滲透測試公司談網站安全評估方法

很多滲透測試公司對當前在各種安全評估方法總體上按不同的劃分標準可以分為四種：依據性質劃分的安全評估方法、根據威脅量和攻擊等級劃分的安全評估方法、基於一定模型的安全評估方法、綜合安全評估方法。這四類安全評價方法各有其特點，需要評價方和被測者根據自己的需求和滲透測試的具體結果，選擇安全評價方法的型別。下面將對安全評估方法的四種不同型別作具體說明：

(1)安全評估方法基於性質劃分：方法主要基於測驗物件和評估者的經驗、過去案例的分析、總體安全形勢的趨勢預測等方面，具有很強的主觀性，對測試者和評估人員的專業要求很高，同時也要根據行業慣例及相關規定，對風險因素進行層次分級，如果想要對網站進行全面的安全評估滲透測試服務的話可以向網站安全公司或滲透測試公司尋求服務來全面檢測漏洞和安全。

(2)基於威脅等級和量化劃分的安全評估方法：主要是需要對風險和威脅進行量化計算，根據某種計算方法和分級方法對威脅進行分級。

(3)基於一定模型的安全評估方法：主要根據測量者和評估者建立的安全模型，根據測試方法和網路結構的不同而建立不同的安全評估模型，最後得到一種可用於整個計算機網路的測試與評估方法。

(4)綜合評估方法：由於單獨使用某些評估方法不能全面覆蓋，所以可採用綜合評價方法，將性質劃分與量化計算相結合，建立模型，最後得出綜合檢驗方法。但是，在時間較緊的情況下，綜合評價法並不適用，常見的綜合評價方法，比方說，模糊數學方法在滲透測試和安全評價方法上各有優點，要結合自身的需求和測試方法的特點進行選擇，本章通過設計一個整體的測試評估方案，該方案包括工具和方法的詳細測試和自動滲透測試系統測試，然後設計一個評估演算法，把基於CVSS優化後的評估方法綜合起來，對測試目標進行評分，最後得出結論，下兩章將詳細說明該方案的實施過程。