渗透测试

一、项目背景：

近年来，大国博弈不断升级，网络空间政治化军事化趋势越来越明显，给国际网络安全态势带来了更大的不确定性。拥有关键信息基础设施的行业，在应对传统功能安全威胁的同时，也面临越来越多的病毒、木马、黑客入侵等工控信息安全威胁。如何保护能源企业在当前复杂多变的网络安全环境下的安全稳定运行，避免出现因网络安全攻击而出现问题，是当前的重中之重。

为了保证能源行业的网络安全，除了实现行业的“安全分区、网络专用、横向隔离、纵向认证”十六字方针基本要求外，还要建立纵深防御的网络安全主动防御体系，从物理环境、主机安全到项目建设、运维等各方面进行监测、防御、反击。当然，只靠企业自身做的防护措施是不够的，还必须定期实施第三方专业机构进行的渗透测试、安全评估等，检查防御措施是否确实有效，提前发现网络中的漏洞，并进行必要的修补，增强企业网络安全管理水平，并为下一步的网络安全建设提供决策依据。

二、铠撒渗透项目优势：

1、专业化团队优势

铠撒集团依托铠撒网安学院强大的师资、教研团队，以及大量的拥有CISSP，CISP，CPTE，ISO27001资质认证的专业化的渗透测试团队，渗透人员包括安全架构师、风险分析评估师、手工渗透底层工程师、网络安全项目高级经理构成了铠撒立体式渗透架构。

2、丰富的渗透测试实践经验

铠撒多年致力于信息安全行业，先后参与国防科工委、核工业研究所，总装情报所，20电子研究所，航天集团，中国兵器集团，武汉三江集团等网络安全项目的策划、执行实施、后期维护等；为能源电力行业、跨国车企行业、移动通讯行业、金融等领域提供专业的网络安全渗透及咨询服务。

3、深入化的测试需求分析

在渗透测试开展前期，铠撒团队会从技术层面（网络层、系统层、应用层）着手与用户进行广泛沟通，对用户当前的一些重要资料进行采集、汇总、梳理、掌握，以便为渗透测试工作开展奠定良好的基础。除了技术层面以外，铠撒团队也将会根据用户渗透测试的目标以及提出的需求着重对于用户的业务层面进行分析，并且将分析结果应用于渗透测试当中，做到明确所有需求的基础上准确而深入的贯彻用户的意图，将渗透测试的目标与业务系统连续性运行保障紧密的结合起来。

4、规范化的渗透测试流程

渗透测试流程分为准备、渗透以及加固三个基本阶段，在每个阶段都会生成阶段文档，最终在完成渗透测试整个流程以后将会由项目经理将三个阶段的文档进行整理、汇总、提交给用户。并且针对过程中遇到的问题向用户进行汇报。规范化的渗透测试流程特点就在于将渗透准备阶段及安全加固阶段作为两个独立而重要环节贯穿于整个渗透测试过程当中，这样就可以结合我们在项目监控管理方面的优势对整个渗透测试项目开展的规范化加以保障.

三、项目收益：

渗透测试是在实战角度上对业主单位指定的目标对象和系统进行的安全评估，可以让业主单位相关人员直观的了解到自己网络、系统、应用中隐含的漏洞和危害发生时可能导致的损失。通过渗透测试，可以获得如下收益。

（1）明确安全隐患点

渗透测试是一个从空间到面再到点的过程，测试人员模拟黑客的入侵，从外部整体切入最终落至某个威胁点并加以利用，最终对整个网络产生威胁，以此明确整体系统中的安全隐患点。

（2）降低网络安全风险

发现业主单位安全体系中的漏洞（隐含缺陷），协助业主单位明确目前降低风险的措施，并进行必要的修补，降低企业的网络安全风险。

（3）提高人员安全意识

任何的隐患在渗透测试服务中都可能造成“千里之堤溃于蚁穴”的效果，渗透测试服务可有效督促管理人员杜绝任何一处小的缺陷，从而降低整体风险。

（4）提高人员安全技能

在测试人员与客户管理员的交互过程中，可提升客户的安全技能水平。另外，通过专业的渗透测试报告，也能为客户提供当前流行安全问题的参考。

（5）实时检测企业的检测预警能力

我们的渗透测试人员在业主单位约定的范围、时间内实施测试，而业主单位人员可以与此同时进行相关的检测监控工作，测试自己能不能发现正在进行的渗透测试过程，从中真实的评估自己的检测预警能力。