2、 安全测试

　　安全测试主要是对支撑起互联网接口的网络组件，如网络设备、主机服务器、数据库、应用系统、网络安全设备，进行系统漏洞扫描、web安全扫描、基线合规性安全检查以及渗透测试，检查其存在的潜在安全风险。下表是针对其需要审计的网络组件进行安全检查的列表：

　　3、 原因与追溯

　　无论是在接口现状梳理阶段还是安全测试阶段，安全风险审计都会发现很多潜在的风险问题，这些潜在的风险问题可从管理层面和技术层面两个方面进行分析。

　　管理方面

　　例如：公网IP地址梳理，省市公司是否有完整IP地址管理办法?是否按照管理办法严格执行?即省市公司能否对自有的公网IP地址进行有的放矢的安全管理等等。

　　部分省市公司互联网接口互联网络设备的端口管理存在盲区：

　　1、 互联网接口管理员不清楚互联网核心设备端口对端连接是什么业务系统、是什么设备、对端业务系统管理员是谁等;

　　2、 业务系统管理员也不清楚自己的业务系统到底是连接在互联网接口的哪个交换机的端口上;

　　3、 整个公司没有人能清楚掌握整个互联网互联设备端口业务系统互联情况，更谈不上对这些业务系统的统一管理，导致互联网接口存在管理上的盲区。

　　技术层面

　　1、 弱口令

　　弱口令可以说不是技术问题的技术问题，说不是技术问题是它本身没有什么技术难度，然而就是这个问题在以往安全检查中仍然屡见不鲜。互联网接口安全风险审计必须寻找存在弱口令的原因，是管理人员安全意识不强，还是存在设备本身比较“偏僻”，即系统在“下线”与“未下线”的之间等等原因。

　　2、 第三方插件的存在漏洞，导致系统存在入侵的风险

　　针对第三方插件漏洞系统被入侵的现象，互联网接口安全风险审计就需调查省市公司是否加强了对第三方插件的安全管理，是否有第三方插件安全维护记录等情况。

　　3、 服务器存在高危风险漏洞

　　针对漏洞扫描器发现主机服务器存在高危风险漏洞，互联网接口安全风险审计需要去核实与评估，高危风险漏洞对互联网接口的影响，以及存在高危风险漏洞的原因，是管理员未能及时更新补丁?还是补丁的更新会对当前业务系统造成影响?针对这种情况，管理员是否采用了其他安全防护措施?

　　针对技术层面发现的问题还会有很多，如跨站脚本、SQL注入、缓冲区溢出等等，互联网接口安全风险审计都要对这些存在风险问题的原因展开调查，统计产生潜在安全风险的所有原因，防止类似问题重复发生。

　　4、 汇总与改进建议

　　根据原因与追溯找到的问题根源就能有的放矢的提供有建设性的改进建议。