审计Testing是什么?这个问题先行明确。简单来说,审计Testing是为了检测和验证系统的安全性,它帮助企业评估和管理系统风险,也可为财务和合规等问题提供证据。审计Testing包括内部审计、外部审计和合规审计等等。
早期的安全Testing只是将脆弱性扫描用于漏洞检测,数据hack测试和效力薄弱/冲突点验证。现在,审计Testing的范围已经扩大,包括渗透测试、风险评估和容量管理等。
审计Testing从技术上发展得越来越复杂,越来越细致,但是这是否真的能够解决企业的信息安全问题呢?我们不妨从以下方面观察:
1. 审计Testing能够发现漏洞吗?若说信息安全领域的常识,所有系统都存在着漏洞和缺陷。审计Testing能够发现一部分这样的漏洞,在发现后你能及时的解决漏洞,处置可能的危机。但是,Testing发现的是历史上已经成功了的漏洞,或者理论上可能会出现的漏洞,并不等于此刻一定会发生或者发生了。开展Testing首先应该有被测试的目标,有一个全面的系统或者应用依赖彼此,而细节部分是不可操作的。然而,假如这些目标没有清晰地完全访问权限,或者目标系统或应用是海量的,那么Testing的效果会受到限制,可能错误地评价风险或降低测试的全面性。
2. 审计Testing能够验证全部的安全性吗?我们不可能测试所有情况,包括最坏情况和奇异情况,因此Testing结果只是基于我们测试的情况考量出来的。你的应用在稳定峰值状态下被水冲到海里,这个时候Testing可以发现漏洞,但你难以设置并重现这个极端情况。
3. 审计Testing能够预防漏洞被利用吗?审计Testing检测到的是已经被发现或者已知漏洞,而实际上,安全威胁通常是未知和无法预测的。Testing不是一个能够完全预防被已知漏洞利用的方案。因此,为了防范新出现漏洞的利用和攻击,你需要更多的流量分析和安全威胁检测。
4. 审计Testing是否可以解决全部的安全问题?审计Testing一般都在结合其他安全技术来实施。不要认为 审计Testing能够解决所有安全问题,你需要了解整个企业信息安全环境,以设计和选择合适的安全工具并采取合适的策略。
综上所述,审计Testing作为企业信息安全责任人的一个手段,虽然提供了一定的安全保障,但其功能和效果是有一定限制的。只有围绕着有效的政策、守则和安全机制,合理选型、结合其他安全技术来最大限度地保护系统。你认为企业的数据安全能够退而求其次吗?