MBA智库文档行业能源环保水利电力资讯安全入门手册.ppt

资讯安全入门手册.ppt

下载

Porksurfer

79页 | 527KB | 0次下载 |

0.0

(0人评价)

我要评价：

投诉举报

用手机看文档

扫一扫,手机看文档

下载

开通VIP

資訊安全─入門手冊第 8 章資訊安全流程資訊安全是一種預防性質的管理風險流程。回應型模型是指－在資訊資源發生意外事件之前，組織無須預先採取任何保護措施。預防型模式需要在事件發生之前，先採取一些防範措施，而且也無從得知整體的安全成本。安全成本的方程式如下：整體安全成本＝意外事件成本＋防範措施成本適當的風險管理和計畫，可以有效地降低資訊安全意外的成本。若在事件發生之前預先採取防範措施，就可以有效地防止意外事件，整體的安全成本方程式如下：資訊安全成本 = 防範措施成本或意外事件成本＋防範措施成本＞＞防範措施成本在事件發生之前預先採取防範措施，是資訊安全管理較為適當的作法。組織必須先確認本身的弱點，並在事件發生之時判斷風險，接著就可以選擇合乎成本效益的對策。資訊安全流程（詳見圖8-1）是一種連續性的步驟，內含的五種階段如下：評估（Assessment）政策（Policy）建置（Implementation）教育訓練（Training）稽核（Audit）圖8-1 資訊安全流程 8-1 評估評估是資訊安全的首要步驟。評估的結果，可做為『目前所處的階段』、『下一個目標』的基礎。評估的結果，也可以做為組織資訊財產的價值、弱點對於資訊的威脅程度，和組織整體風險的重要性等參考方向。當確認和量化風險之後，可以選擇符合成本效益的防範措施以降低風險對策，並達成下列適當管理風險的目標。資訊安全評估的目標如下：判斷資訊財產的價值。判斷資訊財產的機密性、完整性、可用性，和（或）可說明性的威脅。判斷目前組織實務之中的現有弱點。確認組織資訊財產面臨的風險。提出當前變動方式的實務建議，並將風險降到可以接受的程度。做為建構適當安全計畫的基礎。評估的範圍，會影響到是否都能夠達成每一種目標。五種一般性的評估類型如下：系統層級弱點評估：調查電腦系統已知的弱點、是否符合基本政策。網路層級風險評估：評估組織整體的電腦網路和基礎設施，是否介於風險範圍內。組織全面性的風險評估：分析整個組織，並確認組織資訊財產的直接威脅。透過組織處理中的資訊，並納入電子和實體形式的資訊，即可確認弱點。稽核：重新檢視組織是否已符合特定的政策。入侵測試：模擬、檢查組織的入侵應變能力。這種評估方式僅適用於安全程序相當完善的組織。利用下列三種方式，即可取得評估所需的資訊：員工訪談文件審視實際訪查在評估組織時，需要調查的範圍如下：組織的網路組織的實體安全措施組織現有的政策和程序組織已經施行的預防措施員工的安全認知組織裡的員工員工的工作量員工的看法、意見、態度員工依循現有政策和程序的程度組織的業務 8-1-1 網路組織的網路，通常都是存取資源最簡單的管道。檢查組織的網路時，應該從網路架構圖開始，並逐一檢查每一個網路連接點。網路架構圖和現行的網路架構，或多或少都會有些差異之處；因此，在檢查網路的重要設備時，不要以網路架構圖做為唯一的依據。伺服器、桌上型設備、網際網路存取點、撥接存取點，還有遠端位置和其他組織的連線，也都需要詳細標明。從網路架構圖和網路管理員的訪談中，可取得下列資訊：網路系統的數量和類型。作業系統和版本。網路拓樸（交換式集線器、路由器、橋接器和其他設備）。網際網路存取點。網際網路用戶端。任何防火牆的類型、數量和版本。撥接存取點。無線網路存取點。遠端存取的類型。廣域網路拓樸。遠端位置存取點。其他組織存取點。 Web伺服器、FTP伺服器和郵件閘道器的網址。網路使用的通訊協定。控制網路的人員。在確認網路架構之後，接著需要確認下列網路範圍內的保護機制：所有網際網路存取點的路由存取控制清單和防火牆規則。