Day 5 - 建立测试计画

出於书本 Chapter 3. Developing Your Ethical Hacking Plan

建立测试目标

• 建立明确的测试目标，目标要与企业目标一致。
• 为每次的测试建立明确的时程，包含起始时间与结束时间。

下面两项因为很重要，作者讲了超过三遍：

1. 尽量详述测试的细节，做成文件
2. 一定要有人同意执行道德骇客测试计画，测试才能被展开。

作者给大家几个方向去展开测试目标：

• 组织目标或是 IT 资安等部门支持这样的测试吗？
• 测试是为了达到企业的哪样目标 ?
  • ISO/IEC 27002:2005
  • 像是 HIPAA (健康保险流通与责任法案) 这类的条款
  • 与客户签订的合约
  • 加强企业形象
• 测试如何改善安全性、IT 以及整个企业
• 要保护的资料有哪些
• 要花在测试的人力与金钱成本有多少
• 测试成果有哪些？

选择测试标的

• 找最重要的系统
• 找最容易被当成攻击对象的系统
• 找无主孤魂的系统

作者列举的测试涵盖范围有：

• Routers 与 switchers
• 防火墙
• 无线网路存取以及桥接
• 网路应用程序与资料库
• email、档案或印表机 server
• 存放机密资讯的设备，如手机平板等
• 作业系统

建立测试标准

作者认为测试标准必须包含

• 测试什麽时候被执行以及预计执行多久
  • 比如哪个时段适合执行 DDoS 攻击测试，哪个时间点适合执行密码破解测试
  • 必须要有人同意测试可以在该时段执行
• 哪些测试项目会被执行
  • 文件、文件、还是文件，不管有没有人跟你要
  • 测试时需要开启日志 ( logging )
• 盲测 vs 对系统有一定了解的测试
  • 对系统有基本了解之後再进行测试对於保护系统会很有帮助，但不代表盲测是没有意义的。
  • 还是完全取决於需求。
• 测试如何进行
  • 内网与外网的测试都必须被包含在测试范围内。
• 一但找到弱点之後该如何是好
  • 快修啊 XD

执行测试前必须要

• 电脑与网路都必须要在执行测试时确保正常，相关人员也必须确认有空
• 有适合的测试工具
• 必须了解测试工具对於系统的影响会是最少的
• 了解每个测项後面的风险

下一篇来逛一逛有哪些测试的方式