科技: 人物 企业 技术 IT业 TMT
科普: 自然 科学 科幻 宇宙 科学家
通信: 历史 技术 手机 词典 3G馆
索引: 分类 推荐 专题 热点 排行榜
互联网: 广告 营销 政务 游戏 google
新媒体: 社交 博客 学者 人物 传播学
新思想: 网站 新书 新知 新词 思想家
图书馆: 文化 商业 管理 经济 期刊
网络文化: 社会 红人 黑客 治理 亚文化
创业百科: VC 词典 指南 案例 创业史
前沿科技: 清洁 绿色 纳米 生物 环保
知识产权: 盗版 共享 学人 法规 著作
用户名: 密码: 注册 忘记密码?
    创建新词条
科技百科——欢迎光临全球最大的互联网博物馆
  • 人气指数: 8444 次
  • 编辑次数: 3 次 历史版本
  • 更新时间: 2009-08-16
高兴
高兴
发短消息
高兴
高兴
发短消息
相关词条
黑客行为主义
黑客行为主义
黑客(Hacker)
黑客(Hacker)
脚本小子(Script Kiddie)
脚本小子(Script Kiddie)
蓝盒子
蓝盒子
2600赫兹
2600赫兹
生物黑客
生物黑客
硬件黑客
硬件黑客
黑客社会工程学
黑客社会工程学
Linus法则
Linus法则
0day
0day
推荐词条
希拉里二度竞选
希拉里二度竞选
《互联网百科系列》
《互联网百科系列》
《黑客百科》
《黑客百科》
《网络舆情百科》
《网络舆情百科》
《网络治理百科》
《网络治理百科》
《硅谷百科》
《硅谷百科》
桑达尔·皮查伊
桑达尔·皮查伊
阿里双十一成交额
阿里双十一成交额
王健林电商梦
王健林电商梦
陌陌IPO
陌陌IPO
最新词条

热门标签

微博侠 数字营销2011年度总结 政务微博元年 2011微博十大事件 美国十大创业孵化器 盘点美国导师型创业孵化器 盘点导师型创业孵化器 TechStars 智能电视大战前夜 竞争型国企 公益型国企 2011央视经济年度人物 Rhianna Pratchett 莱恩娜·普莱契 Zynga与Facebook关系 Zynga盈利危机 2010年手机社交游戏行业分析报告 游戏奖励 主流手机游戏公司运营表现 主流手机游戏公司运营对比数据 创建游戏原型 正反馈现象 易用性设计增强游戏体验 易用性设计 《The Sims Social》社交亮 心理生理学与游戏 Kixeye Storm8 Storm8公司 女性玩家营销策略 休闲游戏的创新性 游戏运营的数据分析 社交游戏分析学常见术语 游戏运营数据解析 iPad风行美国校园 iPad终结传统教科书 游戏平衡性 成长类型及情感元素 鸿蒙国际 云骗钱 2011年政务微博报告 《2011年政务微博报告》 方正产业图谱 方正改制考 通信企业属公益型国企 善用玩家作弊行为 手机游戏传播 每用户平均收入 ARPU值 ARPU 游戏授权三面观 游戏设计所运用的化学原理 iOS应用人性化界面设计原则 硬核游戏 硬核社交游戏 生物测量法研究玩家 全球移动用户 用户研究三部曲 Tagged转型故事 Tagged Instagram火爆的3大原因 全球第四大社交网络Badoo Badoo 2011年最迅猛的20大创业公司 病毒式传播功能支持的游戏设计 病毒式传播功能 美国社交游戏虚拟商品收益 Flipboard改变阅读 盘点10大最难iPhone游戏 移动应用设计7大主流趋势 成功的设计文件十个要点 游戏设计文件 应用内置付费功能 内置付费功能 IAP功能 IAP IAP模式 游戏易用性测试 生理心理游戏评估 游戏化游戏 全美社交游戏规模 美国社交游戏市场 全球平板电脑出货量 Facebook虚拟商品收益 Facebook全球广告营收 Facebook广告营收 失败游戏设计的数宗罪名 休闲游戏设计要点 玩游戏可提高认知能力 玩游戏与认知能力 全球游戏广告 独立开发者提高工作效率的100个要点 Facebook亚洲用户 免费游戏的10种创收模式 人类大脑可下载 2012年最值得期待的20位硅谷企业家 做空中概股的幕后黑手 做空中概股幕后黑手 苹果2013营收 Playfish社交游戏架构

