信息安全渗透测试攻防技术交流

2014年4月20日，上海市计算机软件评测重点实验室与沪上知名信息安全服务商安言咨询就信息安全领域的高端服务--渗透测试进行了技术研讨。实验室介绍了在信息系统安全等级保护测评中渗透测试方法和工具的实践,安言咨询针对互联网中的热点信息安全事件进行了深度剖析并分享了信息安全时间的应对策略。

渗透测试(penetration test)在信息安全中尚未有标准的定义，国内外主要安全组织就渗透测试达成的共识是：渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络、系统安全的一种评估方法。这个过程包括对系统存在的任意脆弱点（技术短板、漏洞、配置失误）的主动分析、利用，分析可以是从攻击者可能存在的位置来进行，并且从这个位置有条件主动利用信息安全脆弱点。

重点实验室尝试在信息系统安全等级保护测评中结合Metasploit、BackTracker等主流渗透测试工具为客户提供网络、主机、应用系统信息安全增值服务，获得了良好的开局。安言咨询分享了GoogleHacker、APT等信息安全领域的前沿渗透测试方法和典型案例。今后双方将在渗透测试领域进行持续、深入的合作。