10.1. 报告测试参数

未匹配的标注

报告测试参数

报告的第一部分应该是规划阶段或章节。在撰写报告时,渗透测试者将使用本部分作为报告其余部分的基础,同时向客户传达一些需要预先了解的要点
在实践中,这一阶段的主要重点是确定一套能够有效表达客户方公司联络点与渗透测试者之间的交流文档规范,主要关注以下一些关键点:
  • 目标(objectives)
  • 受众(audience)
  • 时间(time)
  • 密级(classification)
  • 分发(distribution)
这是规划阶段中最为基本的五点,接下来一一阐述他们。

目标

  目标是项目开始时规划阶段的一个重点。在此阶段中,渗透测试者将决定测试项目的集体目标以及需要记录的内容。
  可将文档或报告的目标部分视为一份后续部分的执行纲要。该部分旨在帮助受众获得对项目的宏观了解。目标部分提供了一份对项目、项目目标、项目的总体范围以及本报告如何帮助实现这些目标的简单概览。

受众

  明确报告的受众是至关重要的,因为这样做可以有的放矢,确保合适的人读到报告,并且这些人员能够充分理解报告以利用其中的信息。阅读渗透测试报告的人员可能十分广泛,从首席信息安全官员到首席执行官(CEO),以及客户组织内任意数量的技术和行政人员。对于报告的目标群体不仅应在撰写文档时考虑,还要在交付文档时考虑,以确保将结果交付到合适的人手中:可以充分利用该文档的人员。编写完报告后,至关重要的是确保报告按照一种本部分中明确的受众能够理解和利用其内容的方式进行构建。

时间

  文档的该部分确定了测试的时间表。应包括测试的开始时间和结束时间。另外,如果不是全天候进行测试,还应包括一天中进行测试的具体是时间。该时间描述将有助于确定测试达到了预期目标,并在理想的或能够最好地反应特定运营的条件下进行

密级

  由于渗透猜测是包含高度敏感的信息,例如安全缺陷、漏洞、认证和系统信息,应将报告的密级定为极其敏感。渗透测试者还应确保总是将报告交给客户所指定的负责人。
  应在项目开始时与联系人讨论项目和报告的密级,以确保不将保密信息泄露给未经授权的人员。渗透测试者还应讨论如何在报告中记录保密信息。
  在当今的环境中,由于便捷性且具备额外的安全手段,许多客户都选择以数字方式、而非传统的印刷品形式分发报告。如果客户需要数字格式报告,请确保使用诸如数字签名和加密等安全措施,以确保报告始终未被篡改并保密。

分发

  报告的分发管理对于确保将报告在正确的时间内提交给授权人员起着重要的作用。

本文章首发在 LearnKu.com 网站上。

上一篇 下一篇
讨论数量: 0
发起讨论 只看当前版本


暂无话题~