用於遠端存取的身分確認機制。其他組織存取點的保護機制。傳輸和儲存資訊的加密機制。用來保護可攜式電腦的加密機制。伺服器、桌上型電腦、電子郵件系統的防毒系統。伺服器的安全組態設定。如果網路和系統管理員無法提供伺服器安全組態設定的詳細資料時，可能也會需要調查伺服器的詳細資訊。詢問網路管理員目前使用的網路管理系統。其中，也要包含警示的類型，和可以取得監視系統相關資訊的人員。對所有的系統執行弱點掃瞄。可以掃瞄的範圍應該包含內部網路（內部網路的系統端）和外部網路（組織防火牆以外的網際網路系統）。不要假設網路管理員知道組織內所有無線網路的存取點。 8-1-2 實體安全組織建物內的實體安全，也是資訊安全的重要環節之一。調查實體安全措施的內容中，也應該包含地點的實際進出控制、敏感區域的地點。如果無法擁有專屬的房間，最低限度也必須嚴密控管進出。用來判斷實體安全措施的要點如下：地點、建築物、辦公區域、紙類記錄和資料中心的實體保護類型。鑰匙的保管人。除了資料中心之外，還有那些重要的進出地點或建築物。調查建築物範圍內的通訊線路機房，建築物的通訊線路引入點。網路線路的分線箱所在地，也應該包含在敏感或重要區域的清單之中。電力控制、環境控制和資訊中心的消防設備，也都應該包含在實體安全的範圍中。下列項目可用來取得這些系統的相關資訊：所在地的電力供輸方式。資料中心的電力供輸方式。配備哪一種類型的不斷電電力系統（UPS）。 UPS可維持系統運作的時間。哪些系統連接到UPS。發生電力中斷而由UPS緊急供電時，應該通知哪些人員。 UPS隸屬於哪一些環境控制。資料中心配備的環境控制類型。若環境控制失效時，必須東通知哪些人員。資料中心配備的消防系統類型。資料中心的消防設備是否可以確實消滅火災，而且不會危害到資料中心。 8-1-3 政策和程序許多組織的政策和程序都和安全有關。在評估的過程中，也都應該包含下列文件：安全政策。資訊政策。災害復原計畫。緊急事件回應程序。備份政策和程序。員工手冊和政策手冊。新進人員的檢查清單。新進人員教育訓練程序。員工離職程序。系統組態設定指引。防火牆規則。路由器過濾規則。性騷擾政策。實體安全程序。軟體發展法則。軟體更換程序。電訊政策。網路架構圖。組織圖。在取得政策和程序之後，應該要詳加審查每一種項目的相關性、適用性、完整性、妥善性及通用性。政策和程序也都需要適當地使用書面文件詳加定義。在調查文件的適用性過程中，也需要調查是否符合政策或程序的目標。政策和程序也應該包含組織的所有運作。政策和程序也必須因時而異。當一份文件過於老舊，文件的內容可能就會失效或不合時宜。應該要評估組織的安全認知計畫，並檢視安全認知教育訓練的教材。最近的意外事故和稽核報告的內容，也是應該深入調查的對象。 8-1-4 預防措施預防措施的兩個重要元件－備份系統與災難復原計劃。萬一發生意外事件時，預防措施可用來恢復原有的正常作業。在評估備份系統的效用時，需要注意的不僅僅是備份政策和程序，而且也需要訪談系統操作員，如此才能瞭解實際的作業模式。評估的項目如下：使用哪一種備份系統？備份哪些系統和備份的頻率？備份資料存放在哪裡？多久之後會將備份資料移到存放處？是否核對過備份資料？使用備份資料的頻率？通常需要多久備份一次資料？需要經常備份資料？在檢視災害復原計畫時，更加需要留意計畫的完整性。若是單純閱讀文件的內容，是沒有辦法判斷計畫是否真的有效。在訪談員工的過程中，必須提出的災難復原計畫問題如下：是否曾經利用過災難復原計畫或業務持續運作計畫？計畫的執行結果如何？是否曾經測試過這些計畫？可以使用哪些設備執行災難復原計畫？有哪些替代性的場所？災難復原計畫的負責人是誰？ 8-1-5 認知如果員工知道程序和政策的存在並確實遵循時，政策和程序會非常有用並可增進組織的安全。