 道德黑客,即“ethical hacker”,是一群专门模拟黑客攻击,帮助客户了解自己网络的弱点,并为客户提出改进建议的网络安全专家。
(图)ethical hackerethical hacker


  随着公司以及商业团队对网络的依赖性的与日俱增,“道德黑客”攻击(或者说网络攻击测试)这项业务有着相当广阔的前景,大大小小的顾问公司都争着要进入这个利润丰厚的市场。“这个馅饼正越做越大,随着越来越多的公司把他们的系统摆到互联网上,(“道德黑客”攻击)这种需求时时刻刻都在增加”,互联网安全小组的主管西蒙·唐表示。 
  以毒攻毒成了一个好方法,早在2006年,一所专门剖析黑客攻击手段的黑客学院在芝加哥成立,该学院的办学宗旨就是让学员了解黑客所惯用的攻击伎俩。显然,这也成为一些黑客们“从良”的去处,这不,就连授课的教师全部都是黑客。 
  据报道,黑客学院并不是通过网络教学,而是一所实实在在的大学。成立的目的是培养学员了解黑客所使用的攻击技巧,从而达到自我保护的目的。如果成绩合格,黑客学院可为学生颁发两种毕业证书,一种是“道德黑客”毕业证,另一种是“安全专家”毕业证。目前,这两种证书已经被国际电子商务组织EC-Coun-cil所承认。黑客学院校长称,这两种毕业证书可以作为信息安全领域的标准,企业和政府机构在招聘相关人员时,可以以此作为参考。不过,对于黑客学院的成立,英国安全公司表示:“黑客学院的成立可能会加剧网络安全问题。”
  如今,就连很多大型计算机软件公司都对“道德黑客”“网开一面”。微软曾经公开承诺不控告或起诉发现网站漏洞并入侵的“道德黑客”。在西雅图的一次安全会议上,微软安全战略人员凯蒂穆苏里向数百名研究人员宣传一个他们正在极力推动的大胆举措:保护“道德黑客”负责任地披露漏洞,并希望整个业界支持形成一种风气。
  微软认为发现漏洞是黑客帮了自己的忙,而不能着急叫警察。他们是想让网站更加安全,不需要这种脆弱的仇恨,微软还表示将继续为安全研究人员提供支持。
目录

“道德黑客”是好人编辑本段回目录

  在某一栋大厦的一个角落中,一群黑客面对着电脑,兴奋地攻击一个又一个的公司网络……他们,就是以此为职业,并从中获取丰厚的利润……
(图)桑杰夫是个电脑高手桑杰夫是个电脑高手

