企业渗透测试指南绪论.pdf

企业渗透测试指南 企业渗透测试指南 正确执行的渗透测试是秘密的测试，其中由咨询人员或者内部人员扮演恶意攻击者， 攻击系统的安全性。因为最终目的是渗透，这种测试不会发出警告，完全保密（当然，上 层管理人员同意进行测试并且理解秘密的要求）。理想的是，应该没有来自企业的支 持……或者，最大限度的是指出哪些是渗透测试团队应该避免的。在本指南中将全面介绍 渗透测试和道德黑客，以及渗透测试的作用和执行方式，此外，希望本指南也能为想要成 为渗透测试人员，也就是道德黑客的技术人员提供帮助。 什么是渗透测试 安全诊断主要有三种类型：渗透测试、审计和评估（被不同地描述为评估和风险评 估)。单独使用任何一种测试都不可以很好的进行。在测量系统安全的时候，必须要在合 适的时间执行合适的测试。渗透测试的名声最响，因为每个人都听说过，而且“知道”渗 透测试是专家用于确保系统安全的。本部分将介绍渗透测试的基本概念和道德黑客技术。 渗透测试的解释 标准渗透测试的道德黑客技术 渗透测试对企业的作用 渗透测试可以提供安全防御的有价值的信息。此外有些企业需要有说服力的论据说明 不充分的安全可能导致重大损失。执行情况良好的渗透测试就可以证明。本部分将介绍渗 透测试对企业的作用，并涉及到企业建模的作用 保证企业网络安全必需渗透测试吗？ 威胁建模对企业有帮助吗？ TT 安全技术专题之“主题名称” Page 2 of 25 渗透测试的执行 渗透测试的目标不仅是要评估电脑系统或者网络的安全性，还要决定成功攻击的可 行性和商业影响。这样的测试模仿企图利用你的企业系统中的潜在的漏洞的攻击者。那么 如果选择合适的渗透测试人员呢？应该采用什么技术和工具呢？渗透测试应该包括哪些方 面呢？本部分将对这些问题做出解释。 如何选择渗透测试人员 漏洞分析新工具: RE:trace 社会工程测试应该包含在渗透测试中吗？ 零了解渗透测试的赞成和反对理由是什么 渗透测试和道德黑客 在互联网刚刚兴起的时候，我们经常可以听到渗透测试，但是最近几年这种狂热已经 减轻了。这种信息风险评估方式——21 世纪中它的名字是道德黑客——正在复兴。人们开 始看到以黑客的方式思考来防御黑客是全面信息风险管理项目的不可或缺的一部分。本部 分将介绍如何成为道德黑客或者渗透测试人员，以及他们执行渗透测试的注意问题。 道德黑客十训（上） 道德黑客十训（下） 渗透测试员解密企业系统评估 如何进入渗透测试行业 道德黑客如何转变为线路渗透测试人员？ TT 安全技术专题之“主题名称” Page 3 of 25 渗透测试的解释