在實施評估時，花點時間坐下來和一般員工（非管理階層或政策和程序的負責人）談談，並判斷員工對公司政策和程序的認知層級。除了實際訪談之外也需要巡視辦公室，並記錄尚未遵循政策和程序的事項。看看是否有人將密碼寫在紙上，或是下班之後並未登出系統，這些也都需要包含在記錄內。管理員的認知也是非常重要的一環，因為管理者必須遵循公司的系統組態設定政策和程序。管理員也應該熟知系統的安全弱點與威脅，並能察覺系統是否遭受侵害。萬一系統遭受侵害時，管理員下一個重要的步驟就是－知道該如何處理善後工作。 8-1-6 人員組織的員工是影響整體安全環境最重要的因素。不論是技術不足或過高，都可能讓精心設計的安全計畫功虧一簣。必須檢視安全人員和管理員執行安全計畫的的技術水準，並確認這些人員是否足以勝任。安全人員不僅需要瞭解政策的運作模式，也需要瞭解最新的安全商品。在管理組織的系統和網路方面，管理員也需要具備足夠的技術水準。組織內的一般員工，都應該具備最基本的電腦操作能力。若是使用者技術水準很高時（例如軟體設計公司），就會衍生出其他安全問題。組織內部稽核人員的工作之一，就是組織內的系統和網路。倘若組織的稽核人員能夠熟悉內部系統和網路的相關技術，也會更容易找到問題點。 8-1-7 工作量當員工的工作量增加時，安全往往是最常忽略的工作項目。就算員工的技術再好，但如果工作量過大對安全環境也不會有所助益。即使組織擁有相單完善的政策和程序，但員工的工作量過大，也同樣會出現安全方面的弱點。在進行評估時，也應該判斷工作量過大是屬於暫時性或常態性的現象。 8-1-8 態度管理階層對安全的重要性所抱持的態度，是影響安全環境的重要關鍵之一。管理階層傳達的安全理念具有兩個部分：管理者態度傳達機制管理階層可能非常明瞭安全的重要性，但是如果沒有適當地宣導安全理念，員工也將無法明瞭安全的重要性。在評估組織員工的態度時，不但需要檢視管理階層的態度問題，同時也要檢視下屬對主管的態度。在評估員工的態度問題時，管理階層和員工都應該是訪談的對象。 8-1-9 嚴守本分在評斷理想的安全環境時，不要忘了確認實際的安全環境。政策、態度和現有的機制，皆可定義出理想的安全環境。管理員和員工對於政策的遵循態度，才是真正的實際環境。如果管理階層帶頭違反政策時，上行下效，管理員和其他員工也會跟著違反政策。 8-1-10 職責在調查職責時，試著找出組織內部、部門之間、分公司之間和其他組織之間的互動情形。找出影響組織運作甚鉅的系統和網路，也是評估的工作之一。確認組織的後端系統，可協助找出組織必須面對的其他風險。 8-1-11 評估結果在資料蒐集工作完成之後，評估小組需要開始分析資訊。在分析的過程中，不能單憑一項資訊而評論組織的安全。雖然所有的弱點都會導致風險，但是評估小組必須找出組織的所有弱點。在完成分析的工作之後，評估小組應該要依照風險的高低排序，對組織提出完整的風險分析和建議。評估工作的最後一個步驟就是發展安全計劃。組織必須判定結果是否可以真實呈現安全現況，並決定如何快速、有效地處理，而且也必須配置資源並建立和建立時程表。在執行計畫時，不一定要依照先後順序執行，這是因為預算和資源可能影響執行的先後順序。 8-2 發展政策政策和程序可以定義出組織理想的安全環境，以及建置階段應該執行的工作。倘若沒有政策，組織很難設計和推動有效的安全計畫。制訂政策和程序的最低限度如下：資訊政策：確認機密性資訊，並確認如何處理、保存、傳遞、銷毀機密性資訊。這是用來瞭解『為什麼』要有安全計畫的基本政策。安全政策：定義用來控制各種電腦系統的技術需求。這是用來瞭解『什麼是』安全計畫的基本安全政策。使用政策：提供適當使用電腦的政策。備份政策：確認電腦系統備份的需求。帳號管理程序：定義系統上新增使用者、適時移除無效帳號的步驟。緊急事件處理程序：定義發生緊急資訊安全事件時的處理步驟。