开源安全测试方法手册OSSTMM 经过多年持续的更新及改善 ，已经成为安全界主流的安全测试技术框架；但国内尚无详细说明文档可供参考。笔者将自己对于OSSTMM的学习及实践心得进行整理，形成了这篇说明文档，供安全同行参考

 

 

1   引言

为了保障企业信息系统安全,在处理安全问题,进行风险管理时，安全工作者有着统一的观点：必须从可能性和可预测性方面着手, 前瞻性地了解信息系统当前的安全风险,再有针对性地进行安全防护及运维工作。

但是,当开始分析风险时 ,我们一定会问：系统存在哪些风险？威胁来源在哪？会发生哪类事故?攻击事件的可能性、生概率是多少？怎么样去预测到事件将发生？怎么才能主动防御并处理未知和不可预测的攻击？                       

简单的几个问题，需要进行大量分析才可以得出结论，例如：

Ø  需要有可靠的测试手段来支撑态势评估和风险评估

Ø  需要有固定标准来框架测试内容及范围，使专业人员和非专业人员可以针对安全测试的过程和结果达成共识

Ø  需要培养专业的安全人员可以进行风险分析和态势预测

Ø  需要形成并持续更新信息系统自身的风险库

Ø  需要……

只有满足了这些根本的需求，展开科学有效的安全测试，形成量化的测试结论，并将其融入到整体信息安全管理体系中，这样的信息安全管理体系才是可以落地的真正意义上有效降低风险的信息安全管理体系。安全测试能够：

ü  作为信息安全体系管理制度的输入依据

ü  作为应急响应技术储备的输入依据

ü  作为企业安全基线的输入依据

ü  作为企业安全红线的输入依据

ü  作为企业信息安全人员招聘及技术培养方向的输入依据

ü  作为企业信息安全防护资源投入的说明依据

       

综上所述，能够开展持续有效地进行安全测试是企业信息安全管理体系成败的决定性因素，所以科学地做好安全测试工作，已经成为信息安全体系的重中之重。开源安全测试方法手册——Open Source Security Testing Methodology Manual（以下简称：OSSTMM）无疑是一个最为合适的参考依据。