猎户攻防实验室猎户攻防实验室 安全视点安全视点 标准与课题标准与课题
国家部委中心系统渗透测试案例

一、项目背景


中心系统为某部委指定承担专项职责任务并赋有部分行政管理职能的直属事业单位。为加强单位内部网络及重要应用系统安全,避免网络或系统遭到攻击和入侵,避免单位重要机密数据、经营数据、财务数据、用户数据留向外部或被不法分子窃取,使得IT能更高效、稳定和安全的支撑业务,甚至在新的信息安全形式下推动业务开展,保护好单位信息资产,为国家可持续性发展做出贡献。单位启动了本次信息安全风险评估项目。


二、需求分析


通过信息安全技术和安全管理审核的测试结果,对系统的安全状态做出初步判断,对已采取的安全措施的合理性和有效性进行技术评估,对发生安全事件的可能性和抵御安全风险的能力做出客观的、公正的评价,并对信息安全风险评估发现的安全问题和隐患,提出整改建议,指导各类技术人员采取正确的技术手段进行系统整改工作,以消除、降低、规避具体安全风险。达到掌握单位信息安全现状,发现并能处理存在的风险隐患,为之后的信息安全保障工作提供可靠的依据及建议。


三、解决方案


国家部委中心系统渗透测试案例-图1.png

测试工作流程


1、进行信息收集。

2、制定攻击方案。

3、高低级风险利用。

4、提升权限等级。


另外,信息的收集和分析伴随着每一个渗透测试步骤,每一个步骤又有三个组成部分:操作、响应和结果分析。


四、实施效果


信息安全风险评估工作历经30天结束。项目组先后投入多名各专业领域风险评估人员,圆满完成关键系统安全检查、渗透测试、机房检查、管理安全检查四个部分的实施内容。


通过本次评估,达到了掌握单位信息安全现状,发现并协助处理了存在的风险隐患,为之后的信息安全保障工作提供了可靠的依据及建议。

Copyright @ 2005-2013, 北京江南天安科技有限公司1, All Rights Reserved  京公网安备11010802028740号 京ICP备08012318号  技术支持博乐虎科技