1、滲透測試 (penetration test)并沒有一個(gè)標(biāo)準(zhǔn)的定義,國外一些安全組織達(dá)成共識(shí)的通用說法是:滲透測試是通過模擬惡意黑客的攻擊方法,來評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估方法。這個(gè)過程包括對系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析,這個(gè)分析是從一個(gè)攻擊者可能存在的位置來進(jìn)行的,并且從這個(gè)位置有條件主動(dòng)利用安全漏洞。
2、滲透測試能夠通過識(shí)別安全問題來幫助一個(gè)單位理解當(dāng)前的安全狀況。這使促使許多單位開發(fā)操作規(guī)劃來減少攻擊或誤用的威脅。
3、滲透測試有時(shí)是作為外部審查的一部分而進(jìn)行的。這種測試需要探查系統(tǒng),以發(fā)現(xiàn)操作系統(tǒng)和任何網(wǎng)絡(luò)服務(wù),并檢查這些網(wǎng)絡(luò)服務(wù)有無漏洞。你可以用漏洞掃描器完成這些任務(wù),但往往專業(yè)人士用的是不同的工具,而且他們比較熟悉這類替代性工具。
4、滲透測試的作用一方面在于,解釋所用工具在探查過程中所得到的結(jié)果。只要手頭有漏洞掃描器,誰都可以利用這種工具探查防火墻或者是網(wǎng)絡(luò)的某些部分。但很少有人能全面地了解漏洞掃描器得到的結(jié)果,更別提另外進(jìn)行測試,并證實(shí)漏洞掃描器所得報(bào)告的準(zhǔn)確性了。
5、漏洞掃描是指基于漏洞數(shù)據(jù)庫,通過掃描等手段對指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測,發(fā)現(xiàn)可利用漏洞的一種安全檢測(滲透攻擊)行為。
6、漏洞掃描技術(shù)是一類重要的網(wǎng)絡(luò)安全技術(shù)。它和防火墻、入侵檢測系統(tǒng)互相配合,能夠有效提高網(wǎng)絡(luò)的安全性。通過對網(wǎng)絡(luò)的掃描,網(wǎng)絡(luò)管理員能了解網(wǎng)絡(luò)的安全設(shè)置和運(yùn)行的應(yīng)用服務(wù),及時(shí)發(fā)現(xiàn)安全漏洞,客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。網(wǎng)絡(luò)管理員能根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤設(shè)置,在黑客攻擊前進(jìn)行防范。如果說防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動(dòng)的防御手段,那么安全掃描就是一種主動(dòng)的防范措施,能有效避免黑客攻擊行為,做到防患于未然。
7、網(wǎng)絡(luò)安全事故后可以通過網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)分析確定網(wǎng)絡(luò)被攻擊的漏洞所在,幫助彌補(bǔ)漏洞,盡可能多得提供資料方便調(diào)查攻擊的來源。
8、互聯(lián)網(wǎng)的安全主要分為網(wǎng)絡(luò)運(yùn)行安全和信息安全兩部分。網(wǎng)絡(luò)運(yùn)行的安全主要包括以ChinaNet、ChinaGBN、CNCnet等10大計(jì)算機(jī)信息系統(tǒng)的運(yùn)行安全和其它專網(wǎng)的運(yùn)行安全;信息安全包括接入Internet的計(jì)算機(jī)、服務(wù)器、工作站等用來進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索處理的人機(jī)系統(tǒng)的安全。網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)能夠積極的配合公安、保密部門組織的安全性檢查。
網(wǎng)絡(luò)安全都有哪些就業(yè)方向?
一、滲透測試工程師
基本要求:對web安全整體需要有著深刻的理解和認(rèn)識(shí),具備web滲透相關(guān)的技能,熟悉滲透測試整體流程,熟悉掌握各類安全測試的工具。
崗位職責(zé):主要負(fù)責(zé)承接滲透測試相關(guān)的項(xiàng)目,跟蹤國際、國內(nèi)安全社區(qū)的安全動(dòng)態(tài),進(jìn)行安全漏洞分析、研究以及挖掘,并且進(jìn)行預(yù)警。
二、安全開發(fā)工程師
基本要求:掌握ruby、nodejs、Python、Java其中一種語言,熟悉主流的滲透攻擊的原理、利用方式,能夠以手工和結(jié)合工具的方式對目標(biāo)系統(tǒng)進(jìn)行滲透測試。
基本職責(zé):負(fù)責(zé)對安全產(chǎn)品的開發(fā)與維護(hù),包含安全應(yīng)急等工作。
三、安全運(yùn)維工程師
基本要求:熟悉Linux操作系統(tǒng),熟悉編寫shell或者Python腳本,熟悉常見web安全漏洞分析與防范,包含SQL注入、XSS、csrf等。
基本職責(zé):負(fù)責(zé)業(yè)務(wù)服務(wù)器操作系統(tǒng)的安全加固,系統(tǒng)層的應(yīng)用程序的運(yùn)行權(quán)限檢測、評(píng)估。