虽然时间历史悠久,但大意是这样的。
说完入侵过程,再来说说企业网站为什么需要做渗透测试。
第一:网络安全法规定,
2017年6月1日正式实施的《网络安全法》明确要求,第三十三条至第三十八条对关键信息基础设施运营者的规定(例如,关键信息基础设施运营者应当自行或者委托网络安全服务机构对其网络安全和可能存在的风险至少每年进行一次检查评估,并将检查评估情况和改进措施报送负责关键信息基础设施安全保护的有关部门)具有相当的强制性。3354在法律责任一节中,明确提到如果不遵守这些规定,关键信息基础设施运营商将受到
拒不改正或者造成危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员并处1万元以上10万元以下罚款。
《网络安全法》解读,可点击【网络安全解读】查看。
在关注值得注意的是,渗透测试是信息安全风险评估中一种常见且非常重要的手段。
第二,渗透测试有助于合规建设。
(支付卡行业安全标准委员会)第11.3条中有一项要求,即至少每年或在基础设施或应用的任何重大升级或修改(如操作系统升级、在环境中添加子网或在环境中添加网络服务器)后,应进行基于应用层和网络层的内部和外部渗透测试。
第三,认证的基线要求。
附录A12“信息系统的开发、获取和维护”的要求建立了一个软件安全开发周期,并特别提出在上线前应参考例如标准进行额外的渗透测试。目前,北京安普诺信息公司已经获得认证。
第四,银监会在一些监管指引中的要求
根据银监会多项监管指引的明确要求,我行的安全策略、内控制度、风险管理、系统安全等。需要进行渗透测试和检查,评估管控能力。
第五,尽量减少业务损失。
除了满足策略的合规性要求、提高客户的操作安全性或满足业务合作伙伴的要求。最终目标应该是最小化商业风险。
企业需要尽可能地进行渗透测试,以控制安全风险。
在网站开发过程中,会出现很多隐形的安全问题,难以控制和发现。当这些众多的漏洞暴露在外部网络环境中时,信息安全威胁就会出现。
企业通过定期的渗透测试,可以有效地预防、发现和解决这个问题。经过专业人士的测试和强化,系统会变得更加稳定和安全。测试后的报告可以帮助管理者做出更好的项目决策,同时证明增加安全预算的必要性,并向高层传达安全问题。
渗透测试和安全测试的区别
渗透测试不同于传统的安全扫描。在整体风险评估的框架下,漏洞和安全扫描之间的关系可以用“连续性”来描述,即如上所述,是对扫描结果的验证和补充。
此外,渗透测试与传统安全扫描的最大区别在于,渗透测试需要大量的人工干预。
这些工作主要由专业安全人员发起。一方面,他们利用自己的专业知识对扫描结果进行深入的分析和判断。
另一方面,根据他们的经验,手动检查和测试扫描器无法发现的安全隐患,从而做出更准确的验证(或模拟入侵)行为。
版权归作者所有,转载或内容合作请联系作者。
本文链接:http://www.slxf119.com/17575.html 转载需授权!
网友评论