近年來，政府行業持續推進互聯網+政務云服務工作，全國各級政府著手開展政務云數據遷移建設的同時，云環境的安全威脅也隨之增大。

一直以來，綠盟科技（300369）依托其漏洞研究專業技術團隊，研究成果已廣泛應用到眾多安全產品中。多項基于漏洞研發的產品，均獲得國內外眾多獎項，不斷為客戶提供深層次、多角度、全方位的滲透測試服務解決方案，幫助客戶主動發掘存在的漏洞及威脅隱患，有效降低安全風險。

(相關資料圖)

方案流程

綠盟科技滲透測試服務主要分為四個階段，包括測試前期準備階段、測試階段實施、復測階段實施以及成果匯報階段：

前期準備階段

在實施滲透測試工作前，技術人員會和行業客戶對滲透測試服務相關的技術細節進行詳細溝通。由此確認滲透測試的方案，方案內容主要包括確認的滲透測試范圍、最終對象、測試方式、測試要求的時間等內容。同時，客戶簽署滲透測試授權書。

測試階段實施

在測試實施過程中，綠盟科技測試人員首先使用自動化的安全掃描工具，完成初步的信息收集、服務判斷、版本判斷、補丁判斷等工作。

其次，由人工的方式對安全掃描結果進行確認和分析，并且根據收集的各類信息進行人工的進一步滲透測試深入。

測試人員依據自動化測試以及人工測試的結果，輸出一份滲透測試報告，提交至客戶方，并對測試中發現的高危風險提出相關的整改建議。

復測階段實施

在經過第一次滲透測試報告提交和溝通后，等待客戶針對滲透測試發現的問題整改或加固。經整改或加固后，測試人員進行回歸測試，即二次復測。復測結束后提交給客戶復測報告和對復測結果進行溝通。

成果匯報階段

根據一次滲透測試和二次復測結果，整理滲透測試服務輸出成果，最后匯報項目領導。

圖1 滲透測試服務流程

方案優勢

深入化的測試需求分析

綠盟科技在滲透測試開展前期，會從技術層面（網絡層、系統層、應用層）著手與用戶進行廣泛溝通，對用戶授權后的軟、硬資產進行采集、匯總、梳理，以便為后續工作的開展奠定良好的基礎。

規范化的滲透測試流程

綠盟科技滲透測試流程分為準備、滲透以及匯報三個基本階段。每個階段均會生成階段文檔，在完成滲透測試全流程后，項目經理還將對三個階段的文檔進行整理、匯總、提交，并針對過程中遇到的問題進行統一匯報。

綠盟科技提供的滲透測試可將滲透實施階段及復測階段作為兩個獨立而重要環節貫穿于整個滲透測試過程中，并與綠盟科技在項目監控管理方面的優勢進行結合，可對整個滲透測試項目的規范化加以保障。

全面化的滲透測試內容

綠盟科技滲透測試服務圍繞技術層面（系統層、應用層、網絡層）展開，并且針對不同層面的安全漏洞及威脅，結合不同綠盟科技技術優勢，為用戶提供具有針對性的改進建議。

快速化的滲透測試周期

綠盟科技滲透測試經驗豐富、流程嚴謹，每個測試環節都有固定的項目階段管理辦法，嚴格規定按照實施計劃開展工作，并由專人對流程進行整體把握與監督控制，從而保證整個滲透測試流程的全面、快速、準確。

方案收益

01

明確安全隱患點

滲透測試是一個從空間到面再到點的過程，測試人員模擬黑客的入侵，從外部整體切入最終落至某個威脅點并加以利用，最終對整個網絡產生威脅，以此明確業務系統中的安全隱患點。

02

提高安全意識

如上所述，任何的隱患在滲透測試服務中都可能造成“千里之堤潰于蟻穴”的效果，因此滲透測試服務可有效督促管理人員杜絕任何一處小的缺陷，從而降低整體風險。

03

提高安全技能

在測試人員與用戶的交互過程中，可提升客戶的安全技能。依托專業的滲透測試報告，也可為客戶提供當前流行安全問題的參考。

圖2 綠盟科技滲透測試的優勢