除了找到合適工具以及具備資質的組織進行滲透測試外,還應該準確確定測試範圍。攻擊者會借助社會工程學、偷竊、賄賂或者破門而入等手法,獲得有關資訊。真正的攻擊者是不會僅僅滿足於攻擊某個企業網路的。
通過該網路再攻擊其它公司往往是黑客的慣用伎倆。攻擊者甚至會通過這種方法進入企業的isp。
由peteherzog提出的
opensourcesecuritytestingmethodologymanual(osstmm)已經成為執行滲透測試和獲得安全基準的事實方法。根據peteherzog的觀點,「osstmm的主要目標是實現透明度。它實現了對那些不具備充足安全配置和政策的人的透明度。
它實現了對那些沒有執行足夠安全性和滲透測試的人的透明度。它實現了對那些已經很缺乏安全預算的犧牲者仍然盡力壓榨其每一分預算的無良安全**商的透明度;以及對那些迴避商業價值而炒作法律規範、網路破壞和黑客等威脅的人的透明度。osstmm的滲透測試範疇包括從初始需求分析到生成報告的整個風險評估過程。
」這個測試方法包含了六個方面:
資訊安全性
過程安全性
internet技術安全性
通訊安全性
無線安全性
物理安全性
osstmm關注測試項的技術細節,在安全必測試之前、期間和之後需要做什麼,以及如何界定結果。針對國際化最初實踐方法、法律、規章和道德問題的新測試都會定期增加和更新。
nationalinstituteofstandardsandtechnology(nist)在specialpublication800-42,guidelineonnetworksecuritytesting中討論了滲透測試。nist的方法雖然不及osstmm全面,但是它更可能被管理部門所接受。
另乙個需要注意的方面是滲透測試服務提供商。每乙個單位在滲透測試過程中最擔心的乙個問題是敏感資訊可能通過錯誤的路徑。因此,收集盡可能多關於公司的資訊變得非常重要(如他們的技術能力、證書、經驗、方法和所使用的工具),並且要保證他們是專業人員。
此外,有一些專業的官方證書可以表明公司的可信賴程度及其與行業最佳實踐的一致性。
滲透測試方案
四川品勝安全性滲透測試測試 方案成都國信安資訊產業基地 二 一五年十二月 目錄 1 1.引言 2 1.1.專案概述 2 2.測試概述 2 2.1.測試簡介 2 2.2.測試依據 2 2.3.測試思路 3 2.3.1.工作思路 3 2.3.2.管理和技術要求 3 2.4.人員及裝置計畫 4 2.4.1...
數學模型方法的滲透
論小學數學教學中數學模型方法的滲透 市中辦中心小學閆倩倩 摘要 本文論述了什麼是數學建模教學,對數學建模教學與現行的應用題教學進行比較,進一步說明了開展小學數學建模教學的重要性,並以 植樹問題 為例,了如何開展小學數學建模教學。關鍵詞 數學模型建模教學植樹問題 新課程標準下的數學教學,堅持以人為本,...
重視思想與方法的滲透
重視思想與方法的滲透,提高複習效率 美國教育心理學家布魯納指出 掌握基本的數學思想和方法,能使數學更易於理解和更利於記憶,領會基本數學思想和方法是通向遷移大道的 光明之路 對學生一生的影響,最有用的不僅是數學知識,最重要的還是數學的思想和數學的意識。在小學數學的課堂教學活動中要不失時機地對學生進行數...