  别误会,他们并不是商业间谍,专门窃取其它公司的商业机密;他们也不是黑客佣兵,专门帮人攻陷敌对公司的网络。恰恰相反,他们是“ethical hackers(道德黑客)”,是一群专门模拟黑客攻击,帮助客户了解自己网络的弱点,并为客户提出改进建议的网络安全专家。
  1
  最小“道德黑客”4岁会写程序
  印度是一个电脑技术大国。在印度众多神秘的专业“道德黑客”中,有一个年仅12岁的小黑客正在印度反黑客领域发挥着举足轻重的作用。已经拥有计算机技术硕士学历的他,如今正配合着印度一家知名IT企业,维护印度互联网的安全。
  据媒体报道,今年12岁的桑杰夫(化名,因年纪过小和职业特殊,保护他的隐私)简直就是现实版的《天才小医生》,每天,当和他年纪差不多的小朋友或者躺在家中沙发上懒洋洋地看电视,或者和一群朋友疯赶打闹时,他却像个小大人似的,在印度一家IT企业规规矩矩地“上班”。要问他是干什么工作的,说出来吓你一跳——“道德黑客”。
  “道德黑客”是随着互联网技术迅速发展和黑客泛滥后,在全世界兴起的一个职业。“道德黑客”的主要工作就是掌握黑客攻击互联网的种种手段、技巧,找到应对的方法,维护互联网安全。别看桑杰夫年纪小,一脸稚气,但他已经是电脑技术领域的天才高手。
  4岁时,桑杰夫在短短15天时间里完成了常人需要3个月才能完成的电脑程序课程。5岁时,桑杰夫学会了Corel Draw绘图软件,会做Flash,并掌握了HTML编程语言、Photoshop,是Paintshop方面的专家。6岁时,桑杰夫学会了Java、Linux和SQL。7岁时,桑杰夫轻轻松松地通过了微软认证系统工程师(MCSE)考试,并读完了计算机领域的一个研究生课程。10岁时,桑杰夫获得了ORACLE工程师认证和Java程序员认证,成为一名专业程序员。
  桑杰夫工作的IT公司老板莫西说:“桑杰夫领悟甚至超越了其他的年轻技术员。”但由于他尚未成年,公司无法正式雇佣他,只能允诺为桑杰夫继续学习计算机课程提供学费。
  2
  “道德黑客”破译本·拉登网站邮件
  今年23岁的印度“道德黑客”法迪亚,是一位政府电子工程师的儿子,他黑客生涯中的第一台电脑,是父母在他10岁时为他配置的。从那以后,法迪亚就一发不可收拾,每天长时间泡在网上研究,只花了一两年,他就熟练掌握了如何攻陷网站的技术。
  法迪亚坦言,自己也曾经扮演过“攻击者”的角色:“当我还在学习电脑技术的阶段,我曾经攻击过我姐姐的电子邮箱,并且获取了她的密码,后来我告诉她时,她非常惊讶!”
  不过对于做“黑客”,法迪亚有着自己的底线:他从来不去做违法的事情。他始终认为,网络安全方面的道德是非常重要的。14岁时,他就完成了自己的第一本著作《良性入侵——“道德黑客”非官方指导》,对黑客的各种攻击手段给出了相应的安全防护措施。
  后来,每当他成功破解一个网站,他都会主动和对方取得联系,告诉他们网站存在的漏洞。为此,不知有多少网站想高薪聘请他,但考虑到自己年纪还小,他都婉言拒绝了。
  2001年,美国发生了举世震惊的“9·11”恐怖袭击事件。不久之后,美国政府截获了由本·拉登恐怖分子网站发出的一封电子邮件,政府人员早已脆弱不已的神经又绷紧了!当大家打开这些邮件时,却发现:里面只有一些演员和运动员的照片。这封邮件真的这么简单吗?
  当时只有16岁的法迪亚,和世界各国的很多信息安全专家一起,受到了美国政府的邀请——帮助政府部门破译邮件里面隐含的信息。这么年轻就受此重任,法迪亚在当时的名气和能力可见一斑。
  起先的一两个星期,团队成员的破译工作没有丝毫进展。但就在截获邮件后的第4周,一个灵感突然在法迪亚的脑海中闪过,他意识到这封邮件可能是运用了一种被称作“数字隐藏”或者是“数字水印”的技术——这是一种把文本信息隐藏到图片、音频或者视频文件里的手段。果不其然,法迪亚顺藤摸瓜,很快破解了邮件里隐藏的含义,告之了美国政府。
  还有一次,美国宇航局发现一颗刚发射不久的飞行器,在太空的运行轨道居然被人用远程手段改变了。法迪亚再度受邀参与破案,他的任务就是去追踪这个攻击者的位置。只用短短两星期,法迪亚就将攻击者位置锁定在俄罗斯境内一名11岁男孩的电脑上,案件再度告破。
  法迪亚还断言,手机将成为今后网络安全的新战场。现在手机的无线功能越来越先进,从蓝牙、红外线数据传送到手机上网浏览,无所不能。这些功能可以用来传输资料,当然也可以用来传输某些小型木马程序。我们会在手机中存放很多个人隐私信息,比如邮件、短信、照片、视频……一旦被攻击,这些信息很可能被别有用心的人窃取之后发布到网上,造成个人隐私的泄露。
(图)法迪亚的知名度很高法迪亚的知名度很高

