昆仑联通渗透测试服务

一、服务说明

渗透测试 (Penetration Test)并没有一个标准的定义，国外一些安全组织达成共识的通用说法是：渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，从这个位置有条件主动利用安全漏洞。

目前绝大部分的安全产品只能利用已知的安全漏洞对系统进行程序化的漏洞分析，缺少灵活性，而渗透测试却能够在可控的前提下进行最贴近于真实攻击的漏洞挖掘，弥补仅仅使用安全产品对系统分析的不足，通过渗透测试可以以攻击者的视角发现一些隐性存在的风险点或安全漏洞，有助于后续的网络安全建设。

昆仑联通的渗透测试服务由安全服务团队利用主流的攻击技术和工具对目标网络、业务系统、数据库进行模拟黑客攻击测试，将发现的安全漏洞进行整理，给出详细说明，并针对每一个安全漏洞提供相应的解决建议。通过渗透测试服务可以验证在当前的安全防护措施下网络、信息系统抵抗入侵者攻击的能力。

二、实施原则

昆仑联通透测试服务，将遵循下列原则进行实施：

· 保密性原则

对项目实施过程获得的数据和结果严格保密，未经授权不泄露给任何单位或个人，不利用获得的数据和结果进行任何侵害客户利益的行为。

· 标准性原则

方案设计、实施依据国内、国际以及深信服自身制定的相关标准进行。

· 规范性原则

项目实施由专业的渗透测试工程师和项目经理依照规范的操作流程进行，在实施之前将详细量化出每项工作内容，对操作过程和结果提供规范的记录，以便于项目的跟踪和控制。

· 可控性原则

项目实施的方法和过程在双方认可的范围之内，实施进度按照进度表进度的安排，保证项目实施的可控性。

· 最小影响原则

项目实施工作尽可能小的影响网络和信息系统的正常运行，不对信息系统的正常运行产生显著影响。

三、服务范围

1.    Web 业务系统；

2.    微信小程序、微信公众号；

3.    APP（仅依据表 4-1 渗透测试 CheckList 的测试项开展测试，不涉及 APP 客户端的逆向分析，深信服有专门的 APP 评估服务）。

备注：

1)    由于 Web 业务系统的特殊性，相同域名或 IP 下的不同端口核算为不同的业务系统；

2)    如果相同域名或 IP 且同一端口下根据不同的目录存放不同的业务子系统，这种情况根据域名或 IP 下有多少单独的子系统核算 Web 业务系统的个数。

四、服务方式

根据测试的位置不同可以分为现场测试和远程测试；

根据测试的方法不同分为黑盒测试和白盒测试两类；

根据服务的周期不同分为单次服务和 N 次服务两种类型。

五、服务报价

2w-5w/1个，按业务系统个数报价，详情以电话咨询为准