网络渗透测试指导手册.pdfVIP

网络渗透测试指导手册 网络渗透测试指导手册 什么是网络渗透测试？渗透测试是一种最老的评估计算机系统安全性的方法。虽然渗 透测试的主要目标是发现组织中网络基础架构的安全漏洞；但是它也可能有许多次要目 标，包括测试组织的安全问题识别和响应能力，测试员工安全知识或测试安全性政策规范 等。本文手册介绍了执行一个渗透测试，渗透测试中的策略、技术方法、种类、以及标准 等。 网络渗透测试基础 渗透测试是一种最老的评估计算机系统安全性的方法。在 70 年代初期，国防部就曾 使用这种方法发现了计算机系统的安全漏洞，并促使开发构建更安全系统的程序。渗透测 试越来越多地被许多组织用来保证信息系统和服务的安全性，从而使安全性漏洞在暴露之 前就被修复。  什么是网络渗透测试 ？ 渗透测试的执行 有一个常见的误解是认为渗透测试只是使用一些时髦的自动化安全工具，并处理所生 成的报告。但是，成功执行一个浸透测试并不仅仅是需要安全工具。虽然这些自动化安全 测试工具在实践中扮演了重要的角色，但是它们也是有缺点的。  如何执行一个渗透测试？ 渗透测试的策略 根据准备实现的具体目标不同，我们可以有不同的渗透测试策略，主要包括了外部测 试策略、内部测试策略、盲式测试策略、双盲式测试策略等。  渗透测试有哪些策略？ 渗透测试中的技术方法 TechTarget 网络技术专题之“网络渗透测试指导手册” Page 2 of 18 《渗透测试策略》中我们介绍了渗透测试的各种策略，接下来我们重点介绍一些渗透 测试中使用的技术/方法，以及它是如何在执行成功的渗透测试中发挥作用的。  渗透测试中使用哪些技术方法？ 渗透测试的种类 渗透测试是完全依赖于操作范围的——像入侵程度就是与范围直接关联的。例如，有 时在一个特定系统中发现漏洞就足够了。因此，基于约定的范围来选择正确的渗透测试对 于安全人员来说是非常重要的。  渗透测试的种类介绍 渗透测试的方法与标准 成功执行渗透测试的其一个主要因素是底层的方法。缺少正式的方法意味着没有一致 性，虽然渗透测试人员需要有适合的专业技术，但也不能缺少正确的方法。换句话说，一 个正式的方法应该能够提供一个用于构建完整且准确的渗透测试的严格框架，但是不能够 有限制——它应该允许测试人员充分发挥各自的聪明才智。  渗透测试的方法与标准 TechTarget 网络技术专题之“网络渗透测试指导手册” Page 3 of 18 什么是网络渗透测试？ 什么是渗透测试？ 渗透测试是一种最老的评估计算机系统安全性的方法。在 70 年代初期，国防部就曾 使用这种方法发现了计算机系统的安全漏洞，并促使开发构建更安全系统的程序。渗透测 试越来越多地被许多组织用来保证信息系统和服务的安全性，从而使安全性漏洞在暴露之 前就被修复。由于恶意代码、黑客、不满员工所造成的网络入侵、数据偷窃和攻击的频率 和严重程度会继续增加，所以网络安全漏洞和数据偷窃所造成的风险和代价是极大的。由 于企业电子化的兴起及其对安全性的要求，公司网络的远程访问也在增加。事实上，即使 网络实现管理的很好，并使用了最新的硬件和软件，也仍然可能受到错误配置或软件缺陷 的影响。这可能最终会将敏感信息的访问权限泄漏给入侵者。使用渗透测试工具则能够显 著地减少这种情况的发生。 虽然渗透测试的主要目标是发现组织中网络基础架构的安全漏洞；但它也可能有许多 次要目标，包括测试组织的安全问题识别和响应能力，测试员工安全知识或测试安全性政 策规范等。 执行网络渗透测试的原因  渗透测试能够通过识别安全问题来帮助一个单位理解当前的安全状况。这使促使许 多单位开发操作规划来减少攻击或误用的威胁。  撰写良好的渗透测试结果可以帮助管理人员建立可靠的商业案例，以便证明所增加 的安全性预算或者将安全性问题传达到高级管理层。  安全性不是某时刻的解决方案，而是需要严格评估的一个过程。安全性措施需要进 行定期检查，才能发现新的威胁。渗透测试和公正的安全性分析可以使许多单位 重视他们最需要的内部安全资源。此外，独立的安全审计也正迅速成为获得网络 安全保险的一个要求。 