災難復原計畫：發生天災或人為災害之後，如何重建組織電腦系統的計畫。專題演講加州矽谷之工業發展趨勢與美國科技教育之展朢美國西北理工大學校長謝佐齊博士演講日期:95年5月18日星期四演講時間:下午PM 13:10~16:00 演講地點:寒梅二梅4樓國際會議廳40A 8-2-1 決定發展順序依據評估過程確認出的風險而定。如果是用來保護高風險的資訊，那麼發展政策的首要目標就是資訊政策。發展政策所需的時間，是影響先後順序的另一項重要因素。資訊政策是一個應該儘早完成的政策。資訊政策可以讓員工明瞭，組織的資訊有多麼重要和如何保護資訊，並且也是安全認知教育訓練的重要教材。使用政策（或依據使用政策細分的政策）和安全政策的密碼需求，同樣也會影響認知教育訓練計畫。在最理想的情況下，會同時進行許多政策的制定，但會因為參與者和保管人的不同而產生些許差異。安全部門一開始應該從小型政策開始著手，並召集少數參與者。如此才能快速地獲得初步的成過，並取得制定後續政策所需的論點和共識。 8-2-2 更新現有的政策如果目前已有類似的政策和程序，那是最佳的情況。若是制定政策的制定人員或小組仍在組織內，制定人員和小組就應該參與更新政策的工作。如果原始政策的制定人員或小組已經不在組織內，那麼重新擬定政策反而較為容易。 8-3 建置組織政策的建置不但包含技術性工具，以及實際控制的確認和建置之外，也包含安全幕僚的聘任。建置也可能需要變更安全部門控管的系統組態設定。應該要調查整體環境的建置內容，深入調查並判斷和其他控制機制之間的互動情況。 8-3-1 安全通報系統安全部門可以利用通報系統，來追蹤政策或程序的執行狀況，並追蹤組織弱點的現況。安全通報系統可區分為－人力或自動化通報系統，但大多數都是結合這兩種形式。監視使用狀態監視機制可以確保員工都遵循組織制定的電腦使用政策，其中可能也包含追蹤網際網路使用狀態的軟體在內。監視機制的主要目的，是用來找出哪一些員工違反組織訂定的政策。某些機制不但可以監視這些違反政策的企圖，同時還可以阻止這些企圖。監視使用狀況機制，也可能僅僅移除安裝在桌上型電腦系統內電腦遊戲的組態設定需求而已。更為複雜的監視使用狀態機制，還可以找出何時安裝了新的軟體。系統弱點掃瞄在安全問題方面，系統弱點掃瞄是一項非常重要的議題。作業系統通常都會預設安裝許多非必要性的程序和安全弱點。安全部門可以利用現今的工具程式，輕易地找出系統上的弱點，但管理員卻必須費時地修正這些弱點。安全部門必須追蹤網路上的系統數量，並找出這些系統的弱點數量，提供給管理員做為修正的依據。若是發現新的系統時，也應該要告知系統管理員以便判別這些新系統的作用。遵循政策遵循政策是安全部門最耗時的工作之一，判定政策遵循的狀況可以區分為－人工判定和自動化判定。人工判定需要安全部門實際調查每一部系統，並辦定每一部系統的組態設定是否遵循既定的政策。這是一件非常耗時的工作，且可能會發生誤判的情形。大多數情況下，安全部門會定期從所有系統之中取樣檢查，但也會造成完整性不足的情形。雖然目前已經出現用來檢查政策遵循狀況的軟體，但是安裝、設定卻需要耗費相當多的時間，不過卻可在短時間內取得完整的結果。這種軟體需要系統管理員的協助，這是因為必須安裝在每一部受檢的系統上。在啟用這種軟體之後，即可定期執行每一部系統遵循既定政策的狀況，並將結果回報給系統管理員。 8-3-2 身分確認系統當使用者需要使用系統或獲得網路的存取權，身分確認系統可用來確認使用者真正的身分。密碼、智慧卡或生物特徵等，皆可做為確認身分的機制。身分確認機制的需求，也應該包含在安全認知教育訓練的計畫之中。變更身分確認機制卻沒有適當地宣導時，資訊服務部門的求助電話必然會大量增加；而且當使用者學習如何使用新的身分確認系統時，組織的生產力必然大受影響。