【TechTarget中国原创】你一定了解自己需要测试Windows环境的安全性,但你知道应该如何着手吗?
有些人声称,安全审计是测试Windows环境安全性的唯一方式。另外一些人则选择了漏洞扫描。还有部分人说,渗透测试才是最好的方法。更有甚者交替使用三种方法,这让人更加摸不着头脑。
尽管安全测试方法没有对错之分,但你选择的安全测试类型将在很大程度上决定测试的结果,并最终影响到Windows服务器的安全性。而在选择安全测试方式时,重要的是要纵观全局,同时问自己以及安全部门的同事这样一个问题,“我们真正想要达到的目的是什么?”
如果你只是一名安全审计员,一份能够提供短期利益的系统安全性审查可能就足够了。但另一方面,如果你想确保长期安全,还需要设法将安全测试整合到整体业务风险管理过程中去。
换句话说,你是想简单地坚持基本的规则遵从呢,还是想真正深入地研究、发现你的系统是如何应对威胁的?只有你自己能回答这些问题。
不同的测试方法产生不同的测试结果
总的来说,安全审计是站在技术和操作的高度对系统的安全性进行评估;漏洞扫描在技术方面更加深入;而渗透测试,则高度集中于某一安全问题,通常不会提供关于系统安全性的全部信息。
三种测试类型的区别如图1所示。
图1:不同类型的安全测试比较
综合上述三种方法的优点并将其运用于安全测试中,虽然这样做没什么错,但道德黑客测试可以提供最有价值的测试信息,从各方面来看它也是最佳的安全测试方法。
道德黑客测试是系统安全测试的一种方式,即以恶意的心态,利用优秀的黑客工具对系统进行攻击、查找系统漏洞。这样,在真正恶意的黑客攻击系统之前你就能弥补漏洞。通过结合漏洞扫描与渗透测试,道德黑客测试不仅能让你发现重要的系统漏洞,还能让你了解这些漏洞对系统所造成的影响。
至于Windows安全,道德黑客测试可以提取出可能曾被忽略的技术和操作问题,如图2所示。
图2:使用道德黑客测试找出Windows服务器中最薄弱的环节
坚持不懈地进行定期的道德黑客测试,你肯定能找到影响Windows服务器安全性的关键问题。