了解網(wǎng)絡(luò)安全的人士不難理解滲透測(cè)試，滲透測(cè)試它指的是滲透者在不同位置測(cè)試特定的網(wǎng)絡(luò)環(huán)境來(lái)挖掘和發(fā)現(xiàn)系統(tǒng)中的漏洞，繼而再輸出滲透測(cè)試報(bào)告的一個(gè)過(guò)程。簡(jiǎn)單來(lái)講這是一種模擬入侵的過(guò)程。很多朋友也許在思考滲透測(cè)試模擬入侵有必要嗎？答案是肯定的，如果我們通過(guò)滲透測(cè)試發(fā)現(xiàn)漏洞，可以及時(shí)修補(bǔ)，亡羊補(bǔ)牢尚未晚也，但是如果不重視滲透測(cè)試，那么我們的安全就會(huì)直接暴露在真正的入侵者面前，那么后果可想而知，所以滲透測(cè)試是非常有必要的。

滲透測(cè)試的必要性：

滲透測(cè)試是指滲透者在不同的位置：如內(nèi)的位置、如內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)等測(cè)試特定的網(wǎng)絡(luò)，以發(fā)現(xiàn)和挖掘系統(tǒng)中的漏洞，然后輸出滲透測(cè)試報(bào)告并提交給網(wǎng)絡(luò)所有者。網(wǎng)主可以根據(jù)滲透者提供的滲透性測(cè)試報(bào)告，清楚地了解系統(tǒng)中存在的安全隱患和問(wèn)題。在目標(biāo)網(wǎng)絡(luò)外部進(jìn)行滲透模擬，除已知的被測(cè)目標(biāo)信息外，不提供其它信息。滲透者完全處于對(duì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)一無(wú)所知的狀態(tài)。他們只能通過(guò)網(wǎng)絡(luò)、電子郵件等網(wǎng)絡(luò)向公眾提供各種服務(wù)器進(jìn)行掃描和檢測(cè)。從獲得的公共信息中，測(cè)試決定滲透的計(jì)劃和步驟。黑盒子滲透測(cè)試通常用來(lái)模擬網(wǎng)絡(luò)外部的攻擊行為。

假定您正在建造一個(gè)金庫(kù)，并且您按照建筑規(guī)范建造了這個(gè)金庫(kù)。金庫(kù)在這段時(shí)間內(nèi)能立即投入使用嗎?當(dāng)然沒(méi)有!由于目前尚不清楚整個(gè)保險(xiǎn)箱系統(tǒng)的安全狀況，能否保證保險(xiǎn)箱中貴重物品的安全。現(xiàn)在應(yīng)該怎么做呢?可請(qǐng)一些行業(yè)安全方面的專(zhuān)家對(duì)該金庫(kù)進(jìn)行全面檢查和評(píng)估，如金庫(kù)門(mén)是否容易被損壞，金庫(kù)報(bào)警系統(tǒng)是否在異常情況下能及時(shí)報(bào)警，所有門(mén)、窗、通道等重點(diǎn)易突破的地方是否牢不可破，檢查金庫(kù)的安全管理制度，視頻監(jiān)控系統(tǒng)，出入口控制等。還會(huì)有人員模擬入侵機(jī)房，驗(yàn)證機(jī)房的實(shí)際安全狀況，期望發(fā)現(xiàn)問(wèn)題。這一過(guò)程類(lèi)似于對(duì)金庫(kù)的滲透測(cè)試。在這里就像我們的信息系統(tǒng)，各種測(cè)試，檢查，模擬入侵都是滲透測(cè)試。