身分確認系統也會影響到組織的所有系統，因而必須妥善規劃身分確認機制的建置工作。 8-3-3 網際網路安全網際網路安全建置，可能也會包含防火牆和虛擬私有網路（Virtual Private Network，VPN）機制在內。建置之後可能也會改變網路架構（詳見第10章防火牆、11章虛擬私人網路和16章網路架構）。或許建置網際網路安全機制最重要的部分，就是在網際網路和組織的內部網路之間，配置存取權控制裝置（例如防火牆）。在網際網路安全建置之中，VPN也是非常重要的一環。 VPN不但可以透過網際網路安全地傳輸資訊，而且也可以擴展組織的安全界線。在配置防火牆或其他存取控制設備時，網路架構也會隨之改變。因此，應該在網路架構完全底定之後，才開始配置這些設備。如此，才能完善地規劃防火牆的容量，並依據組織的使用政策建立防火牆的規則。 8-3-4 入侵偵測系統入侵偵測系統（Intrusion Detection System，IDS）是網路系統的防盜器，可以用來偵測任何企圖闖入保護區的行為。在網路系統上，IDS可以用來區分合法進入或非法入侵保護區的行為。入侵偵測的系統類型非常多，依據組織面臨的整體風險和可用資源，可選用的類型會有所不同（入侵偵測系統詳見第13章）；而且入侵偵測系統需要安全部門提供更多的資源。常見的防毒軟體就是一種入侵偵測機制。其他類型的入侵偵測如下：人工檢視日誌自動化檢視日誌主機型（Host-based）入侵偵測軟體網路型（Network-based）入侵偵測軟體人工檢視是最有效的入侵偵測，不過卻也非常耗時和容易出錯。在主要的高風險範圍定位之前，不要建置入侵偵測機制。 8-3-5 加密加密通常是用來解決機密性或隱私權的問題（詳見第12章）。在傳輸或存放資訊時，加密機制可以保護資訊的安全。不論使用何種機制，在建置之前都必須定位下列兩種議題：演算法金鑰管理資訊加密會使程序和流程變得更慢。因此，除非是必要資訊否則不要將所有的資訊全部加密。演算法在建置加密機制時，應該依據加密的目地選擇演算法。對稱金鑰的加密會比非對稱金鑰來得快。不過對稱金鑰卻無法提供數位簽章或簽核資訊。選用著名、嚴密篩選的演算法，是加密機制非常重要的一環。金鑰管理建置加密機制還必須包含某種類型的金鑰管理。系統必須定期變更金鑰。如果是發佈認證給一般大眾的公眾金鑰系統，問題就會更加複雜。若是計畫建置金鑰系統時，別忘了多花些時間測試金鑰管理系統。千萬記得，前導計畫的使用者人數不要太多，且金鑰管理系統的容量也要非常充裕。 8-3-6 實體安全在傳統上，已經將實體安全從資訊或電腦安全的範疇獨立出來。如果要求員工必須配戴識別證，就必須訂定沒帶識別證或遺失識別證的處理程序。若有人要求進入設施，就必須產生一套辨識員工的適當程序。在建置實體安全機制時，資料中心的安全也是需要考量的範圍。 8-3-7 員工建置任何新的安全機制或系統時，應該要安排相關人員參與。需要安排相關人員參與認知教育訓練。『責任』是人員的最後一項問題。組織至少需要指定一位專責負責安全的人員。 8-4 認知教育訓練如果組織的員工沒有確實遵循政策時，也就無法保護組織的機密資訊。認知教育訓練是對員工宣導必要資訊機制。短期課程、報紙專欄、或宣導海報等，都是訓練課程可以利用形式。最有效的方式則是結合前述三種方式，並可讓員工深植安全觀念。 8-4-1 員工員工都應該瞭組織安全的重要性，同時也應該訓練員工如何辨識和保護機密資訊。一小時或更短的訓練課程，是最佳的員工訓練方式，如果配合多媒體會有更好的效果。所有新進員工在接受職前訓練時，也應該接受安全認知教育課程，而現有的員工也應該每兩年接受一次教育訓練課程。 8-4-2 管理人員透過管理員的討論可以傳達更新的訊息，以節省管理員的時間。管理人員的訓練也是非常重要的。系統管理員必須隨時更新最新的駭客技巧、安全威脅和安全修補。