探讨在网站渗透测试中的防御准备工作



        孙子兵法中谢讲到知彼知己,百战百胜。在防御实战演练刚开始以前,充足掌握本身安全

情况是防御蓝队在迎战前必不可少的关键一步,从资产整理、风险性清查、安全管理方法等各层

面井然有序开展,明确公司企业本身的安全安全防护工作能力,可以为下一步工作出示强大的支

撑点。下边就防御蓝队迎战前的准备工作开展简略描述。
 
 
一、资产整理
 
伴随着公司业务流程的持续澎涨,愈来愈多的机器设备、系统软件等多头管理,私搭乱建状况比

较比较严重,安全管理方法职责分工不确立等难题仍然不容乐观。在防御实战演练刚开始以前防

御蓝队必须开展资产整理,其目地是为公司企业可以保证“摸清家底”,对自身当今资产做一个详

尽整理,便于在防御实战演练期内可以从容解决。
 
1.1安全机器设备资产
 
安全机器设备是阻拦蓝队进攻的关键天然屏障。对目前安全机器设备开展合理核对,防御蓝队需

确立每台安全机器设备作用,有效期,生产厂家手机联系人,管理方法运维工作人员,机器设备

责任者,运作情况,安全防护地区,是不是必须升級等状况开展合理整理和查验,并对存有的有

关难题立即商议处理。若有标准公司可购入新式安全商品开展布署。
 
 
1.2对外开放服务项目资产
 
对外开放服务项目资产是蓝队紧密的侧重点。对于对外开放服务项目资产开展合理核对,防御蓝

队可对目前的web服务进合理归类,确立软件系统种类及版本号,web系统功能,系统软件间相

关性,web资产网站域名,ip详细地址,服务器端口,开发框架,分布式数据库种类及版本信息

,网络服务器自然地理方向,使用人、管理者、责任者名字,联系电话等。

 
 
1.3业务外包业务流程资产

 
业务外包管理方法是“刚性需求”,近些年公司高新科技业务外包发展趋向迅速,业务外包涉及到

范畴慢慢扩张,已基本上包含了学习培训、规定、设计方案、执行等生命期的每个环节。一部

分公司因为业务外包难题所引起的比较敏感数据泄露五花八门,业务外包业务流程做为防御实

战演练中的曝露口,务必多方面高度重视。对于业务外包业务流程资产业务开展合理核对,公

司企业需提早通告防御实战演练刚开始及截止時间,签定义务协议书,确立业务外包手机联系

人、值班安排情况等。

 
 
风险性清查在防御实战演练以前饰演至关重要的人物角色。全方位的风险性清查,能够 合理的

减少实战演练全过程中被蓝队攻克的将会,在攻与防的比赛中处在积极情况,从而确保蓝队工

作人员井然有序的不断开展。
分享: