目录:
视频: 《见证》百年警察·香港1997(四) 全能者毒战 20180727 | CCTV社会与法 2024
您需要防止黑客诡计;你必须像试图攻击你的系统的人一样精明。一个真正的安全评估专家拥有黑客的技能,思维和工具,但也值得信赖。他或她根据黑客的工作方式对系统进行安全测试。道德黑客攻击包括正式的和有条不紊的渗透测试,白帽黑客攻击和漏洞测试 - 涉及到犯罪黑客使用的相同的工具,技巧和技术,但有一个主要区别:道德黑客攻击是在目标的许可下进行的在专业环境中。道德黑客行为的目的是从恶意攻击者的角度发现漏洞,以更好地保护系统。道德黑客攻击是整个信息风险管理计划的一部分,可以持续提高安全性。道德黑客行为还可以确保供应商对其产品安全性的要求是合法的。
<!如果您进行道德黑客测试,并希望为您的证书添加其他证书,您可能需要考虑通过EC理事会赞助的认证计划成为认证道德黑客(CEH)。像认证信息系统安全专业人员(CISSP)一样,CEH认证已经成为行业内众所周知和受尊重的认证。它甚至被美国国家标准协会(ANSI 17024)认可。
<!其他选项包括SANS全球信息保证认证(GIAC)计划和进攻性安全认证专家(OSCP)计划 - 完全实用的安全测试认证。从事这类工作的人往往没有适当的实践经验去做好。道德黑客攻击与审计
很多人通过道德黑客方法将安全测试与安全审计相混淆,但是在目标中有很大的差异。安全审计涉及将公司的安全策略(或合规性要求)与实际发生的事情进行比较。安全审计的目的是验证安全控制是否存在 - 通常采用基于风险的方法。审计通常涉及审查业务流程,在许多情况下,可能不是很技术性。安全审计通常基于清单。<!不是所有的审计都是高层次的,但是很多(特别是PCI DSS [支付卡行业数据安全标准]合规性)很简单 - 通常由没有技术计算机,网络,和应用程序的经验,更糟的是,他们完全在IT之外工作!相反,基于道德黑客行为的安全评估关注可被利用的漏洞。这种测试方法验证安全控制
不
存在或最多是无效的。道德黑客既可以是高度技术性的,也可以是非技术性的,虽然你使用的是正式的方法,但与正式的审计相比,它的结构往往不那么结构化。 在您的组织需要审核(例如ISO 9001和27001认证)的情况下,您可能会考虑将道德黑客技术整合到您的IT /安全审核计划中。它们相辅相成。 政策考虑
如果您选择将道德黑客行为作为企业信息风险管理计划的重要组成部分,那么您确实需要制定文档化的安全测试政策。这样的政策概述了谁在做测试,测试的一般类型以及测试的频率。您也可以考虑创建一个安全标准文档,概述所使用的特定安全测试工具以及执行测试的特定人员。您也可以列出标准的测试日期,例如外部系统每季度一次,内部系统一年两次测试 - 无论您的业务是什么。
合规性和监管问题 您自己的内部政策可能会决定管理层如何看待安全性测试,但是您还需要考虑影响您业务的州,联邦和国际法律和法规。特别是“数字千年版权法案”(Digital Millennium Copyright Act,DMCA)令合法研究人员感到畏惧。 美国的许多联邦法律和法规(如健康保险携带和责任法案(HIPAA),经济和临床健康信息技术(HITECH)法案,格雷姆 - 利奇 - 比利法案(GLBA) ,北美电力可靠性公司(NERC)关键基础设施保护(CIP)要求和PCI DSS - 要求强大的安全控制和一致的安全评估。加拿大个人信息保护和电子文件法(PIPEDA),欧盟数据保护指令和日本个人信息保护法(JPIPA)等相关国际法律也没有区别。
将您的安全测试纳入这些合规性要求是符合州和联邦法规并加强您的整体信息安全和隐私计划的好方法。
