1.渗透测试产生风险的原因
电力电子电容器渗透测试是一种带有破坏性的测试工作,虽然在测试中会尽量避免做影响正常业务运行的操作,但是由于测试过程变化多端,渗透测试服务仍然有可能对网络、系统运行造成不同程度的影响,严重的后果可能造成服务停止,甚至是宕机。因此,在渗透测试过程中,必须考虑到可能遇到的风险,并采取一些措施规避风险发生。 2.风险规避措施
●渗透测试的时间
检查井盖经客户与渗透测试人员协商,尽量将测试时间安排在不影响系统业务的时间进行,以减小渗透测试对目标系统的影响。
●渗透工具的使用
渗透工具可以加快渗透测试的效率和效果,是渗透人员的武器。对渗透工具的安全性把关是
对用户负责的表现。我们会在渗透测试报告中会给出常用的正规专业的渗透测试工具。渗透测试人员都非常熟悉这些工具的使用,在测试的过程中会根据目标系统的状况,调整工具的使用,比如使用的线程数,使用的漏洞检测插件的数量,从而使得测试行为对目标系统的影响降到最低。
●渗透技术的把控
渗透测试人员具有丰富的经验和技能,在每个测试环节都会事先评估测试行为带来的影响和后果,尽量选择简单易实现、对目标系统影响小的测试方法和用例。虽然是模拟黑客的行为,但不具备破坏性的技术也能发现安全漏洞和问题。
●渗透报告的记录
渗透测试人员在测试的过程中,会实时记录测试情况,对关键步骤都通过截图等手段进行记录跟踪,方便漏洞验证和事后回溯。
●渗透应急的策略
测试过程中,如果目标系统出现无响应、中断或者崩溃等情况,渗透人员会立即中止渗透测试,并配合客户进行修复处理。在确认问题、修复系统、根据分析结果调整测试方式、经客户同意才会继续进行其余的测试。
3.需客户配合的事宜
●建议搭建与真实系统一模一样的测试环境,以便对测试环境的攻击不影响到真实系统,同时保证测试效果。
●请提前做好文件和数据备份,并验证备份的有效性。
渗透测试委托授权函
甲方(授权方):
2022年4月18日
甲方已经认真阅读渗透测试项目实施风险告知书,授权乙方为其提供渗透测试服务。双方一致同意遵守下列免责条款:
一、甲方保证其对目标测试对象具有所有权或监管权限或已取得权利人授权且出于善意的目的,有权签署本文件为乙方的渗透测试服务提供授权。对于恶意利用乙方测试服务侵犯第三方利益的行为,或因甲方向乙方提供无效授权,或在服务期间丧失合法有效授权资格,将由甲方自行承担相应的民事与刑事责任,由此导致乙方与第三方产生纠纷,甲方应赔偿乙方遭受的全部损失。
二、甲乙双方已明确测试目标、测试范围、测试时间、测试方法等相关问题,超出测试范围和时间的服务内容,乙方将不提供渗透测试服务。
三、授权期间因为渗透测试而导致系统出现崩溃、宕机或不可用等后果将免于追究被授权方的责任。
四、乙方在渗透测试时,可以通过能访问到的敏感文件和数据来证明系统存在漏洞以及漏洞的危害,但不可以访问超出测试必要查看的敏感数据内容。如果甲方发现确因乙方的渗
透测试服务,造成敏感信息泄露,可以依法追究乙方相关法律责任,但基于前述已明确告知的相关风险所导致的信息泄露除外。
五、乙方在渗透测试时,未经甲方允许,不得随意修改和删除测试目标系统的数据和文件(甲方允许修改和删除的除外)。
六、甲乙双方就渗透测试服务相关的资料、数据、信息等,要保证其保密性。未经双方同意,不得用于研究、培训、教学以及各类商业用途。
七、鉴于安全攻防技术的不断创新与变化,乙方在测试过程中难于使用所有的测试方法,也无法保证发现所有漏洞和一定发现高危漏洞。测试完毕后,如再出现新的安全问题或攻击情况,乙方将不承担责任。
八、甲方有测试过程和结果的知晓权。在渗透测试服务结束后,乙方提交相应的渗透测试报告,对甲方的疑问给予回答和解释。
梭式止回阀甲方授权乙方进行渗透测试的目标对象详见附表;餐具架
授权测试日期:自 至 止。
本协议及附件一式 贰 份,甲乙双方各执 壹 份,均具有同等法律效力。
甲方: (盖章) 乙方: (盖章)
授权代表: 授权代表:
紧急呼叫: :
日期:2022年4月18日 日期:2022年4月18日
附表: