所谓外部External/内部Internal测试关注的是从什么位置开始测试,而不是测试人员的来源。
外部安全测试:
是从组织的安全周界之外进行的,目的是揭示可能被外部攻击者利用的漏洞。
除了对外部可访问的服务器进行测试以外,外部安全测试也着眼于发现访问方法(access method)的漏洞,如无线接入点、远程访问通道如VPN、以及内部服务器的门户(portal)。
外部测试只能使用测试方法(testing technique)。
内部安全测试:
内部安全测试,评估人员从内部网络开始工作,假设是受信任的内部人员或已经渗透了周界防御的攻击者。内部安全测试还侧重于系统级安全和配置——包括应用和服务配置、认证、访问控制和系统加固。
执行内部测试的评估人员通常被授予某种程度的网络访问权,通常是作为普通用户,并被提供具有类似权限的用户所拥有的信息。当然,取决于测试的目标,也可以授予系统或网络管理员的权限。测试人员从他们被授予的任何级别的访问权限出发,试图通过权限升级来获得对网络和系统的额外访问。
内部测试不像外部测试那样受到限制,除了测试方法(testing technique)之外,还可以使用网络嗅探等检查方法(examination technique)。
其他:
如果要进行内部和外部测试,通常先进行外部测试。如果由同一个(组)测试人员进行这两种测试,这尤其重要,否则他(们)将在获得网络结构或系统配置等的内幕信息之后进行外部测试,降低测试的合理性有效性。
标签:CISSP,内部,安全,外部,Testing,测试人员,访问,Internal,测试 From: https://blog.51cto.com/u_374929/5765712