若何履行一个浸透测试[网络技术]

一个杰出的浸透测试是什么构成的?

固然履行一个浸透测试有很多明显的长处——履行浸透测试的代价在于它的后果.这些后果必须是有代价的,并且关于客户来说必须是很简单理解的.有一个常见的曲解是认为浸透测试只是利用一些时髦的自动化安全工具,并处理所生成的报告.但是,成功履行一个浸透测试并不但仅是需求安全工具.固然这些自动化安全测试工具在实践中扮演了重要的角色,但是它们也是有缺陷的.事实上,这些工具一向无法真正模拟一个高深攻击者的行为.不管安全工具完成的报告有多么全面,此中老是有一些需求注释的问题.

让我们看看构成一个杰出浸透测试的一些关键因素:

•成立参数:定义工作范围是履行一个成功浸透测试的第一步,也是最重要的一步.这包含定义边界、目标和历程考证（成功条件）.

•专业人员:装备技术纯熟和经验丰富的咨询人员履行测试——他们理解自己要做什么.换句话说,专业人员与常人员是差别的.要保证他们是:

o 能胜任的

o经验丰富的

o服从保密协议

•挑选充足的测试集:手工的和自动的城市影响成功/效益之间的最佳均衡.

•遵守精确的办法:这并非猜谜游戏.全部方面都需求筹划、文档化和符合要求.

•后果值:后果应当具体地写入文档,并且要极力使它们能被客户所理解.不管是技术报告还是履行总结,都需求一些注释.利用安置一些安全咨询人员/测试人员来答复问题或注释后果.

•测试后果与倡议:这是浸透测试的一个非常重要的部份.终究的报告必须清楚地阐明成果,必须将成果与潜在的风险对应.这应当会附带产生一个基于最佳安全实践办法的改正线路图.

在我们谈论浸透测试中所利用的测试战略和技术之前,让我们先看一些大概很有效的场景:

•成立新的办公室

不管是成立新的公司或增添新的办公点,浸透测试都有助于肯定网络底子架构中的潜在漏洞.比方,在增添新办公点时履行内部测试是非常重要的,因为它会查抄网络资源的可用性,并查抄这些办公点之间传输的流量范例.

•布置新的网络底子架构

每一个新的网络底子架构都应当能模拟黑客行为举行全面的测试.当履行外部测试（预先不太理解底子架构）来保证边界安全性时,我们也应当履行内部测试来保证网络资源,如:服务器、存储、路由和拜候设备,在边界遭到攻击时仍旧是充足安全的,并且底子架构是可以顺从任何攻击的.

•改正/进级现有的底子架构

改恰是不可避免的——大概是软件、硬件或网络计划,由于需求功效改良;修复庞大缺陷和/或利用新的需求,都大概惹起改正/进级.不管现有的底子架构在什么时刻发生改变,它都应当再次测试,以保证不会呈现新的漏洞.必要测试的数目取决于底子架构改正的特点和程度.细小的改变,如配置变更为特定法则,将只需求举行端口扫描来保证预期的防火墙行为,而庞大的改变,如关键设备/OS版本进级,大概就需求完好重新测试.

•布置新利用

当底子架构举行完好测试之后,新的利用（不管是衔接Internet的或是在Intranet中）在布置到生产环境之前也都必须举行安全性测试.这个测试需求在"实际的"平台上举行,以保证这个利用只利用预定义的端口,并且代码本身也是安全的.

•改正/进级一个现有利用

随着基本架构发生改变,本质上利用也会发生改变.细小的改变,如用户帐号改正,都不需求测试.但是,庞大的改变,包含利勤奋效改变,都应当完好重新测试.

•按期反复测试

管理安全性并非易事,而公司不该该认为浸透测试就是全部安全问题的终究办理办法.假如这样认为,那么他们只是相信了假的安全性.对敏感系统按期履行测试来保证不会呈现不按筹划的改变,一向都是一个非常好的实践办法