safedog渗透测试服务白皮书.doc

渗透测试服务白皮书 目录 1. 渗透测试服务是什么...............................................................................................3 2. 为何需要渗透测试服务？.......................................................................................3 3. 渗透测试服务会有什么收益？...............................................................................3 4. 渗透测试与漏洞扫描有何差异？...........................................................................4 5. 自动测试与人工测试有何差异？...........................................................................5 6. 渗透测试有无相关规范？.......................................................................................6 7. 渗透测试执行流程是怎样的？...............................................................................7 8. 渗透测试的内容有那些？.......................................................................................8 9. 如何避免渗透测试的风险.....................................................................................10 10. 其他渗透测试常见问答....................................................................................... 11 1. 渗透测试服务是什么 渗透测试服务 (Penetration Test, PT) 是委托信任的第三方专业安全公司，从 黑客的角度出发，模拟攻击者的思考方式对企业进行各种入侵攻击测试。 渗透测试执行期间，网络安全专家会以黑客的思维尝试入侵该企业的网站、 网络系统、存储设备等软硬件，找出各种潜在的漏洞，以验证企业的设备与资料 是否可被破坏或窃取，同时也评估信息系统与硬件的全盘系统架构，确认其安全 性是否有待加强。 渗透测试结束后，专家会列出详细的攻击手法与步骤，提供完整的修补建议 并协助企业修补漏洞，让企业能尽速降低遭受入侵的风险。漏洞经过企业修补完 毕后，安全团队会再次确认是否可使用其他手法绕过防护，以确保企业不会因为 同样的问题遭受损失。 2. 为何需要渗透测试服务？ 黑客攻击就像生活中的病毒，随时随地都有可能接触到并且遭受感染。而渗 透测试如同健康检查，若企业能定时执行深层的安全体检，面对各种攻击时即可 提高存活的机率。 若企业、网站有机密资料外泄、用户资料外泄等担忧，或是开发完毕的新系 统需要上线，又或者开发中的系统需要做局部安全测试，都适合渗透测试进行安 全检测。 在面对网络上的众多黑客之前，先行做好防御措施，才能保证系统的每个环 节都经得起黑客的挑战，进而巩固客户对企业的信赖。 3. 渗透测试服务会有什么收益？ 通过渗透测试，客户获得的收益有： 1、客户可以从攻击角度了解系统是否会存在一些隐性的安全漏洞和风险点； 2、从客户收益的角度来说，特别是在进行安全项目之前进行渗透测试，可 以对信息系统的安全性得到较深的感性认知，有助于后续的安全建设； 3、在进行了渗透测试后，可以用于验证经过安全保护后的网络是否真实的 达到了预定安全目标、遵循了安全策略。 4. 渗透测试与漏洞扫描有何差异？ 渗透测试需由经验丰富的安全专家手动进行，测试过程中专家会利用不同的 漏洞进行组合式攻击，验证是否有任何方式一种方式可突破当前系统的防御。渗 透测试为求仔细，通常需要费时多天才能完成，因此耗费的人力成本较高。 漏洞扫描可由自动化扫描软件在较短的时间内执行完毕，因此时间与金钱成 本相对较低。但是漏洞扫描仅能检测既有的漏洞，无法及时检测出最新的安全漏 洞并给予修补建议，同时对于漏洞的误判率也较高。目前渗透测试为求完整，通 常已将