  3
  被误解的“道德黑客”

  在很多人的眼中,黑客都是“坏蛋”,但“道德黑客”是好人,他们对公司企业有正面贡献,他们技术超群,能解决普通技术人员不能解决的问题。他们钻研编程,已进入规格外的未知领域,并以通晓电脑系统或网络系统之未知领域,作为个人努力的目标。

  但是,水能载舟,亦能覆舟,同样的黑客技术,可以为善,也可以为恶,在规格外的程式,可用于进攻电脑或网络系统,可用于偷窥机密文件,浏览隐私,涂改网页,或者破坏运作,对他人造成损失。“好事不出门,坏事传千里”,“道德黑客”的贡献鲜为人知,但是负面黑客的行为却常常成为头条新闻,致使整个社会把好坏黑客统统打成一个印象:黑客就是搞破坏的。

  绝大多数的黑客只是一些电脑技术的狂热爱好者,他们入侵各种网站,只是以此为乐。一名黑客告诉记者:“第一次成功入侵后,很兴奋,看到了别人公司的客户资料、财务报表,真是有点心惊胆战,但5分钟后我就发现,这些资料对我而言,也没有任何用处。”因为如果要利用黑客技术犯罪,就必须冒坐牢的风险,一般人是不会那么做的。其实,“道德黑客”们有自己的道德准则。著名黑客史蒂夫·利维在其著名的《黑客电脑史》一书中对于“黑客道德准则”作出了详细的解释,包括:所有的信息都应当是免费的;打破电脑集权;计算机使生活更美好等。这些东西被黑客们看作是“江湖规矩”,反正你只要想成为一个黑客,这些就一定要遵守。黑客大会的组织者图姆波尔说:“那些任意涂改网页或者摧毁像eBay和亚马逊网站系统的人不应被称做黑客,我把他们叫做破坏分子。”中国的黑客组织黑客联盟也宣称:作为黑客,其职责就是寻找漏洞、维护网络安全。

  不过,在好坏之间还有许多其他种类的黑客,有的“道德黑客”,在锻炼黑客功夫的时候,因一时疏忽造成重大损害的事件,也屡见不鲜。最著名的事件发生在1986年,贝尔实验室发生了一次震动全美的黑客事件,康乃尔大学的一个本科生,制作了一个蠕虫程式,因为调校参数错误,对电脑系统造成重大破坏。全美国学校、大企业及政府单位全面停机整整一天,经济损失不计其数。此生身出名门,父亲摩里斯本是贝尔实验室的尖端讯息安全专家。老摩里斯,技术高为人好,本来在国安局前程似锦,但受儿子这次失手事件拖累,终于无法受重用。

(图)法迪亚的很多著作被翻译成书法迪亚的很多著作被翻译成书

  4

  大学开设“道德黑客”课程

  随着公司以及商业团队对网络的依赖性的与日俱增,“道德黑客”攻击(或者说网络攻击测试)这项业务有着相当广阔的前景,大大小小的顾问公司都争着要进入这个利润丰厚的市场。“这个馅饼正越做越大,随着越来越多的公司把他们的系统摆到互联网上,(“道德黑客”攻击)这种需求时时刻刻都在增加”,互联网安全小组的主管西蒙·唐表示。

  以毒攻毒成了一个好方法,早在2006年,一所专门剖析黑客攻击手段的黑客学院在芝加哥成立,该学院的办学宗旨就是让学员了解黑客所惯用的攻击伎俩。显然,这也成为一些黑客们“从良”的去处,这不,就连授课的教师全部都是黑客。

