渗 透 测 试 与风 险 评 估 定 义 渗 透 测 试 (penetration test)并 没 有 一 个 标 准 的 定 义 ,国 外 一 些 安 全 组 织 达 成 共 识 的 通用 说 法 是 : 渗 透 测 试 是 通 过 模 拟 恶 意 黑 客 的 攻 击 方 法 , 来 评 估 计 算 机 网 络 系 统 安 全 的 一 种 评估 方 法 。 这 个 过 程 包 括 对 系 统 的 任 何 弱 点 、 技 术 缺 陷 或 漏 洞 的 主 动 分 析 , 这 个 分 析 是 从 一 个攻 击 者 可 能 存 在 的 位 置 来 进 行 的 ,并 且 从 这 个 位 置 有 条 件 主 动 利 用 安 全 漏 洞 。 渗 透 测 试 一 方 面 可 以 从 攻 击 者 的 角 度 , 检 验 业 务 系 统 的 安 全 防 护 措 施 是 否 有 效 , 各 项 安全 策 略 是 否 得 到 贯 彻 落 实 ; 另 一 方 面 可 以 将 潜 在 的 安 全 风 险 以 真 实 事 件 的 方 式 凸 现 出 来 , 从而 有 助 于 提 高 相 关 人 员 对 安 全 问 题 的 认 识 水 平 。 渗 透 测 试 结 束 后 , 立 即 进 行 安 全 加 固 , 解 决测 试 发 现 的 安 全 问 题 , 从 而 有 效 地 防 止 真 实 安 全 事 件 的 发 生 。 方 法 黑 箱 测 试 黑 箱 测 试 又 被 称 为 所 谓 的“Zero—Knowledge Testing",渗 透 者 完 全 处 于 对 系 统 一 无 所知 的 状 态 , 通 常 这 类 型 测 试 , 最 初 的 信 息 获 取 来 自 于DNS、 Web、 Email 及 各 种 公 开 对 外的 服 务 器 。 白 盒 测 试 白 盒 测 试 与 黑 箱 测 试 恰 恰 相 反 , 测 试 者 可 以 通 过 正 常 渠 道 向 被 测 单 位 取 得 各 种 资 料 , 包括 网 络 拓 扑 、 员 工 资 料 甚 至 网 站 或 其 它 程 序 的 代 码 片 断 , 也 能 够 与 单 位 的 其 它 员 工 ( 销 售 、 程 序 员 、管 理 者 ……) 进 行 面 对 面 的 沟 通 。 这 类 测 试 的 目 的 是 模 拟 企 业 内 部 雇 员 的 越 权 操 作 。 隐 秘 测 试 ...