類似這種訓練課程更應該經常舉辦（或許每個月一次），而且也需要安全部門專責講授。除了定期的會議之外，安全部門也應該主動傳達更新的資訊，而不是等候管理員的定期會議才告知。 8-4-3 發展人員發展人員的教育訓練是屬於員工教育訓練課程的延伸。減少安全弱點的程式設計技巧、安全部門在發展過程扮演的角色等等，這些都是需要額外增加的訓練內容。針對所有新的發展專案，安全部門應該在發展階段中全程參與。 8-4-4 管理階層對管理階層的簡報內容，既是教育訓練也是行銷的一部份。對於管理階層的定期簡報內容中，應該含有最新的評估結果和各項安全專案的現況。如果可能的話，也應該建立風險的評估標準。在這些簡報中，也可以將員工認知訓練的相關資訊傳達給管理階層，並提醒他們對於組織安全應負的責任。 8-4-5 安全幕僚安全幕僚必須隨時吸收新知，才能提供組織內部必要的資訊。雖然外部訓練非常重要，但執行內部的教育訓練也同樣重要。訓練的主題必須是安全相關主題，而且也是安全幕僚最感興趣的議題或是較為欠缺的技術。 8-5 稽核稽核是資訊安全流程的最後一項步驟。在確認組織的資訊安全狀態、建立適當的政策和程序、建置控制機制和員工教育訓練之後，稽核機制是用來確認是否已經遵循組織的政策，並正確地設定前述各種機制。在討論安全流程的稽核部分時，必須討論的項目如下：稽核遵循政策的狀態定期性和新專案評估滲透測試 8-5-1 稽核的遵循狀態稽核政策的遵循狀態是屬於稽核的典型功能。組織可能擁有安全政策部署和設定的定義，而稽核則是用來檢查政策的遵循狀態。只要不符合政策的規範，都視為違反政策。稽核工作並不限定是內部安全幕僚，或組織外的顧問人員負責執行。稽核政策的遵循狀態也不能只有考量系統組態設定而已，也應該用來檢查其他資訊的處理方式。稽核工作應該由安全幕僚執行，且至少每年稽核一次。基本上是由稽核幕僚的人員執行稽核工作，但是組織如果含有稽核部門或聘請顧問負責時，就會更加恰當。 8-5-2 定期和新案評估組織的網路和電腦會隨著時間而有所改變。變化的結果可能會降低風險，但也有可能導入新的風險，因而評估的結果很快就會失去準確性。和稽核的情況相同，如果安全幕僚具有足夠的能力時，也可以由安全幕僚執行評估的工作，但聘任外部顧問的效果會更好。當組織產生新專案或環境發生變化時，也應該要執行完整的評估工作。 8-5-3 滲透測試滲透測試是一個較具爭議的主題。滲透測試經常被用來做為評估工作的替代方案，但滲透測試絕不是評估的替代品。在安全計畫中，滲透測試是一種用途相當狹隘的工具。如果滲透測試成功代表『目前仍有弱點』，如果失敗代表『可能是測試者找不到可以利用的弱點』，但是這樣的結果並非表示沒有任何弱點，只是沒有找到弱點而已。如果組織正在執行評估工作且配置適當的風險管理機制，或許可以利用滲透測試來測試某些機制的成效。滲透測試適合用來測試下列機制：入侵偵測系統偵測攻擊的能力。緊急事故應變程序的適當性。透過網路存取權控制，看是否可以蒐集到組織的相關資訊。處所的實體安全是否恰當。安全認知教育訓練，是否能夠將資訊正確地傳達給員工。不論執行滲透測試的原因為何，在進行測試之前，都應該對組織提交詳細、完整的測試計畫。而且應該對於測試的每一項步驟，訂定出明確的測試目標。對於組織而言，應該要設定測試的範圍。外部網路的滲透測試，應該限制在組織對外的網路連線範圍（網際網路或其他組織的連線）。撥入組織網路的撥接存取或嘗試取得無線網路的存取權等，皆屬選擇性的測試項目。實體入侵測試應該包含未經授權試圖進出設施的個人，測試的時機可以包含上班時間也可以包含下班時間。社交工程測試應該包含員工的認知測試在內，允許測試員和員工接觸，並嘗試讓員工洩漏資訊或存取內部系統。許多組織會以滲透測試做為安全流程的起點。滲透測試的結果，並不能提供組織有效管理風險的充分資訊，同時也不會產生太大的益處。