開源安全測試方法手冊OSSTMM 經過多年持續的更新及改善 ，已經成為安全界主流的安全測試技術框架；但國內尚無詳細說明文件可供參考。筆者將自己對於OSSTMM的學習及實踐心得進行整理，形成了這篇說明文件，供安全同行參考

1引言

為了保障企業資訊系統安全,在處理安全問題,進行風險管理時，安全工作者有著統一的觀點：必須從可能性和可預測性方面著手, 前瞻性地瞭解資訊系統當前的安全風險,再有針對性地進行安全防護及運維工作。

但是,當開始分析風險時 ,我們一定會問：系統存在哪些風險？威脅來源在哪？會發生哪類事故?攻擊事件的可能性、生概率是多少？怎麼樣去預測到事件將發生？怎麼才能主動防禦並處理未知和不可預測的攻擊？

簡單的幾個問題，需要進行大量分析才可以得出結論，例如：

Ø需要有可靠的測試手段來支撐態勢評估和風險評估

Ø需要有固定標準來框架測試內容及範圍，使專業人員和非專業人員可以針對安全測試的過程和結果達成共識

Ø需要培養專業的安全人員可以進行風險分析和態勢預測

Ø需要形成並持續更新資訊系統自身的風險庫

Ø需要……

只有滿足了這些根本的需求，展開科學有效的安全測試，形成量化的測試結論，並將其融入到整體資訊保安管理體系中，這樣的資訊保安管理體系才是可以落地的真正意義上有效降低風險的資訊保安管理體系。安全測試能夠：

ü作為資訊保安體系管理制度的輸入依據

ü作為應急響應技術儲備的輸入依據

ü作為企業安全基線的輸入依據

ü作為企業安全紅線的輸入依據

ü作為企業資訊保安人員招聘及技術培養方向的輸入依據

ü作為企業資訊保安防護資源投入的說明依據

綜上所述，能夠開展持續有效地進行安全測試是企業資訊保安管理體系成敗的決定性因素，所以科學地做好安全測試工作，已經成為資訊保安體系的重中之重。開源安全測試方法手冊——Open Source Security Testing Methodology Manual（以下簡稱：OSSTMM）無疑是一個最為合適的參考依據。