企業(yè)在安全上投入了巨大的精力和資金，但有往往會產(chǎn)生這樣的感受：當基本的軟硬件設施配置好之后，安全防衛(wèi)水平就到了一個相對的瓶頸，再加大投入并不能明顯提高安全水平。實際上，這種“安全玻璃天花板”在很多行業(yè)和企業(yè)中都存在，伴隨著安全行業(yè)的發(fā)展和管理人員安全意識的提高，以滲透測試為代表的“安全服務”正在得到更多的認可。

進行滲透測試的目的

1. 信息安全等級保護的要求 

2015年12月28日，銀監(jiān)會等部門發(fā)布的《網(wǎng)絡借貸信息中介機構(gòu)業(yè)務活動管理暫行辦法(征求意見稿)》中明確要求：“網(wǎng)絡借貸信息中介機構(gòu)應按照國家網(wǎng)絡安全相關(guān)規(guī)定和國家信息安全等級保護制度的要求，開展信息系統(tǒng)定級備案和等級測試。”信息安全等級保護是由等級測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定，按照管理規(guī)范和技術(shù)標準，對信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。值得關(guān)注的是，在信息安全風險評估中，滲透測試是一種常用且非常重要的手段。

2. 滲透測試助力PCI DSS合規(guī)建設  

在PCI DSS（Payment Card Industry Security Standards Council支付卡行業(yè)安全標準委員會）第 11.3中有這樣的要求：至少每年或者在基礎架構(gòu)或應用程序有任何重大升級或修改后（例如操作系統(tǒng)升級、環(huán)境中添加子網(wǎng)絡或環(huán)境中添加網(wǎng)絡服務器）都需要執(zhí)行內(nèi)部和外部基于應用層和網(wǎng)絡層的滲透測試。

3. ISO27001認證的基線要求  

ISO27001 附錄“A12信息系統(tǒng)開發(fā)、獲取和維護”的要求，建立了軟件安全開發(fā)周期，并且特別提出應在上線前參照例如OWASP標準進行額外的滲透測試 。

4. 銀監(jiān)會多項監(jiān)管指引中要求  

依據(jù)銀監(jiān)會頒發(fā)的多項監(jiān)管指引中明確要求，對銀行的安全策略、內(nèi)控制度、風險管理、系統(tǒng)安全等方面需要進行的滲透測試和管控能力的考察與評價。

網(wǎng)站為什么要做滲透測試？除了滿足政策的合規(guī)性要求、提高客戶的操作安全性或滿足業(yè)務合作伙伴的要求。最終的目標應該是最大限度地減小業(yè)務風險。企業(yè)需要盡可能多地進行滲透測試，以保持安全風險在可控制的范圍內(nèi)。

網(wǎng)站開發(fā)過程中，會發(fā)生很多難以控制、難以發(fā)現(xiàn)的隱形安全問題，當這些大量的瑕疵暴露于外部網(wǎng)絡環(huán)境中的時候，就產(chǎn)生了信息安全威脅。這個問題，企業(yè)可以通過定期的滲透測試進行有效防范，早發(fā)現(xiàn)、早解決。經(jīng)過專業(yè)滲透人員測試加固后的系統(tǒng)會變得更加穩(wěn)定、安全，測試后的報告可以幫助管理人員進行更好的項目決策，同時證明增加安全預算的必要性，并將安全問題傳達到高級管理層。

滲透測試是一種全新的安全防護思路。知道創(chuàng)宇云安全的滲透測試可以幫助企業(yè)的安全防護從被動轉(zhuǎn)換成了主動，已經(jīng)有越來越多重點行業(yè)的企業(yè)通過獨立的第三方安全機構(gòu)來進行“滲透測試”，以求更好的安全防護效果。目前，知道創(chuàng)宇云安全滲透測試已經(jīng)服務了互聯(lián)網(wǎng)金融、電商、教育等近200家企業(yè)。

如何進行滲透測試來評估安全

滲透測試是由專業(yè)安全人員完全模擬入侵者所用的常見手段對測試目標發(fā)起模擬入侵的過程。整個過程的目的在于通過利用各種已知漏洞識別手段充分挖掘網(wǎng)絡層、系統(tǒng)層、應用層乃至業(yè)務邏輯層中可能存在且被利用的潛在威脅點。在不影響業(yè)務系統(tǒng)正常運行的情況下，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)，讓管理人員最直觀的看到系統(tǒng)面臨的安全威脅。

滲透測試如何操作？

許多企業(yè)管理人員有個誤區(qū)，認為滲透測試只是通過自動化的工具進行檢測、處理生成的報告，所以費用成本是可以很低去控制的，其實不然。成功的滲透測試報告中安全工具的占比僅僅是一部分，成功的部分更多的是依靠專業(yè)的人工、雙向的思維及豐富的經(jīng)驗。知道創(chuàng)宇云安全提供的滲透測試服務，包括其中所有必需項：專業(yè)的安全滲透團隊人員，都是有著十年以上的安全經(jīng)驗，曾經(jīng)為微軟等大型企業(yè)提供漏洞服務。

滲透測試與安全檢測的區(qū)別

滲透測試不同于傳統(tǒng)的安全掃描，在整體風險評估框架中，脆弱性與安全掃描的關(guān)系可描述為“承上”，即如上面所講，是對掃描結(jié)果的一種驗證和補充。另外，滲透測試相對傳統(tǒng)安全掃描的最大差異在于滲透測試需要大量的人工介入的工作。這些工作主要由專業(yè)安全人員發(fā)起，一方面，他們利用自己的專業(yè)知識，對掃描結(jié)果進行深入的分析和判斷。另一方面則是根據(jù)他們的經(jīng)驗，對掃描器無法發(fā)現(xiàn)的、隱藏較深的安全問題進行手工的檢查和測試，從而做出更為精確的驗證（或模擬入侵）行為。

手動測試的必要性？

手動測試作為自動測試的一種補充，是滲透測試過程中必不可少的一個重要部分，但因手動測試由測試人員發(fā)起，因此，測試人員的個人技能和經(jīng)驗直接影響手動測試的結(jié)果。知道創(chuàng)宇云安全滲透測試的核心團隊由國內(nèi)知名安全研究員、知道創(chuàng)宇CSO黑哥和知道創(chuàng)宇技術(shù)副總裁余弦?guī)ш牎?/p>

企業(yè)通過滲透測試可以獲得？
1. 技術(shù)安全性的驗證

滲透測試作為獨立的安全技術(shù)服務，其主要目的就在于驗證整個目標系統(tǒng)的技術(shù)安全性，通過滲透測試，可在技術(shù)層面定性的分析系統(tǒng)的安全性。

2. 查找安全隱患點

滲透測試是對傳統(tǒng)安全弱點的串聯(lián)并形成路徑，最終通過路徑式的利用而達到模擬入侵的效果。所以，在滲透測試的整個過程中，可有效的驗證每個安全隱患點的存在及其可利用程度。

3. 安全教育

滲透測試的結(jié)果可作為內(nèi)部安全意識的案例，在對相關(guān)的接口人員進行安全教育時使用。

4. 安全技能的提升

一份專業(yè)的滲透測試報告不但可為用戶提供作為案例，更可作為常見安全原理的學習參考。

了解更多測試分析相關(guān)資訊、教程、產(chǎn)品>>>

慧都在線商城正式上線啦！更快更優(yōu)惠！詳情查看全新在線商城頁>>>