3、高级 VAPT 测试的全面指南

高级 VAPT 测试的全面指南

1. 关键安全标准与框架

1.1 Open - source security testing methodology manual（OSSTMM）

OSSTMM 由 Institute for Security and Open Methodologies（ISECOM）维护，在开放社区中开发，众多全球公司都有贡献。它为安全评估提供了先进且全面的方法，不依赖假设和轶事证据，能在操作层面准确衡量网络安全。其重点是对所有运营渠道进行 OpSec 测试，包括人力、物理、无线、电信和数据网络。该手册的指南旨在确保测试全面、涵盖所有必要渠道、符合法律规定、结果可量化、一致且可重复，并且仅包含直接从测试中得出的事实。

1.2 NIST Cybersecurity Framework

由美国国家标准与技术研究院（NIST）设计和发布，是个人、企业和组织评估可能影响其运营的网络风险的宝贵资源，在全球广泛认可和接受，是关键基础设施网络安全的最佳实践。它分为五个功能，进一步细分为 23 个类别，共 108 个子类别，不仅能识别和确定风险优先级，还能协调政策、业务和技术方法以进行有效的风险缓解管理。五个功能分别为：识别、保护、检测、响应、恢复。

1.3 ISO 27001 standards

ISO/IEC 27001 是一个国际标准，帮助组织建立、实施、维护和持续改进信息安全管理系统（ISMS）。成功实施该标准可确保关键计算机基础设施免受技术和人为威胁。符合标准要求的组织在审计成功后可获得认证机构的认证。它指导对组织的攻击面进行系统检查，评估已实施安全控制的有效性，并有助于设计和实施一套全面的信