同时,为了更深入的发掘渗透测试工作的作用,启明星辰结合多年来的渗透测试实施经验,目前已开发出了一套成体系的基于业务逻辑的渗透测试方法。测试人员详细梳理业务流程,将信息技术分解为承载和传输业务数据的一个个节点,采用串联和绕过节点等思路分析信息系统存在的弱点,并准确评价弱点的严重程度,从而改进传统渗透测试方法仅关注技术自身的疏漏。通过从业务视角推进渗透测试活动,更深入全面地发挥渗透测试工作的价值。
渗透测试服务必须专业
由于渗透测试本质上是一种攻击性活动,为了防止渗透测试对网银系统造成未预见的不良损害,必须制定严格的测试流程,采用可控制的、非破坏性的渗透方法,与客户进行充分的沟通和准备,并在执行过程中把握每一个步骤的信息输入输出,保证网银系统的可用性和稳定性。启明星辰以人工渗透为主的渗透测试方法,可以保证整个渗透测试过程都在完全可控和随时调整的范围之内。下图所示是一个简化的渗透测试实施流程。
启明星辰作为国内信息安全领域的领航企业,拥有成熟专业的攻防实验室和自主研发的漏洞扫描系统,可以为渗透测试提供强大的团队和技术支持。启明星辰具有丰富的安全服务实施经验,结合业界著名的OSSTMM与OWASP测试框架组合成的最佳操作实践,已经为金融、电信、政府等多个行业的多家单位成功提供了渗透测试服务,并且从实践中总结和提高,形成了一套专门针对网上银行系统的安全测试方法,将继续为网上银行安全保障工作提供专业服务和支持。
