Domain

服务简介
Service Introduction

利用主流的攻击技术和工具对目标网络、业务系统、数据库进行模拟黑客攻击测试，并将发现的安全漏洞进行整理分析，针对每一个安全漏洞提供相应的解决建议。通过渗透测试服务，用户可以验证在当前的安全防护措施下网络、信息系统抵抗入侵者攻击的能力。

项目基本情况及目标介绍，渗透测试实施方案及计划，渗透测试成果的审核确认，渗透测试实施的风险规避。

对整体网络、系统的结构、拓扑、资产信息等进行了解，收集和整理信息系统相关信息，包括信息系统包含的网络设备、安全设备、主机系统、应用系统等各个层面的信息。

通过工具扫描、工具检测、手工检测等方式，发现信息系统存在的脆弱点。工程师对扫描结果进行分析，由点发散至面，进一步挖掘系统漏洞，并将所有漏洞进行分类、汇总。

根据前期收集到的安全漏洞，通过工具提权、手工提权等方式，获取更多更高的系统管理权限，并取得信息系统相关重要数据。

在获得一定权限后，通过分析源代码、搜索文件、查询数据库等方式检验能否获取系统存在的敏感信息，如用户帐户信息、财务信息、交易信息等。

根据前期各部分的安全服务工作，各任务中间记录，总结信息系统存在的安全问题，进行安全情况综合分析，并编写渗透测试报告。

双方根据初步渗透测试报告对已发现问题进行修补加固后，渗透测试团队对加固成果进行复查及总结，并给出进一步切实可行的安全加固指导意见，协助对疑难漏洞进行分析并协助解决。

满足合规要求
如在等级保护建设或相关行业要求作为一项必选的安全服务，对系统需要进行渗透测试以验证搞攻击的能力，通过渗透测试，满足相关的上级监管等要求。

满足客户需求
能够直观地反映出系统及业务存在的风险，为进一步的整改或建设提供重要的参考依据，保障业务的正常开展。

提高安全意识
信息安全是一个整体工程，渗透测试有助于组织中的所有成员意识到自己的岗位同样可能提高或降低风险，有助于内部安全的提升。

其他方面
异常的安全事件带来的风险，通过渗透测试还原入侵的过程，为加固提供必要的证据等。