  据报道,黑客学院并不是通过网络教学,而是一所实实在在的大学。成立的目的是培养学员了解黑客所使用的攻击技巧,从而达到自我保护的目的。如果成绩合格,黑客学院可为学生颁发两种毕业证书,一种是“道德黑客”毕业证,另一种是“安全专家”毕业证。目前,这两种证书已经被国际电子商务组织EC-Coun-cil所承认。黑客学院校长称,这两种毕业证书可以作为信息安全领域的标准,企业和政府机构在招聘相关人员时,可以以此作为参考。不过,对于黑客学院的成立,英国安全公司表示:“黑客学院的成立可能会加剧网络安全问题。”

  如今,就连很多大型计算机软件公司都对“道德黑客”“网开一面”。微软曾经公开承诺不控告或起诉发现网站漏洞并入侵的“道德黑客”。在西雅图的一次安全会议上,微软安全战略人员凯蒂穆苏里向数百名研究人员宣传一个他们正在极力推动的大胆举措:保护“道德黑客”负责任地披露漏洞,并希望整个业界支持形成一种风气。

  微软认为发现漏洞是黑客帮了自己的忙,而不能着急叫警察。他们是想让网站更加安全,不需要这种脆弱的仇恨,微软还表示将继续为安全研究人员提供支持。

美国政府出巨资招聘“有道德黑客”为其效力
    2009年4月19日讯 受美国国土安全部委托,一家美国信息技术公司日前发布广告招聘大量“有正义感的黑客”,以便协助联邦政府查找个各类重要网络系统存在的漏洞。据悉,应征者须熟悉黑客的各类技术手段和策略,并且掌握分析网络流量的方法。未来四年间,美政府将为此提供6000万美元资金支持。

  此前一周,五角大楼也公开表示,将在2011年前,将军方熟悉互联网反黑客业务的专家数量从80名增加到250人。美国为防止洪水与大火灾害制定了详细的应急方案,在“911”事件后,更对逼近空中禁区的各类飞机做出严格限制,但尚未就如何防范黑客袭击做出有效反应,因此从发电厂到核武器系统都将接受全面网络安全检查。

  美国国土安全部部长表示,美国电网很容易遭到电脑黑客袭击。《华尔街日报》此前曾宣称,网络间谍已入侵美国电网系统,并留下了可能破坏整个电力系统的恶意软件程序。据悉,这些所谓的“入侵者”并没有开展破坏电网或其他重要基础设施的活动,但可能是在替今后有可能爆发的“未来战争”作一些必要准备。

  目前,美军战略司令部与国家安全局正着力增强信息战特种部队的功能,使其有能力随时向敌方网络发动“不见血”的攻击。美国战略司令部官员在参议院武装力量委员会上作证时承认,这支名为“网络战联合功能构成司令部”的秘密部队堪称世界上最强大的“黑客部队”。近年来,美国不断加强网络攻防的演练,出动频率显著上升。

  2007年9月18日,美国空军在路易斯安那州巴克斯代尔空军基地成立临时网络战司令部,为2009年10月网络战司令部全面正式运营做预备。网络战司令部最终将与空军作战司令部、空军航天司令部平起平坐,由一名四星上将领导。现在美军有大约4万人从事与网络战相关的工作,网络战司令部将领导这支“网军”。

  这些“超级黑客”的主要目标就是渗入敌方网络系统窃取绝密数据,甚至期待着在对方网络内置入绝密程序,以便自动寻找并摧毁敌方指挥控制系统,从而使其既无法调兵,也不能发射导弹。在和平时期,“黑客”部队的任务是保护美国信息网络系统的安全,防止敌国“黑客”对其实施渗透、攻击,提高美军保障网络安全的能力。

