你一定了解自己需要測試Windows環(huán)境的安全性，但你知道應(yīng)該如何著手嗎？

有些人聲稱，安全審計是測試Windows環(huán)境安全性的唯一方式。另外一些人則選擇了漏洞掃描。還有部分人說，滲透測試才是最好的方法。更有甚者交替使用三種方法，這讓人更加摸不著頭腦。

盡管安全測試方法沒有對錯之分，但你選擇的安全測試類型將在很大程度上決定測試的結(jié)果，并最終影響到Windows服務(wù)器的安全性。而在選擇安全測試方式時，重要的是要縱觀全局，同時問自己以及安全部門的同事這樣一個問題，“我們真正想要達到的目的是什么？”

如果你只是一名安全審計員，一份能夠提供短期利益的系統(tǒng)安全性審查可能就足夠了。但另一方面，如果你想確保長期安全，還需要設(shè)法將安全測試整合到整體業(yè)務(wù)風(fēng)險管理過程中去。

換句話說，你是想簡單地堅持基本的規(guī)則遵從呢，還是想真正深入地研究、發(fā)現(xiàn)你的系統(tǒng)是如何應(yīng)對威脅的？只有你自己能回答這些問題。

不同的測試方法產(chǎn)生不同的測試結(jié)果

總的來說，安全審計是站在技術(shù)和操作的高度對系統(tǒng)的安全性進行評估；漏洞掃描在技術(shù)方面更加深入；而滲透測試，則高度集中于某一安全問題，通常不會提供關(guān)于系統(tǒng)安全性的全部信息。

三種測試類型的區(qū)別如圖1所示。

圖1：不同類型的安全測試比較

綜合上述三種方法的優(yōu)點并將其運用于安全測試中，雖然這樣做沒什么錯，但道德黑客測試可以提供最有價值的測試信息，從各方面來看它也是最佳的安全測試方法。

道德黑客測試是系統(tǒng)安全測試的一種方式，即以惡意的心態(tài)，利用優(yōu)秀的黑客工具對系統(tǒng)進行攻擊、查找系統(tǒng)漏洞。這樣，在真正惡意的黑客攻擊系統(tǒng)之前你就能彌補漏洞。通過結(jié)合漏洞掃描與滲透測試，道德黑客測試不僅能讓你發(fā)現(xiàn)重要的系統(tǒng)漏洞，還能讓你了解這些漏洞對系統(tǒng)所造成的影響。

至于Windows安全，道德黑客測試可以提取出可能曾被忽略的技術(shù)和操作問題，如圖2所示。

圖2：使用道德黑客測試找出Windows服務(wù)器中最薄弱的環(huán)節(jié)

堅持不懈地進行定期的道德黑客測試，你肯定能找到影響Windows服務(wù)器安全性的關(guān)鍵問題。

【編輯推薦】

1. 如何保障windows服務(wù)器的安全
2. 黑客技巧使用Google黑掉Windows服務(wù)器