项目启动
在项目启动阶段,项目组成员主要完成以下工作:
- 明确安全评估目标和评估对象范围。
- 明确参项目的人员组成。
- 确定评估的依据,制定评估执行方案。
- 项目风险说明,风险规避手段实施。
信息收集
在信息收集阶段,评估人员将利用各种工具和方法去获取目标系统的以下信息:
- 网络基础信息:如IP地址、域名、开放端口等。
- 操作系统信息:如操作系统类型、版本、开放服务等。
- 软件版本信息:各开放端口的Banner信息、应用软件版本。
- 应用系统信息:如代码语言、CMS系统、网站结构、管理后台等。
- 防护手段:是否有WAF、防火墙等。
执行评估
根据客户提供的目标以及信息收集阶段获取的信息,安全评估人员将通过工具扫描、人工评估的方式对目标系统进行漏洞检测,尽可能多地发现系统中存在的安全漏洞,包括操作系统漏洞、应用软件漏洞、业务安全漏洞、账号/授权漏洞等。
总结报告阶段
在安全评估过程结束后,安全服务人员将根据评估结果编写《安全评估服务报告》。服务报告包括安全评估方法介绍、安全漏洞和风险的详细说明、安全修复建议等内容。
本服务由云豹框架官方团队实施并提供技术支持和质量管理。
安全服务人员至客户现场提供服务。
说明:针对部分对互联网开放的业务,经客户授权可采用远程方式提供服务。
安全评估服务提供以下文档输出:
l 《XXXX安全评估服务报告》
- 本服务SLA根据合同内容单独约定。
