查字典图书网
查字典图书网
下面了解一下渗透测试业务的整个流程和步骤。能够灵活运用漏洞诊断工具是件好事,不过更重要的是,了解渗透测试的步骤后将工具运用得恰到好处,从而提高工作效率。我曾看过很多人违背这些业务流程实施诊断,结果出现了问题,因此建议各位读者好好阅读本节内容。本节基于经验而成,结构简单有趣,易于理解。除了初学者,如能在担任项目经理之前阅读会有所收获。我经常会向继任者讲解这部分内容。 前面提到过,BackTrack的范畴是由各阶段诊断流程构成的。不过,这部分内容却是从诊断开始阶段起适用的。在此之前简单了解一下,通过哪些流程决定诊断项目,通过哪些阶段实施渗透测试业务。 渗透测试业务始终是安全咨询业务中的一个项目,即一个技术性部分而已,因此并不能无条件地依照客户要求的对象和日程、金额做决定(目前为止,渗透测试业务占较大比例)。 所以要分步骤实行,其步骤如图1-4,客户公开进行招标(①招标阶段),各个公司按照公告中项目开始投标(②投标阶段)。此步骤结束后,各公司公布标书,赢得合同(③合同阶段)。被选定负责项目的公司与客户方负责人通过协商选定对象(④执行计划),之后开始实施渗透测试访问检测(⑤开展项目)。(这样的步骤适用于安全咨询业务以及其他行业的项目。) ①招标阶段 为选定合作公司,客户公布了包括技术环境在内的RFP。有些只包括了渗透测试业务部分,极其简单(第1章~第2章)。也有些是由大公司的SI招标,整个项目中已包括部分安全性漏洞诊断,让公司自行判断。 看到RFP时,首先要判断执行项目需要投入多少人月(M/M)①,需要完成哪些工作任务,之后制作方案。如有疑问,咨询客户后再制定。 如果没有分析好以上项目就正式投入,就会产生业务范围差异(GAP),令双方面临难堪境地。 ② 投标阶段 → ③ 合同阶段 将完成的投标书直接提交到客户公司。因每个公司所要求的投标书内容都不尽相同,需要认真检查。有些公司要求公布当天提交,而有些公司要求提前2~3天提交。一般是制作投标书的PM负责公布投标书。投标书的内容包括公司介绍、公司特点(优缺点)、执行成果、项目各阶段执行明细、参与人员简历等。如果没有正确分析RFP而在投标书中包括了其他事项,那麻烦从这儿就开始了。 在规定公布投标书的15~20分钟内给企业评委(评审员)留下好的印象,这也是项目经理的任务之一。经过评委提问和答辩环节,以及其他所有公司的投标书公布即将结束的时候,输赢已成定局。 ④ 执行计划 在根据投标书开展项目的前几周或即将开始的阶段,被选定的公司需要与对方进行业务协商。业务协商中的变数防不胜防。有时会扩大业务范围(Task) ,有时会缩小。在这一阶段,项目经理、营销员以及客户互相进行激烈的心理战,也会拿着投标书吵得面红耳赤。这时项目经理就感到:“这项目要累死人啊!” ⑤ 开展项目 不管业务协商是否顺利,仍然需要按照项目日程进行。除应用程序外,渗透测试需要诊断的还有很多,所以最好按业务范围区分后制定WBS。当然,好多只有1~2周的项目不用区分业务范围。 执行期间不仅要制作日报告、周报告等,结束后还要编写结果报告。另外,完成所有业务后需要制作包括危险评价(影响度评价)的综合报告。