数字世界的全球技能和能力框架

渗透测试 PENT Beta

(unchanged)

通过模拟潜在攻击者的工具和技术,对安全控制的有效性进行测试。

SFIA 9 简体中文翻译:测试版

SFIA 9 英文版现已可用。

  • 这是 SFIA 9 的简体中文测试版。
  • 我们使用 Phrase Localization Platform 创建了这个版本,结合了:
    • SFIA 8 的翻译内容
    • 7 家领先机器翻译提供商的贡献
  • 我们将在审核和质量检查后更新此翻译。
  • 如果您发现任何错误或有任何问题,请与我们联系。

注意:虽然机器翻译有助于创建初始版本,但专业审核能确保准确性和符合语境的用语。

指导说明

(modified)

渗透测试可以是独立的活动,也可以是在批准操作之前进行的某一方面的验收测试。

活动包括但不限于:

  • 道德黑客——使用与对手相同的工具和技术,安全地利用安全漏洞
  • 说明敌人如何破坏安全目标或实现特定的敌对目标
  • 评估现有/计划的防御或缓解控制的有效性
  • 确保网络、系统和应用程序的安全性
  • 评估加密实施的强度和有效性
  • 识别对各种漏洞的业务风险的见解
  • 测试网络、基础设施、网络和移动应用程序的弱点
  • 检查补丁级别和配置
  • 社会工程设计。

了解此技能的责任级别

在未定义较低级别的情况下...
  • 没有定义具体的任务和职责,因为该技能需要比这些级别的通常预期的更高的自主性、影响力和决策复杂性。您可以使用本质语句来了解与这些级别相关的一般职责。
如果未定义更高的级别...
  • 职责和问责制没有定义,因为这些更高层次涉及战略领导和更广泛的组织影响力,超出了这一特定技能的范围。请参阅本质陈述。

发展技能并展示与该技能相关的责任

定义的级别显示了技能和责任的增量进展。

在未定义较低级别的情况下...

您可以通过以下方式发展您的知识并支持在该领域负有责任的其他人:

  • 学习与此技能相关的关键概念和原则及其对您的角色的影响
  • 执行相关技能(请参阅相关的 SFIA 技能)
  • 支持他人执行更高级别的任务和活动
如果未定义更高的级别...
  • 你可以通过发展更适合更高层次组织领导的相关技能来取得进步。

显示/隐藏额外的描述和级别。

该技能的责任级别

2 3 4 5 6

渗透测试: 级别 2

级别 2 - 协助: 该级别的本质:为他人提供帮助,在日常监督下工作,利用自己的判断力解决日常问题。通过培训和在职经验积极学习。

(new)

在日常监督下协助进行渗透测试任务。支持对系统、网络和应用程序执行标准渗透测试。帮助记录和报告测试结果、结果和潜在的安全风险。

渗透测试: 级别 3

级别 3 - 应用: 该级别的本质:使用标准方法和程序执行各种任务,有时是复杂和非例行的任务。在一般指导下工作,行使酌处权,在截止日期内管理自己的工作。在工作场所积极主动地提高技能和影响力。

(unchanged)

按照标准方法,设计和执行渗透测试活动。研究和调查攻击技术,并就抵御攻击的方法提供建议。对渗透测试活动、结果、问题和风险进行分析和报告。

渗透测试: 级别 4

级别 4 - 帮助: 该级别的本质:执行各种复杂的活动,支持和指导他人,在适当时委派任务,在一般指导下自主工作,并为实现团队目标贡献专业知识。

(unchanged)

通过对风险和典型漏洞的深入技术分析,选择合适的测试方法。生成测试脚本、材料和测试包,并测试新的及现有的网络、系统或应用程序。提供有关渗透测试的建议,为他人提供支持。记录并分析操作和结果,并在必要时修改测试。就与整个项目相关的进度、异常、风险和问题进行报告。

渗透测试: 级别 5

级别 5 - 确保,建议: 级别的本质:在其领域内提供权威性指导,并在广泛的指导下开展工作。负责提供从分析、执行到评估的重要工作成果。

(unchanged)

规划并推动已确定的业务活动区域内的渗透测试。对漏洞的存在、防御及缓解控制的有效性提供客观的见解。负责测试活动的完整性,并协调此类活动的执行。就渗透测试的各个方面提供权威的建议与指导。确定渗透测试的需求并实施新的方法。协助设定安全测试标准。

渗透测试: 级别 6

级别 6 - 主动,影响: 级别精髓:对组织有重大影响,做出高层决策,制定政策,展现领导力,促进组织协作,并在关键领域接受问责。

(unchanged)

确定渗透测试政策,并掌握支持流程。管理组织内部的所有渗透测试活动。评估测试流程替代方案的可行性并就其提供建议。在渗透测试中,建立持续改进和发明的能力,并领导新方法的实施。评估供应商的开发与测试能力。管理渗透测试方面的客户关系。