A.3 滲透測試方案

滲透測試方案應側重于在應用程序、系統或網絡中的設計和實現中，定位和挖掘出可利用的漏洞缺陷。測試應該重現最可能的和最具破壞性的攻擊模式，包括最壞的情況，諸如管理員的惡意行為。由于滲透測試場景可以設計以模擬內部攻擊、外部攻擊，或兩者兼而有之，因此外部和內部安全測試方法均要考慮到。如果內部和外部測試都要執行，則通常優先執行外部測試。

外部腳本模擬那些假設具備很少或根本沒有具體目標信息的外部攻擊者。模擬一個外部攻擊，評估者不知道任何關于目標環境以外的其他特別IP地址或地址范圍情況的真實信息。他們可通過公共網頁、新聞頁面以及類似的網站收集目標信息，進行開源分析；使用端口掃描器和漏洞掃描器，以識別目標主機。由于評估者的流量往往需要穿越防火墻，因此通過掃描獲取的信息量遠遠少于內部角度測試所獲得的信息。在識別可以從外部到達的網絡上主機后，評估者嘗試將其作為跳板機，并使用此訪問權限去危及那些通常不能從外部網絡訪問的其他主機。滲透測試是一個迭代的過程，利用最小的訪問權限取得更大的訪問。

滲透測試對確定一個信息系統的脆弱性以及如果網絡受到破壞所可能發生的損害程度非常重要。滲透測試對網絡和系統也可能引入高風險，因為它使用真正的資源并對生產系統和數據進行攻擊，應指定策略，限制測試人員可能使用的特定工具或技術，或者僅限于在一天的某些時間或一周中的某些時間使用它們。因此，滲透測試應在評估者達到當其他行為會造成損害的時間點時即停止。應重視滲透測試的結果，當結果可用時，應提交給該系統的管理者。