  现在,美国军方每年进行一次“网络防御”项目演习,由国家安全局的电脑专家充当“黑客杀手”负责进攻,西点军校、空军学院、海军学院和陆战队学院的专业人士进行防御,以研究美军网络安全可能存在的漏洞。安全专家也指出,由于美国自身同样大量依靠电脑网络体系,如果贸然发动“黑客战”,很可能引火烧身,导致自己的电脑体系也同时遭到来自敌人的毁灭性袭击。

  在民用领域,黑客在2008年间窃取了至少2.85亿份美国人的电子资料,这个数字超过了前四年的总和。黑客们主要用盗取的别人身份伪造信用卡,并使用虚假证明购买住房和医疗保险等。很多遭到攻击的只是一台普通的电脑,但黑客往往能用这台电脑安装更多恶意软件,进而扫描整个网络并找到其它电脑的漏洞后大肆窃取个人信息。

  网络安全公司的调查表明,在黑市上,社会保障号码、信用卡信息等各种私人信息的“需求和价格相当稳定”。受经济危机影响,很多人担忧工作并处于财务困境,网络黑客以他们为目标采取各种新手段骗取信息。偷来的信用卡号每个要价30美元;一次性买1万个卡号的大客户更能享受每个号最低6美分的“特价”。

  据悉,偷盗信息的人可以雇用他人利用偷来的银行账户信息设法获取现金。取钱人得到的报酬为所有赃款的8%至50%不等。运营一个盗窃信息的网站每周花费3美元至40美元。黑客们不愿展开价格竞争。很多实施网络犯罪的人属于有组织犯罪团伙,如果不按“游戏规则”办事会被逐出行业、遭黑客网络攻击甚至遭受人身伤害。

  由于网络安全措施加强,黑客们需要偷到更多信息,比如信用卡号要与身份证号或社会保障号码一起出售。四分之三的诈骗电子邮件与银行账户信息相关,如低利率贷款、转按揭贷款等。人们一旦为这些服务付款,账户里的钱就可能被盗。从去年开始,发送欺诈性邮件的网站数量增长了60%以上。(高轶军)

道德黑客十训编辑本段回目录

在互联网刚刚兴起的时候,我们经常可以听到渗透测试,但是最近几年这种狂热已经减轻了。这种信息风险评估方式——21世纪中它的名字是道德黑客——正在复兴。人们开始看到以黑客的方式思考来防御黑客是全面信息风险管理项目的不可或缺的一部分。
  在过去几年中,我们看到了很多道德黑客的正面和反面的意见,但是我想要和TechTarget中国的读者们分享我以自己的经验和其他人的成败中总结出的10条经验。希望其中一两条可以对你的道德黑客工作有所帮助。

  1.必须有书面资料
  你已经听到一千遍了,但是不管你信不信,我曾看到过在没有任何书面材料的情况下,安全专家就在关键的业务系统上进行——而且安全经历也同意——道德黑客活动。你可能已经涵盖了你的资产,而且不仅需要参与各方的基本的结束信息,而且还要考虑和记录谁要(谁不要)在测试中出错的时候负责任。在道德黑客活动中也会有不好事情的发生——服务器可能崩溃,数据可能丢失。从业务的角度考虑这个问题。你的律师和保险商会以你为傲的。

  2.必须要有目标
  和成功的商业投资一样,你需要确定经过道德黑客活动,想要取得什么样的具体结果。你期待什么样的救国?是为了证明你需要迁移到Novell或者Unix的平台吗?想要在安全方面获得更多的资金吗?是为了遵守政府法规或者满足安全标准吗?还有问问自己想要保护那些信息,哪些系统需要测试。

  3. 不要一次性测试所有系统
  这一条不适用于小型网络,但是谁还再使用“小型”网络呢?排列需要测试的系统,并首先测试最重要的系统。这些可能是Web、邮件或者数据库服务器,甚至是路由器和防火墙等边界设备。查找失败的单独的节点或者业务不能缺少的系统。很多安全专家都只关注可以公共访问的主机。记住,黑客活动可能发生在网络内部,所以不要完即内部威胁以及可能受到影响的系统。

