青島滲透測試方案

滲透測試也許是你的網絡防禦工具箱當中的重要武器之一。應該視之爲(wéi)各種安全(quán)審查的一部分，但要确保審查人員勝任這項工作(zuò)。
也許你可能還是有疑問：我定期更新安全(quán)策略和程序，時時給系統打補丁，并采用了安全(quán)軟件，以确保所有補丁都已打上，還需要滲透測試嗎？需要！這些措施就好像是金庫建設時的金庫建設規範要求，你按照要求來建設并不表示可以高枕無憂。而請專業滲透測試人員（一般來自外部的專業安全(quán)服務公司）進行審查或滲透測試就好像是金庫建設後的安全(quán)檢測、評估和模拟入侵演習，來獨立地檢查你的網絡安全(quán)策略和安全(quán)狀态是否達到了期望。滲透測試能夠通過識别安全(quán)問題來幫助了解當前的安全(quán)狀況。到位(wèi)的滲透測試可以證明你的防禦确實有效，或者查出問題，幫助你阻擋可能潛在(zài)的攻擊。提前發現網絡中的漏洞，并進行必要的修補，就像是未雨綢缪；而被其他人發現漏洞并利用漏洞攻擊系統，發生安全(quán)事故後的補救，就像是亡羊補牢。很明顯未雨綢缪勝過亡羊補牢。
滲透測試能夠通過識别安全(quán)問題來幫助一個(gè)單位(wèi)理解當前的安全(quán)狀況。這使促使許多單位(wèi)開發操作(zuò)規劃來減少攻擊或誤用的威脅。
撰寫良好的滲透測試結果可以幫助管理人員建立可靠的商業案例，以便證明所增加的安全(quán)性預算或者将安全(quán)性問題傳達到高級管理層。

滲透測試，是爲(wéi)了證明網絡防禦按照預期計劃正常運行而提供的一種機制。不妨假設，你的公司定期更新安全(quán)策略和程序，時時給系統打補丁，并采用了漏洞掃(sǎo)描器等工具，以确保所有補丁都已打上。如果你早已做到了這些，爲(wéi)什麽還要請外方進行審查或滲透測試呢？因爲(wéi)，滲透測試能夠獨立地檢查你的網絡策略，換句話說，就是給你的系統安了一雙眼睛。而且，進行這類(lèi)測試的，都是尋找網絡系統安全(quán)漏洞的專業人士。
滲透測試 (penetration test)并沒(méi)有一個(gè)标準的定義，國外一些安全(quán)組織達成共識的通用說法是：滲透測試是通過模拟惡意**的攻擊方法，來評估計算機網絡系統安全(quán)的一種評估方法。這個(gè)過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析，這個(gè)分析是從一個(gè)攻擊者可能存在(zài)的位(wèi)置來進行的，并且從這個(gè)位(wèi)置有條件主動利用安全(quán)漏洞。
換句話來說，滲透測試是指滲透人員在(zài)不同的位(wèi)置（比如從内網、從外網等位(wèi)置）利用各種手段對某個(gè)特定網絡進行測試，以期發現和挖掘系統中存在(zài)的漏洞，然後輸出滲透測試報告，并提交給網絡所有者。網絡所有者根據滲透人員提供的滲透測試報告，可以清晰知曉系統中存在(zài)的安全(quán)隐患和問題。
我們認爲(wéi)滲透測試還具有的兩個(gè)顯著特點是：滲透測試是一個(gè)漸進的并且逐步深入的過程。滲透測試是選擇不影響業務系統正常運行的攻擊方法進行的測試。
作(zuò)爲(wéi)網絡安全(quán)防範的一種新技術，對于網絡安全(quán)組織具有實際應用價值。但要找到一家合适的公司實施滲透測試并不容易。

以外部需要訪問的Web或應用服務器爲(wéi)例，你應該考慮與(yǔ)滲透測試人員共享這些應用的源代碼，如果測試涉及這些腳本或程序的話。沒(méi)有源代碼，很難測試ASP或CGI腳本，事先認定攻擊者根本不會看到源代碼是不明智的。Web服務器軟件裏面的漏洞往往會把腳本和應用暴露在(zài)遠程攻擊者面前。如果能夠獲得應用的源代碼，則可以提高測試該應用的效率。畢竟，你出錢是爲(wéi)了讓滲透測試人員查找漏洞，而不是浪費他們的時間。

如今，大多數攻擊進行的是*基本的漏洞掃(sǎo)描，如果攻擊得逞，目标就岌岌可危。如果攻擊者企圖對你站點進行漏洞掃(sǎo)描，他就會獲得大量的防火牆日志消息，而監控網絡的任何入侵檢測系統（IDS）也會開始發送有關當前攻擊的警報。如果你還沒(méi)有試過，不妨利用漏洞掃(sǎo)描器結合IDS對網絡來一番試驗。别忘了首先獲得對方的許可，因爲(wéi)，運行漏洞掃(sǎo)描器會使IDS引發警報。


http://www.qdshtddzkj.com