什么类型的安全风险需要进行渗透测试？

网络在给我们带来无限方便的同时，也隐藏着无数危机。2022年网络入侵造成的损失创下新的历史记录，根据Cybersecurity Ventures最新发布的“2022年网络犯罪报告”，预计2023年网络犯罪将给全世界造成8万亿美元的损失。同时在市场和以网络安全法为代表的一系列法律法规的双重作用下，网络安全日益受到了重视，这使各企业机构必须不断地提高网络的安全防护能力及安全运维能力。

为此，可以对整体信息系统有一个具体的安全认识的服务——渗透测试得到了广泛的认可，下面具体说一下什么是渗透测试，以及如何进行渗透测试服务？

渗透测试

一、什么是渗透测试

渗透测试是一种从入侵者的角度来对客户授权的测试目标进行安全评估的手段，在对现有信息系统不造成损害的前提下，由具备高技能和高素质的安全服务人员发起，并模拟常见黑客所使用的测试手段对目标系统进行模拟入侵。可以清晰知晓系统中存在的安全隐患和问题。

渗透测试的方式主要分为黑盒测试和白盒测试：

黑盒测试：渗透者对于系统一无所知的状态，除了被测试的目标的已知公开信息外，不提供任何其他信息。

白盒测试：测试者可以通过正常渠道向被测单位取得各种资料，也能与单位其他员工进行面对面沟通。

渗透测试的作用

二、什么类型的安全风险需要进行渗透测试？

1.老旧的业务系统在架构设计时仅考虑功能实现，未考虑安全因素，缺乏对业务系统的安全性验证。

2.用户开发完毕的新系统平台需要上线，需要对安全架构的安全性进行验证，防止业务系统带“病”上线。

3.满足监管单位或主管单位对业务系统合规与监管的要求。

4.企业及网站存在机密资料外泄、用户资料外泄的担忧。

5.业务系统存在交易业务逻辑问题（如金融类系统）

渗透测试的服务流程

三、渗透测试服务的流程？

服务流程分为前期准备、测试阶段、复测阶段和成果汇报四个阶段：

前期准备：在实施渗透测试工作前，获得企业的授权后，技术人员会和客户对渗透测试服务相关的技术细节进行详细沟通，由此确认渗透测试的方案。

测试阶段：过程中，首先使用自动化的安全扫描工具，完成初步的信息收集等工作。再由安全专家对安全扫描的结果进行人工的确认和分析。并且根据收集的各类信息进行人工的进一步渗透测试深入，最终提交报告，并就报告内容进行沟通。

复测阶段：在经过第一次渗透测试报告提交和沟通后，等待客户针对渗透测试发现的问题整改或加固，例如额外的安全措施或补偿控制。经整改或加固后，测试人员重新参与以提供补救证据或评估缓解措施的效果，即二次复测。

成果汇报：根据一次渗透测试和二次复测结果，相关数据需要以清晰的方式关联并呈现给客户。最后汇报项目领导。