不管是内部的渗透测试,还是系统遭受的网络攻击,都要对系统进行系统的报告整理和风险分析,这样有助于更好地提升系统的整体安全性。而且整个测试结束后,需要根据结果写出报告,同时判断系统存在的风险等级,具体如下:
危险等级判定:风险判断主要是根据在渗透测试过程中,发现的漏洞,以及通过渗透攻击得出的结果进行风险分级,全面分析该漏洞产生的原因及可能造成的危害,有助于以后编写安全评估报告,选择整体对策。
(1)判断依据:风险等级的判断总体上带有一定的主观性,虽然也有算法来计算风险的程度,但是具体细化的指标还是根据测试者对系统和平台进行一系列渗透测试后得出的结果所决定的,因此,测试人员对一个系统安全性的评估,很多时候都会不一样,但一点可以肯定,对于出现的漏洞以及存在的安全性问题,需要立即进行修复和完善。
(2)风险计算:如何计算风险的等级,量化风险,也是安全领域多年来研究的重点,对于具体的风险计算,出现了许多算法和计算方法,通过总结后在这里列出一个比较通用的计算方法,这个计算方式也是目前许多评测机构普遍采用的计算方法,这个方法也是目前许多评测机构普遍采用的计算方法。用xi对各个核查结果进行综合后得出的分数,wi是每个核查目标对应的权数,也是对各个目标所占比例的量化,重要程度。Y是在对核算结果进行加权平均之后,将评估结果综合起来,作为对安全评估等级的判断。
安全性评估还有一个重要数据需要参考,那就是漏洞的威胁,因此对漏洞存在的威胁进行量化计算,作为安全评估的参考指标,也是必须要做的。根据之前的一些攻击案例,大多数情况下处于i取值介于1到2之间,通过隐藏的渗透进入之后,不断地获取敏感信息。编写安全评估报告:测试结束后,测试人员需要综合各方面的因素和结果,并向委托方提供结果报告,也称为安全评估报告。
安全性评估报告包含渗透测试结果报告,针对测试系统和平台存在的漏洞,以及渗透攻击结果、代码、框架等存在的问题及可能被利用的漏洞,对系统总体安全性作出判断和说明,并对系统安全升级提出建议。值得注意的是,不需要在报告中写出具体的技术和方法,这些方法可以在单独的文档或详细的技术路线方法中给出。完整的报告应该简洁、直接,这样不仅便于测试人员在将来对系统进行的其它测试和评价时更好的借鉴,而且允许委托方快速修复漏洞,提高系统的总体安全性。
还没有评论,来说两句吧...