優(yōu)勢16附錄A某某公司簡介19概述項目背景XXXXXX 成立于 199

2、21992 年，注冊資金 7 7 億元，具有中國房地產(chǎn)開發(fā)企業(yè)一級資質，總資產(chǎn) 300300多億元，是一個涵蓋房地產(chǎn)開發(fā)、商業(yè)管理、物業(yè)管理、商貿(mào)代理、綜合投資業(yè)務的大型集團企業(yè)。多年來，XXXXXX 信息系統(tǒng)的發(fā)展與信息化的建設密不可分，并且通過領導重視、業(yè)務需求、自身努力已經(jīng)將信息化程度提高到一定的水平。但近年來針對 XXXXXX 信息系統(tǒng)的安全事件時有發(fā)生，網(wǎng)絡面臨的安全威脅日益嚴重。隨著業(yè)務需求不斷地增加、網(wǎng)絡結構日趨復雜，信息系統(tǒng)面臨的安全威脅、威脅的主體及其動機和能力、威脅的客體等方面都變得更加復雜和難于控制。XXXXXX 信息系統(tǒng)的建設是由業(yè)務系統(tǒng)的驅動建設而成的，初始的網(wǎng)絡建設

3、大多沒有統(tǒng)一的安全規(guī)劃，而業(yè)務系統(tǒng)的業(yè)務特性、安全需求和等級、使用的對象、面對的威脅和風險各不相同。在支持業(yè)務不斷發(fā)展的前提下，如何保證系統(tǒng)的安全性是一個巨大的挑戰(zhàn)，對系統(tǒng)進行區(qū)域劃分，進行層次化、有重點的保護是保證系統(tǒng)和信息安全的有效手段，信息安全體系化的建設與開展迫在眉睫。實施目的信息安全越來越成為保障企業(yè)網(wǎng)絡的穩(wěn)定運行的重要元素。XXXXXX 信息系統(tǒng)經(jīng)過多年的實踐和摸索，已經(jīng)初具規(guī)模，在技術上、產(chǎn)品方面取得了很大的成就，但隨著企業(yè)面臨的安全威脅不斷變化，單純地靠產(chǎn)品來解決各類信息安全問題已經(jīng)不能滿足 XXXXXX 的實際安全需求。從根本上解決目前企業(yè)所面臨的信息安全難題， 只靠技術和產(chǎn)品是不夠的， 服務將直接影響到解決各類安全問題的效果。對于已經(jīng)實施了安全防護措施（安全產(chǎn)品、安全服務）或者即將實施安全防護措施的 XXXXXX而言，明確網(wǎng)絡當前的安全現(xiàn)狀對下一步的安全建設具有重大的指導意義。所以本次項目的目的是通過遠程滲透測試全面檢測 XXXXXX 信息系統(tǒng)目前存在安全隱患，為下一步信息安全建設提供依據(jù)。我們相信，憑借某某多年的安全技術積累和豐富的安全服務項目經(jīng)驗，能夠圓滿的完成本次安全服務項目。同時，我們也希望能繼續(xù)保持和 XXXXXX 在信息安全項目上長期的合作，共同為 XXXXXX 信息系統(tǒng)的安全建設貢獻力量。服務目標某某在本次 XXXXXX 信息安全服務項目中將