某某**********项目
1人参与  已结束
奖金等级       
期限 2016.11.02 - 2016.11.09

项目背景

上海喜程新型建材有限公司技术实力雄厚,专业研发与生产新型建筑材料,装饰材料的综合型公司。



但近年来针对上海喜程新型建材有限公司系统的安全事件时有发生,网络面临的安全威胁日益严重。随着业务需求不断地增加、网络结构日趋复杂,信息系统面临的安全威胁、威胁的主体及其动机和能力、威胁的客体等方面都变得更加复杂和难于控制。 上海喜程新型建材有限公司信息系统的建设是由业务系统的驱动建设而成的,初始的网络建设大多没有统一的安全规划,而业务系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。在支持业务不断发展的前提下,如何保证系统的安全性是一个巨大的挑战,对系统进行区域划分,进行层次化、有重点的保护是保证系统和信息安全的有效手段,信息安全体系化的建设与开展迫在眉睫。


实施目地

信息安全越来越成为保障企业网络的稳定运行的重要元素。上海喜程新型建材有限公司信息系统经过多年的实践和摸索,已经初具规模,在技术上、产品方面取得了很大的成就,但随着企业面临的安全威胁不断变化,单纯地靠产品来解决各类信息安全问题已经不能满足上海喜程新型建材有限公司的实际安全需求。从根本上解决目前企业所面临的信息安全难题,只靠技术和产品是不够的,服务将直接影响到解决各类安全问题的效果。 对于已经实施了安全防护措施(安全产品、安全服务)或者即将实施安全防护措施的上海喜程新型建材有限公司而言,明确网络当前的安全现状对下一步的安全建设具有重大的指导意义。所以本次项目的目的是通过远程渗透测试全面检测上海喜程新型建材有限公司信息系统目前存在安全隐患,为下一步信息安全建设提供依据。 我们相信,凭借我们多年的安全技术积累和丰富的安全服务项目经验,能够圆满的完成本次安全服务项目。同时,我们也希望能继续保持和上海喜程新型建材有限公司在信息安全项目上长期的合作,共同为上海喜程新型建材有限公司信息系统的安全建设贡献力量。


服务目标

为了了解上海喜程新型建材有限公司网络系统的安全现状,在许可与可控制的范围内,对上海喜程新型建材有限公司的网络系统进行渗透测试,从攻击者的角度来对上海喜程新型建材有限公司网络系统的安全程度进行评估。


测试范围

渗透测试的范围仅限于经过上海喜程新型建材有限公司以书面形式进行授权的服务器、网络应用系统,使用的手段也经过客户的书面同意。我们承诺不会对授权范围之外的网络主机设备和数据进行测试、模拟攻击。

















类型



业务功能



IP地址(域名)



对外服务器



web服务器



http://www.shxicheng.com.cn/



评估组技术人员

参考标准

渗透测试执行标准(Penetration Testing Execution Standard:PTES):  

1、前期交互阶段  前期交互阶段通常是由你与客户组织进行讨论,来确定渗透测试的范围与目标。   

2、情报搜集阶段  情报搜集阶段对目标进行一系列踩点,包括:使用社交媒体网络\Google Hacking技术\目标系统踩点等等,从而获知它的行为模式、运行机理。   

3、威胁建模阶段  威胁建模主要使用你在情报搜集阶段所获取的信息,来标识出目标系统上可能存在的安全漏洞与弱点。   

4、漏洞分析阶段  漏洞分析阶段主要是从前面几个环节获取的信息,并从中分析和理解哪些攻击途径会是可行的。   

5、渗透攻击阶段  渗透攻击主要是针对目标系统实施已经经过了深入研究和测试的渗透攻击,并不是进行大量漫无目的的渗透测试。   

6、后渗透攻击阶段  后渗透攻击阶段从你已经攻陷了客户组织的一些系统或取得域管理员权限之后开始,将以特定业务系统为目标,标识出关键的基础设施,并寻找客户组织最具价值和尝试进行安全保护的信息和资产,并需要演示出能够对客户组织造成最重要业务影响的攻击途径。   

7、报告阶段  报告时渗透测试过程中最为重要的因素,你将使用报告文档来交流你在渗透测试过程中做了哪些,如何做的,以及最为重要的——客户组织如何修复你所发现的安全漏洞与弱点。


奖励和定义

根据提交渗透测试报告的质量,审核人员根据相关规则进行审核,最后定价,并给予相关的奖励。


注意事项

在项目实施过程中,工作团队采用规范、统一的标准化工作流程和工作方式; 项目文档化遵循《OWASP Testing Guide》的文档规范, 文档的设计将依照国际、 国内及行业内部的相关成熟标准和最佳实践。



可控性原则:



项目实施过程中所采用的工具、 方法和过程要经上海喜程新型建材有限公司的认可, 确保项目进度的推进,保证本次项目的可控性。



最小影响原则:



项目实施应尽可能小地影响系统和网络的正常运行,不能对现有网络的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断等)。



保密原则:



对服务过程中的过程数据和结果数据严格保密,未经授权不泄露给任何单位和个人,不利用此数据进行任何侵害上海喜程新型建材有限公司的行为。



渗透测试的范围仅限于经过上海喜程新型建材有限公司以书面形式进行授权的服务器、网络应用系统,使用的手段也经过客户的书面同意。我们承诺不会对授权范围之外的网络主机设备和数据进行测试、模拟攻击。