域名預(yù)訂/競價(jià)，好“米”不錯(cuò)過

網(wǎng)絡(luò)經(jīng)濟(jì)的興起，越來越多的互聯(lián)網(wǎng)企業(yè)和正在轉(zhuǎn)型的傳統(tǒng)企業(yè)將交易平臺放到了互聯(lián)網(wǎng)上，伴隨而來的是需要為在線交易系統(tǒng)投入巨大的精力和資金。但是，就企業(yè)的安全團(tuán)隊(duì)看來，當(dāng)基本的安全設(shè)備搭建配置妥當(dāng)之后，防御能力的體現(xiàn)卻似乎差強(qiáng)人意。在如此瓶頸之下，一味的投入也不能明顯看到安全水平的提升，這是典型的"安全性玻璃天花板"狀況，存在于不同行業(yè)、不同發(fā)展階段的企業(yè)當(dāng)中。

企業(yè)在安全上投入了巨大的精力和資金，但有往往會產(chǎn)生這樣的感受：當(dāng)基本的軟硬件設(shè)施配置好之后，安全防衛(wèi)水平就到了一個(gè)相對的瓶頸，再加大投入并不能明顯提高安全水平。實(shí)際上，這種"安全玻璃天花板"在很多行業(yè)和企業(yè)中都存在，伴隨著安全行業(yè)的發(fā)展和管理人員安全意識的提高，以滲透測試為代表的"安全服務(wù)"正在得到更多的認(rèn)可。

滲透測試的目的?

1. 信息安全等級保護(hù)的要求

2015年12月28日，銀監(jiān)會等部門發(fā)布的《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動管理暫行辦法(征求意見稿)》中明確要求："網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)按照國家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國家信息安全等級保護(hù)制度的要求，開展信息系統(tǒng)定級備案和等級測試。"信息安全等級保護(hù)是由等級測評機(jī)構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定，按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動。值得關(guān)注的是，在信息安全風(fēng)險(xiǎn)評估中，滲透測試是一種常用且非常重要的手段。

2. 滲透測試助力PCI DSS合規(guī)建設(shè)

在PCI DSS(Payment Card Industry Security Standards Council支付卡行業(yè)安全標(biāo)準(zhǔn)委員會)第 11.3中有這樣的要求：至少每年或者在基礎(chǔ)架構(gòu)或應(yīng)用程序有任何重大升級或修改后(例如操作系統(tǒng)升級、環(huán)境中添加子網(wǎng)絡(luò)或環(huán)境中添加網(wǎng)絡(luò)服務(wù)器)都需要執(zhí)行內(nèi)部和外部基于應(yīng)用層和網(wǎng)絡(luò)層的滲透測試。

3. ISO27001認(rèn)證的基線要求

ISO27001 附錄"A12信息系統(tǒng)開發(fā)、獲取和維護(hù)"的要求，建立了軟件安全開發(fā)周期，并且特別提出應(yīng)在上線前參照例如OWASP標(biāo)準(zhǔn)進(jìn)行額外的滲透測試 。

4. 銀監(jiān)會多項(xiàng)監(jiān)管指引中要求

依據(jù)銀監(jiān)會頒發(fā)的多項(xiàng)監(jiān)管指引中明確要求，對銀行的安全策略、內(nèi)控制度、風(fēng)險(xiǎn)管理、系統(tǒng)安全等方面需要進(jìn)行的滲透測試和管控能力的考察與評價(jià)。

網(wǎng)站為什么要做滲透測試?除了滿足政策的合規(guī)性要求、提高客戶的操作安全性或滿足業(yè)務(wù)合作伙伴的要求。最終的目標(biāo)應(yīng)該是最大限度地減小業(yè)務(wù)風(fēng)險(xiǎn)。企業(yè)需要盡可能多地進(jìn)行滲透測試，以保持安全風(fēng)險(xiǎn)在可控制的范圍內(nèi)。

網(wǎng)站開發(fā)過程中，會發(fā)生很多難以控制、難以發(fā)現(xiàn)的隱形安全問題，當(dāng)這些大量的瑕疵暴露于外部網(wǎng)絡(luò)環(huán)境中的時(shí)候，就產(chǎn)生了信息安全威脅。這個(gè)問題，企業(yè)可以通過定期的滲透測試進(jìn)行有效防范，早發(fā)現(xiàn)、早解決。經(jīng)過專業(yè)滲透人員測試加固后的系統(tǒng)會變得更加穩(wěn)定、安全，測試后的報(bào)告可以幫助管理人員進(jìn)行更好的項(xiàng)目決策，同時(shí)證明增加安全預(yù)算的必要性，并將安全問題傳達(dá)到高級管理層。

滲透測試是一種全新的安全防護(hù)思路。知道創(chuàng)宇云安全的滲透測試可以幫助企業(yè)的安全防護(hù)從被動轉(zhuǎn)換成了主動，已經(jīng)有越來越多重點(diǎn)行業(yè)的企業(yè)通過獨(dú)立的第三方安全機(jī)構(gòu)來進(jìn)行"滲透測試"，以求更好的安全防護(hù)效果。目前，知道創(chuàng)宇云安全滲透測試已經(jīng)服務(wù)了互聯(lián)網(wǎng)金融、電商、教育等近200家企業(yè)。

如何通過滲透測試進(jìn)行安全評估?