  4.不要忘记测试“不重要”的系统
  这一点和第三条有冲突。这么说不准确。你不需要测试所有的系统,但是这对于思考攻击的发生以及对其他不太重要的系统产生的影响有所帮助。没有机密数据的工作站、远距离工作的家用电脑或者只提供基础邮件访问的Web服务器都会被用于攻击其他更重要的系统的跳板。不要排除流氓“小人物”。

  5.以敌人的方式思考很有帮助
  紧跟第四条经验的是经过证明的好经验“了解你的敌人”。这可能是老调重弹,但却是正确的。如果系统的测试只使用了最新的自动化工具,而没有考虑所有的其他可能发生的各种手动攻击的方式,就不能看到全景。对每一种可能的黑客活动从每个角度都进行测试是不可能的。关键是要确保确实进行了研究,而且理解了黑客的动机和方式,并以此构成了道德测试项目的一部分。

  6.使用合适的工具
  这是我每一次进行道德黑客测试的时候,我都会被这样提醒。我不知道没有了我在这几年里收集的工具(有免费的,也有商业化的),我还能做什么。就好像成功的住宅设计师所讲的:为了完成工作,你需要有合适的工具。否则,这就是没用的演习,也得不到结果。最为安全经历,要确保你的团队或者你所雇用的第三方道德黑客拥有合适的工具。很多都不容易使用,而且不便宜,但是他们一定有必要。

  7.要有时间计划
  每一次都听说有人在一分钟内把一百万个信息包砸向系统,查看TCP/IP是否稳定。这种测试可能可以,但是就像老人家告诉我们的,做事情要有合适的时间的地点。确保道德黑客测试不是在网络或者主机的使用高峰期进行的。你也不想要网络运行速度变慢或者引起系统崩溃。如果在测试正在进行时,系统不稳定或者存在其他请求的超载,也有很多安全工具可以完成。安排时间表,并写下来。

  8.不要认为没有渗透就安全了
  一个常见的误解是如果没有可能的渗透,那么系统就一定是安全的。不是的!可能是没有使用合适的工具或者没有测试合适的系统。还可能是在测试系统的时候,漏洞还没有被发现。道德黑客是一些特定系统的快照。应有有欺诈路由器(或者用户)在没有注意到的或者不是初始范围内的其他位置渗透一个安全问题。你永远看不到。

  9.维持这项优秀的工作
  第八条的原因使第九条更重要。我知道你听到过一次次的测试系统。这是真的,事情总是在变化。新的威胁和漏洞突然出现。确保你的系统进行了定期测试,检查新问题和过去错过的漏洞。确保你的系统。循环是关键。

  10.关注重要和紧急漏洞
  我曾见看到很多安全经理觉得有义务修复在道德黑客过程中所发现的每一个漏洞。这实际是不能的。给自己或自己的团队增加压力保障每一处的安全是不合理也不公平的。当区分每日工作的优先顺序的时候,可以根据管理专家推荐的时间:查找重要(如果被利用会产生很大的影响)和紧急的(被利用的可能性很高)漏洞。其他的漏洞可以根据时间、资源和资金的允许以后解决。

  如果你可以把我在这几年了总结的10条经验中的一部分应用到你的道德黑客工作中,作为一名安全经理,你的工作就会简单一些,毕竟,积少成多阿。
参考文献
http://sztqb.sznews.com/html/2009-05/02/content_608589.htm
http://world.people.com.cn/GB/1029/42355/9153844.html
http://bbs.51cto.com/thread-545386-1.html

→如果您认为本词条还有待完善,请 编辑词条

词条内容仅供参考,如果您需要解决具体问题
(尤其在法律、医学等领域),建议您咨询相关领域专业人士。
0

标签: 道德黑客 ethical hacker

收藏到: Favorites  

同义词: ethical hacker

关于本词条的评论 (共0条)发表评论>>

对词条发表评论

评论长度最大为200个字符。