或許您還會(huì)有疑問(wèn)：我會(huì)定期更新安全策略和程序，隨時(shí)為系統(tǒng)打補(bǔ)丁，并采用安全軟件來(lái)確保所有的補(bǔ)丁都已經(jīng)打好，是否還需要滲透測(cè)試?這就好像是金庫(kù)建設(shè)時(shí)的金庫(kù)建設(shè)規(guī)范要求，你們按要求建設(shè)并不意味著可以高枕無(wú)憂(yōu)。并且讓專(zhuān)業(yè)滲透測(cè)試者(通常來(lái)自外部的專(zhuān)業(yè)安全服務(wù)公司)進(jìn)行檢查或者滲透測(cè)試，就好像安全檢測(cè)，評(píng)估，以及在機(jī)房建設(shè)之后模擬入侵演習(xí)一樣，獨(dú)立地檢查您的網(wǎng)絡(luò)安全策略和安全狀態(tài)是否達(dá)到了預(yù)期。識(shí)別安全性問(wèn)題，滲透測(cè)試有助于了解當(dāng)前的安全性狀況。對(duì)您進(jìn)行的滲透測(cè)試可以證明您的防御是有效的，或發(fā)現(xiàn)有助于阻止?jié)撛诠舻膯?wèn)題。在網(wǎng)絡(luò)上預(yù)先發(fā)現(xiàn)漏洞，并進(jìn)行必要的修補(bǔ)，猶如未雨綢繆;而在網(wǎng)絡(luò)上被他人發(fā)現(xiàn)漏洞并利用漏洞攻擊系統(tǒng)，發(fā)生安全事故后的補(bǔ)救，猶如亡羊補(bǔ)牢。顯然，未雨綢繆勝于不作為。

通過(guò)識(shí)別安全問(wèn)題，滲透測(cè)試可以幫助單元了解當(dāng)前的安全狀況。它促使許多單位制定行動(dòng)計(jì)劃，以減少攻擊或誤用威脅。

寫(xiě)出好的滲透測(cè)試結(jié)果可以幫助管理人員建立可靠的商業(yè)案例，從而證明增加了安全預(yù)算，或與高層管理人員溝通安全問(wèn)題。

安全并不能解決某些問(wèn)題，它是一個(gè)需要嚴(yán)格評(píng)估的過(guò)程。為了發(fā)現(xiàn)新的威脅，安全措施需要定期檢查。滲透性測(cè)試和公正的安全分析可以讓很多單位重視內(nèi)部安全資源的需求。另外，獨(dú)立的安全審計(jì)技術(shù)也迅速成為獲取網(wǎng)絡(luò)安全保險(xiǎn)的必要條件。與規(guī)范和法律要求的一致性對(duì)于企業(yè)來(lái)說(shuō)也是必要的，滲透測(cè)試工具可以幫助很多單位達(dá)到這些規(guī)范要求。

企業(yè)電子商務(wù)項(xiàng)目啟動(dòng)的核心目標(biāo)之一，就是與戰(zhàn)略合作伙伴、供應(yīng)商、客戶(hù)和其他電子商務(wù)相關(guān)人員進(jìn)行密切合作。為了達(dá)到這一目標(biāo)，許多單位有時(shí)會(huì)允許合作伙伴、供應(yīng)商、B2B交易中心、客戶(hù)和其他相關(guān)人員通過(guò)可信連接方式訪問(wèn)其網(wǎng)絡(luò)。良好的滲透測(cè)試和安全審查有助于許多機(jī)構(gòu)發(fā)現(xiàn)該復(fù)雜結(jié)構(gòu)中最脆弱的鏈接，確保所有連接實(shí)體都有標(biāo)準(zhǔn)的安全基準(zhǔn)。

以上我們分享了滲透測(cè)試的必要性，當(dāng)然在有了安全實(shí)踐和基礎(chǔ)架構(gòu)之后，滲透測(cè)試將對(duì)業(yè)務(wù)措施之間的反饋進(jìn)行重要驗(yàn)證，同時(shí)也提供一個(gè)安全框架，使網(wǎng)絡(luò)風(fēng)險(xiǎn)降到最低。如果您想了解更多相關(guān)信息，請(qǐng)您繼續(xù)關(guān)注中培偉業(yè)。