知道創(chuàng)宇云安全的滲透測試是由專業(yè)安全人員完全模擬入侵者所用的常見手段對測試目標(biāo)發(fā)起模擬入侵的過程。整個(gè)過程的目的在于通過利用各種已知漏洞識別手段充分挖掘網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層乃至業(yè)務(wù)邏輯層中可能存在且被利用的潛在威脅點(diǎn)。在不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的情況下，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)，讓管理人員最直觀的看到系統(tǒng)面臨的安全威脅。

滲透測試是如何操作的?

許多企業(yè)管理人員有個(gè)誤區(qū)，認(rèn)為滲透測試只是通過自動化的工具進(jìn)行檢測、處理生成的報(bào)告，所以費(fèi)用成本是可以很低去控制的，其實(shí)不然。成功的滲透測試報(bào)告中安全工具的占比僅僅是一部分，成功的部分更多的是依靠專業(yè)的人工、雙向的思維及豐富的經(jīng)驗(yàn)。知道創(chuàng)宇云安全提供的滲透測試服務(wù)，包括其中所有必需項(xiàng)：專業(yè)的安全滲透團(tuán)隊(duì)人員，都是有著十年以上的安全經(jīng)驗(yàn)，曾經(jīng)為微軟等大型企業(yè)提供漏洞服務(wù)。

滲透測試與安全檢測的區(qū)別?

滲透測試不同于傳統(tǒng)的安全掃描，在整體風(fēng)險(xiǎn)評估框架中，脆弱性與安全掃描的關(guān)系可描述為"承上"，即如上面所講，是對掃描結(jié)果的一種驗(yàn)證和補(bǔ)充。另外，滲透測試相對傳統(tǒng)安全掃描的最大差異在于滲透測試需要大量的人工介入的工作。這些工作主要由專業(yè)安全人員發(fā)起，一方面，他們利用自己的專業(yè)知識，對掃描結(jié)果進(jìn)行深入的分析和判斷。另一方面則是根據(jù)他們的經(jīng)驗(yàn)，對掃描器無法發(fā)現(xiàn)的、隱藏較深的安全問題進(jìn)行手工的檢查和測試，從而做出更為精確的驗(yàn)證(或模擬入侵)行為。

手動測試的必要性?

手動測試作為自動測試的一種補(bǔ)充，是滲透測試過程中必不可少的一個(gè)重要部分，但因手動測試由測試人員發(fā)起，因此，測試人員的個(gè)人技能和經(jīng)驗(yàn)直接影響手動測試的結(jié)果。知道創(chuàng)宇云安全滲透測試的核心團(tuán)隊(duì)由國內(nèi)知名安全研究員、知道創(chuàng)宇CSO黑哥和知道創(chuàng)宇技術(shù)副總裁余弦?guī)ш?duì)。

企業(yè)通過滲透測試可以獲得?

1. 技術(shù)安全性的驗(yàn)證

滲透測試作為獨(dú)立的安全技術(shù)服務(wù)，其主要目的就在于驗(yàn)證整個(gè)目標(biāo)系統(tǒng)的技術(shù)安全性，通過滲透測試，可在技術(shù)層面定性的分析系統(tǒng)的安全性。

2. 查找安全隱患點(diǎn)

滲透測試是對傳統(tǒng)安全弱點(diǎn)的串聯(lián)并形成路徑，最終通過路徑式的利用而達(dá)到模擬入侵的效果。所以，在滲透測試的整個(gè)過程中，可有效的驗(yàn)證每個(gè)安全隱患點(diǎn)的存在及其可利用程度。

3. 安全教育

滲透測試的結(jié)果可作為內(nèi)部安全意識的案例，在對相關(guān)的接口人員進(jìn)行安全教育時(shí)使用。

4. 安全技能的提升

一份專業(yè)的滲透測試報(bào)告不但可為用戶提供作為案例，更可作為常見安全原理的學(xué)習(xí)參考。

5. 知道創(chuàng)宇云安全特色附加服務(wù)：[走進(jìn)企業(yè)]免費(fèi)安全培訓(xùn)

提供免費(fèi)的全員安全意識培訓(xùn)，技術(shù)人員專業(yè)技能培訓(xùn)，管理人員安全管理培訓(xùn)服務(wù)。

知道創(chuàng)宇云安全2016破風(fēng)計(jì)劃限時(shí)優(yōu)惠!

目前，知道創(chuàng)宇云安全官網(wǎng)正在進(jìn)行"2016年助力企業(yè)穩(wěn)步成長-破風(fēng)計(jì)劃"，針對不同發(fā)展階段的企業(yè)推出了專屬特惠套餐，產(chǎn)品低至6折起，滲透測試年度最低折扣8折優(yōu)惠。另外，針對新用戶，贈送加速樂CDN。原價(jià)3000元的品牌寶實(shí)名認(rèn)證僅1800元/年，創(chuàng)宇盾限時(shí)優(yōu)惠500元/月加送加速樂CDN，更有海量京東卡多買多送，切實(shí)讓用戶用最低的價(jià)格即可享受定制化的Web問題綜合解決方案。

(正文已結(jié)束)

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！