|
|
以天磊卫士渗透测试服务为例,主要分为四个阶段,包括测试前期准备阶段、测试阶段实施、复测阶段实施以及成果汇报阶段:
1.前期准备阶段
在实施渗透测试工作前,技术人员会和客户对渗透测试服务相关的技术细节进行详细沟通。由此确认渗透测试的方案,方案内容主要包括确认的渗透测试范围、最终对象、测试方式、测试要求的时间等内容。同时,客户签署渗透测试授权书。
2.测试阶段实施
在测试实施过程中,天磊卫士测试人员首先使用自动化的安全扫描工具,完成初步的信息收集、服务判断、版本判断、补丁判断等工作。
然后由人工的方式对安全扫描的结果进行人工的确认和分析。并且根据收集的各类信息进行人工的进一步渗透测试深入。
结合自动化测试和人工测试两方的结果,测试人员需整理渗透测试服务的输出结果并编制渗透测试报告,最终提交客户和对报告内容进行沟通。
3.复测阶段实施
在经过第一次渗透测试报告提交和沟通后,等待客户针对渗透测试发现的问题整改或加固。经整改或加固后,测试人员进行回归测试,即二次复测。复测结束后提交给客户复测报告和对复测结果进行沟通。
4.成果汇报阶段
根据一次渗透测试和二次复测结果,整理渗透测试服务输出成果,最后汇报项目领导。
网站多久做一次渗透测试?
具体多久做一次是没有明确的标准的一般而言,与网络复杂程度、系统和应用变更的速度、预算等有关。一般渗透测试建议一年做一次,并且渗透测试报告往往简短且一针见血。例如重要的单位要每年做一次渗透扫描。普通单位信息系统在等级保护测评过程中至少有一次漏扫,并出具相应的漏扫报告,不能有高危漏洞。每一次持续时间为1到2周。
另外,也可能选择在重大节点进行渗透测试,例如网络升级,更换重要设施等,具体的要根据企业和单位实际情况来进行。 |
|
发 帖
发表于 2022-12-9 16:41:59