監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢(xún)管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 甲方項(xiàng)目管理系統(tǒng) | 簽約案例 | 客戶(hù)案例 | 在線(xiàn)試用
X 關(guān)閉

如何選擇可靠的安全測(cè)試服務(wù)提供商

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà):400-8352-114

如何更好的管理企業(yè)網(wǎng)絡(luò)安全?在內(nèi)部缺少安全專(zhuān)家的情況下,你很有可能必須從外部的安全測(cè)試服務(wù)中選擇一家廠(chǎng)商。那么如何選擇可靠的安全測(cè)試服務(wù)提供商呢?在第三方安全測(cè)試服務(wù)時(shí)主要考慮要素有:

◆了解組織的應(yīng)用攻擊面

◆解決預(yù)算問(wèn)題

◆了解深入的測(cè)試分析

◆決定分析的頻率

應(yīng)用攻擊表面

首先,了解需要測(cè)試的范圍很重要。有一些問(wèn)題需要安全測(cè)試人員回答,如有多少應(yīng)用需要測(cè)試,他們托管在哪里以及誰(shuí)開(kāi)發(fā)的他們?項(xiàng)目經(jīng)理也應(yīng)該做好準(zhǔn)備回答關(guān)于風(fēng)險(xiǎn)等級(jí)的問(wèn)題。這些問(wèn)題包括:哪些應(yīng)用程序管理著最敏感的數(shù)據(jù),哪些負(fù)責(zé)最有價(jià)值的操作,以及哪些代表著最大的風(fēng)險(xiǎn)?這些等級(jí)將有助于優(yōu)化測(cè)試活動(dòng)。沒(méi)有回答這些問(wèn)題,那么深入的決策很有可能會(huì)濫用資源。

預(yù)算

原始預(yù)算可能會(huì)嚴(yán)格控制在測(cè)試項(xiàng)目上。尤其是在沒(méi)有內(nèi)部開(kāi)發(fā)預(yù)測(cè)的小企業(yè)中,預(yù)算可能是一個(gè)最重要的問(wèn)題。以預(yù)算內(nèi)對(duì)外部廠(chǎng)商進(jìn)行評(píng)估可以用幫助快速縮小領(lǐng)域,尤其是在決定采用深度測(cè)試分析時(shí)。

深度分析

所有的評(píng)估和測(cè)試活動(dòng)并都不是一樣的。當(dāng)評(píng)估第三方法測(cè)試服務(wù)時(shí),了解具體將要哪類(lèi)測(cè)試很重要。這決定了評(píng)估將提供的安全級(jí)別的洞察力。

靜態(tài)測(cè)試在空閑時(shí)查看應(yīng)用代碼或二進(jìn)制檔。動(dòng)態(tài)測(cè)試檢查正在運(yùn)行的系統(tǒng),并執(zhí)行測(cè)試來(lái)決定的,或試圖決定應(yīng)用現(xiàn)在的漏洞顯示的行為。如靜態(tài)和動(dòng)態(tài)測(cè)試這樣的自動(dòng)分析只依靠工具來(lái)努力把代碼模式或請(qǐng)求與響應(yīng)配對(duì)匹配。

自動(dòng)分析相對(duì)較便宜,但也存在一定的局限。例如,自動(dòng)化測(cè)試只能識(shí)別出一些特定類(lèi)型的漏洞,而對(duì)于確定依賴(lài)于應(yīng)用的業(yè)務(wù)上下文環(huán)境的漏洞有哪些,它卻是無(wú)能為力了。除了因?yàn)樽詣?dòng)分析的局限性而引入的漏報(bào)率外,自動(dòng)化安全測(cè)試嘗嘗可以識(shí)別出誤報(bào),這時(shí)分析會(huì)強(qiáng)調(diào)出可能是漏洞,而實(shí)際還沒(méi)有被利用的。

手動(dòng)分析比較昂貴,因?yàn)樗蕾?lài)于安全分析師來(lái)執(zhí)行測(cè)試。這提高了漏洞類(lèi)型可識(shí)別的概率,所以期望手動(dòng)測(cè)試過(guò)濾出誤報(bào)是很可行的。然而,復(fù)雜的手動(dòng)測(cè)試成本可能會(huì)成為阻礙,即使對(duì)于有著大量資源的組織來(lái)說(shuō)也是一項(xiàng)負(fù)擔(dān)。

分析頻率

安全前景一直在變化著,而且最重要的應(yīng)用程序通常屬于主動(dòng)開(kāi)發(fā)類(lèi)型。安全測(cè)試并不是一次性行為。

使用外部的測(cè)試機(jī)構(gòu)或服務(wù)對(duì)于不大型組織和小企業(yè)都是最常見(jiàn)的策略,只要他們需要引入安全測(cè)試功能和技能。但是,確保這些機(jī)構(gòu)能完全理解什么樣的測(cè)試將會(huì)按預(yù)期執(zhí)行很重要。另外,了解組織的攻擊層面和應(yīng)用風(fēng)險(xiǎn)級(jí)別有助于確保測(cè)試預(yù)測(cè)的分配最優(yōu)化。

【推薦閱讀】

網(wǎng)管軟件專(zhuān)區(qū)

上網(wǎng)行為運(yùn)維管理為何陷入人力成本困境?

網(wǎng)絡(luò)運(yùn)維管理技巧之:小處著眼 降低企業(yè)網(wǎng)絡(luò)運(yùn)維工作負(fù)擔(dān)

網(wǎng)管軟件正在向上網(wǎng)行為運(yùn)維管理軟件升級(jí)

上網(wǎng)行為運(yùn)維管理專(zhuān)區(qū)

本文來(lái)自互聯(lián)網(wǎng),僅供參考
發(fā)布:2007-04-15 10:01    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章: