信息安全滲透測試攻防技術(shù)交流

2014年4月20日，上海市計算機軟件評測重點(diǎn)實(shí)驗室與滬上知名信息安全服務(wù)商安言咨詢(xún)就信息安全領(lǐng)域的高端服務(wù)--滲透測試進(jìn)行了技術(shù)研討。實(shí)驗室介紹了在信息系統安全等級保護測評中滲透測試方法和工具的實(shí)踐,安言咨詢(xún)針對互聯(lián)網(wǎng)中的熱點(diǎn)信息安全事件進(jìn)行了深度剖析并分享了信息安全時(shí)間的應對策略。

滲透測試(penetration test)在信息安全中尚未有標準的定義，國內外主要安全組織就滲透測試達成的共識是：滲透測試是通過(guò)模擬惡意黑客的攻擊方法，來(lái)評估計算機網(wǎng)絡(luò )、系統安全的一種評估方法。這個(gè)過(guò)程包括對系統存在的任意脆弱點(diǎn)（技術(shù)短板、漏洞、配置失誤）的主動(dòng)分析、利用，分析可以是從攻擊者可能存在的位置來(lái)進(jìn)行，并且從這個(gè)位置有條件主動(dòng)利用信息安全脆弱點(diǎn)。

重點(diǎn)實(shí)驗室嘗試在信息系統安全等級保護測評中結合Metasploit、BackTracker等主流滲透測試工具為客戶(hù)提供網(wǎng)絡(luò )、主機、應用系統信息安全增值服務(wù)，獲得了良好的開(kāi)局。安言咨詢(xún)分享了GoogleHacker、APT等信息安全領(lǐng)域的前沿滲透測試方法和典型案例。今后雙方將在滲透測試領(lǐng)域進(jìn)行持續、深入的合作。