OSSTMM 將安全測試劃分為哪幾類

OSSTMM的方法論總結了多種形式的安全測試，并將它們劃分為6個標準種類。

• 盲測（blind）：事先不了解目標系統的任何情況的測試就是盲測。然而，在評估過程開始之前，被測單位會知道何時開始安全測試。道德黑客（Ethical hacking）和對抗競賽（War Gaming）就是典型的盲測。因為盲測遵循了道德規范，事先通知被測單位，所以這種測試方法也被廣泛接受。

• 雙盲測試（double blind）：在雙盲測試中，審計人員事先不清楚目標系統的情況，被測單位事先也不會知道將有安全測試。黑盒審計和滲透測試都屬于雙盲測試。當前絕大多數的安全審計采用雙盲測試方法。對于審計人員來說，選擇能夠勝任的最佳工具和最佳技術已經是一種考驗了。

• 灰盒測試（grey box）：在灰盒測試中，審計師僅了解被測系統有限的情況，被測單位也會知道審計開始和結束的時間。脆弱性評估就屬于灰盒測試。

• 雙灰盒測試（double grey box）：雙灰盒測試工作的方式類似于灰盒測試。只不過在雙灰盒測試中，會給審計人員定義一個時限，而且這種測試不涉及信道測試和滲透矢量。白盒審計就屬于雙灰盒測試。

• 串聯測試（tandem）：在串聯測試中，審計人員對目標系統只有最低限度的了解，而在測試開始前他們會通告被測單位。需要注意的是，串聯測試會測試得比較徹底。水晶盒測試和內部審計都是串聯測試的例子。

• 逆向測試（reversal）：在逆向測試中，審計員充分了解目標系統；而被測單位將永遠不會知道測試的時間或方式。

回答所涉及的環境：聯想天逸510S、Windows 10。