渗透测试的目的是找出软件系统中所有可能的漏洞和弱点,最大程度避免信息丢失,以及进而可能影响收入及名誉的情况发生。

对于当今的复杂系统,你不能在一开始就对安全问题视而不见,仅仅寄希望于在开发的最后阶段来统一解决。事实上,通常有七个已被公认的安全测试环节,需要作为开发工作的一部分,在开发的各个过程中安排进行测试。

在这篇文章中,益和的软件开发总监Antony会介绍益和是如何进行渗透测试的。根据英国国家网络安全中心定义:“这是一种模拟潜在威胁方并使用相同工具或技术,尝试突破部分或全部被测试系统的安全防御机制,并借由此查找、修补系统漏洞的方法。”

面向未来的安全性设计

在当今安全意识日益增强的世界中,商务领袖、IT经理和采购部门都要求软件提供商给出明确的安全承诺。大家都深知,暴露于安全漏洞下的代价是很高的,这包括由于安全漏洞造成的直接或间接损失,以及由于数据泄露可能造成的潜在罚款。

作为一个负责任的软件提供商,益和将软件安全置于最优先考虑的因素,在开发HUBmis,也就是益和全新的学校信息管理解决方案的过程中,通过实施定期的渗透测试来不断巩固安全性这一目标。

什么是渗透测试?

渗透测试是一种安全测试,它的目的是在测试中找到与系统基础设施和软件系统相关的安全漏洞、威胁和其他风险。在渗透测试中会包含多种对系统发起的模拟攻击。这可能包括(但不限于)基础设施配置、软件缺陷、弱访问控制(包括用户帐户控制)等等。通常,一个web应用程序评估将涵盖各种已知的威胁类型,其中许多是由诸如开放web应用程序安全项目(OWASP,见https://owasp.org/www-project-top-ten/)等机构发布的。

测试是如何执行的?

渗透测试通常由在信息科技安全和黑客方面拥有专业技能的第三方组织进行。与这些组织的接触通常始于介绍一个特定的目标,通常是一个网络应用程序。测试的范围是一致的,这可能是一个盲测,测试人员事先对软件并没有深入了解,与之相反,另一种方式中,测试人员事先了解相关信息并有针对性的进行测试。

在测试期间,当天发现的任何问题都会在一天的总结会议上报告。在测试期间发现的所有问题都被记录在一个特别报告中,其中的每个问题都会被依照公共漏洞评分系统(CVSS)来进行评级,这是一个用于描述安全问题的特征及其严重程度的开放框架。这有助于用户了解问题的本质,并了解应该如何处理这些问题。

谁来负责测试?

益和与通过CREST安全认证的服务商合作,开展安全测试服务。CREST是一家在信息技术安全领域被广泛认可的国际非营利性认证机构(见https://www.crest-approved.org)。在益和的软件开发过程中,我们对渗透测试发现并提出的改进建议总是优先进行处理。

我们致力于确保客户数据和系统的安全。益和建议学校在考虑实施新软件解决方案前,都应该向供应商咨询该软件是否做过渗透测试等安全项目。

联系我们,带您了解更多益和的安全策略。