滲透測試是什麼意思啊

滲透測試是什麼？

滲透測試，是爲了證明網絡防禦按照預期計劃正常運行而提供的一種機制。不妨假設，你的公司定期更新安全策略和程序，時時給系統打補丁，並採用了漏洞掃描器等工具，以確保所有補丁都已打上。如果你早已做到了這些，爲什麼還要請外方進行審查或滲透測試呢？因爲，滲透測試能夠獨立地檢查你的網絡策略，換句話說，就是給你的系統安了一雙眼睛。而且，進行這類測試的，都是尋找網絡系統安全漏洞的專業人士。

滲透測試是對計算機系統的授權模擬攻擊，用於評估系統的安全性。執行測試以識別兩個缺點（也稱爲漏洞），包括未授權方訪問系統的特徵和數據的可能性，以及優點，使得能夠完成完整的風險評估。該過程通常識別目標系統和特定目標，然後審查可用信息，並採取各種手段來實現該目標。

滲透測試目標可以是白盒（提供背景和系統信息）或黑盒（只提供基本信息或除了公司名稱不提供任何信息）。灰盒穿透測試是二者的結合（其中目標有限的知識與審計人員共享）。滲透測試可以幫助確定一個系統是否容易受到攻擊，如果防禦足夠，以及測試是否打敗了哪些防禦（如果有的話）。滲透測試發現的安全問題應該報告給系統所有者。滲透測試報告也可以評估對組織的潛在影響，並提出降低風險的對策。

美國國家網絡安全中心（National Cyber Security Center）將滲透測試描述如下：“一種方法，通過試圖破壞某個IT系統的部分或全部安全性，使用與對手相同的工具和技術，來獲得對該IT系統的安全性的保證。”

滲透測試的目標根據針對任何給定參與的已批准活動的類型而有所不同，其中主要目標是發現可被邪惡行爲者利用的漏洞，並將這些漏洞與建議的緩解策略一起通知客戶。 滲透測試是全面安全審計的一個組成部分。

例如，支付卡行業數據安全標準要求在定期日程表和系統更改之後進行滲透測試。缺陷假設方法是一種系統分析和滲透預測技術，其中通過對系統的規範和文檔的分析來編譯軟件系統中的假設缺陷列表。然後，根據所估計的缺陷實際存在的概率，以及在控制或折衷的範圍內易於利用該漏洞，對假設缺陷列表進行優先級排序。優先級列表用於指導系統的實際測試。