渗透测试定义:站在外部黑客的视角检查被测系统/产品抗攻击测试的能力。
模拟黑客攻击的方式,用黑客的思维进行渗透尝试,验证黑客可能利用的漏洞,测试和评估目标系统是否存在可以被攻击者真实利用的漏洞,以及由此引起的风险大小。帮助产品发现更多安全漏洞/隐患,提升产品/应用安全性。
防止由恶意行为直接或间接引起的网络阻塞、中断、瘫痪、和非法控制,防止网络中传输、存储、处理的数据信息丢失、泄露或者被篡改。
基本三要素:
机密性(Confidentiality):确保数据不被非法访问与窃取,防止未经授权而透露某些敏感信息;
完整性(integrity):确保数据是完整的、未被篡改的,防止对系统和信息进行未经授权的修改;
可用性(Availability):要求保护资源在需要时可访问,防止服务和工作能力的崩溃。
其他扩充要素:
不可抵赖性(Non-repudiation):发生过的动作或事件可被求证,不可抵赖;
真实性(Authenticity):可确保目标的真实身份与其所声称的身份是一致的。
閱讀更多 黃金山陳三層 的文章