网络安全渗透测试执行标准

一件事情总有千万种解决方案，其中更优的哪一种就是标准，渗透测试也是一样，目前渗透测试流程标准有以下几种：

1、安全测试方法学开源手册
由ISECOM安全与公共方法学研究所制定，安全测试方法学开源手册（OSSTMM）提供物理安全，人类心理学，数据网络，无线通信媒介和电讯通信这五类渠道非常细致的测试用例，同时给出评估安全测试结果的指标标准。
OSSTMM的特色在于非常注重技术的细节，这使其成为一个具有很好可操作性的方法指南。
2、NIST SP 800-42网络安全测试指南
美国股价标准与技术研究院（NIST）在SP800-4网络安全测试指南中讨论了渗透测试流程与方法，虽然不及OSSTMM全面，但是它更可能被管理部门所接受。
3、OWASP 十大web应用安全威胁项目
针对目前最普片的web应用层，为安全测试人员和开发者提供了如何识别与避免这些安全威胁的指南，OWASP只关注具有最高风险的web领域，而不是一个普适性的渗透测试方法指南。
4、web安全危险分类标准
web应用安全威胁分类标准（WASC-TC）全面的给出目前web应用领域中的欧东，攻击与防范措施视图
5、PTES渗透测试执行标准

2010年最新发起的渗透测试过程规范标准项目，核心理念是通过建立起进行渗透测试所要求的基本准侧基线，来定义一次真正的渗透测试过程，并得到安全业界的广泛认同。

目前安全公司通用的是第五种,PTEST 渗透测试标准，这个标准总体上来说比较全面系统的，展示了整个渗透测试流程。

详情请参考：
PTES渗透测试执行标准mindmap中文版
http://netsec.ccert.edu.cn/hacking/2011/07/28/ptes/ ;