渗透测试之网站安全评估方法详情

当前各种安全评估方法总体上按不同的划分标准可以分为四种：依据性质划分的安全评估方法、根据威胁量和攻击等级划分的安全评估方法、基于一定模型的安全评估方法、综合安全评估方法。这四类安全评价方法各有其特点，需要评价方和被测者根据自己的需求和渗透测试的具体结果，选择安全评价方法的类型。下面将对安全评估方法的四种不同类型作具体说明：

(1)安全评估方法基于性质划分：方法主要基于测验对象和评估者的经验、过去案例的分析、总体安全形势的趋势预测等方面，具有很强的主观性，对测试者和评估人员的专业要求很高，同时也要根据行业惯例及相关规定，对风险因素进行层次分级。

(2)基于威胁等级和量化划分的安全评估方法：主要是需要对风险和威胁进行量化计算，根据某种计算方法和分级方法对威胁进行分级。

(3)基于一定模型的安全评估方法：主要根据测量者和评估者建立的安全模型，根据测试方法和网络结构的不同而建立不同的安全评估模型，最后得到一种可用于整个计算机网络的测试与评估方法。

(4)综合评估方法：由于单独使用某些评估方法不能全面覆盖，所以可采用综合评价方法，将性质划分与量化计算相结合，建立模型，最后得出综合检验方法。但是，在时间较紧的情况下，综合评价法并不适用，常见的综合评价方法，比方说，模糊数学方法在渗透测试和安全评价方法上各有优点，要结合自身的需求和测试方法的特点进行选择，本章通过设计一个整体的测试评估方案，该方案包括工具和方法的详细测试和自动渗透测试系统测试，然后设计一个评估算法，把基于CVSS优化后的评估方法综合起来，对测试目标进行评分，最后得出结论，下两章将详细说明该方案的实施过程。

本文来源：徐州酷优网络科技有限公司

本文网址：https:///news/faq/1372.html

声明，本站文章均为酷优网络原创或转载，欢迎分享，转载时请注明文章作者和“来源：徐州网站建设”并附本文链接