了解網(wǎng)絡安全的人士不難理解滲透測試，滲透測試它指的是滲透者在不同位置測試特定的網(wǎng)絡環(huán)境來挖掘和發(fā)現(xiàn)系統(tǒng)中的漏洞，繼而再輸出滲透測試報告的一個過程。簡單來講這是一種模擬入侵的過程。很多朋友也許在思考滲透測試模擬入侵有必要嗎？答案是肯定的，如果我們通過滲透測試發(fā)現(xiàn)漏洞，可以及時修補，亡羊補牢尚未晚也，但是如果不重視滲透測試，那么我們的安全就會直接暴露在真正的入侵者面前，那么后果可想而知，所以滲透測試是非常有必要的。

滲透測試的必要性：

滲透測試是指滲透者在不同的位置：如內(nèi)的位置、如內(nèi)部網(wǎng)絡、外部網(wǎng)絡等測試特定的網(wǎng)絡，以發(fā)現(xiàn)和挖掘系統(tǒng)中的漏洞，然后輸出滲透測試報告并提交給網(wǎng)絡所有者。網(wǎng)主可以根據(jù)滲透者提供的滲透性測試報告，清楚地了解系統(tǒng)中存在的安全隱患和問題。在目標網(wǎng)絡外部進行滲透模擬，除已知的被測目標信息外，不提供其它信息。滲透者完全處于對目標網(wǎng)絡系統(tǒng)一無所知的狀態(tài)。他們只能通過網(wǎng)絡、電子郵件等網(wǎng)絡向公眾提供各種服務器進行掃描和檢測。從獲得的公共信息中，測試決定滲透的計劃和步驟。黑盒子滲透測試通常用來模擬網(wǎng)絡外部的攻擊行為。

假定您正在建造一個金庫，并且您按照建筑規(guī)范建造了這個金庫。金庫在這段時間內(nèi)能立即投入使用嗎?當然沒有!由于目前尚不清楚整個保險箱系統(tǒng)的安全狀況，能否保證保險箱中貴重物品的安全。現(xiàn)在應該怎么做呢?可請一些行業(yè)安全方面的專家對該金庫進行全面檢查和評估，如金庫門是否容易被損壞，金庫報警系統(tǒng)是否在異常情況下能及時報警，所有門、窗、通道等重點易突破的地方是否牢不可破，檢查金庫的安全管理制度，視頻監(jiān)控系統(tǒng)，出入口控制等。還會有人員模擬入侵機房，驗證機房的實際安全狀況，期望發(fā)現(xiàn)問題。這一過程類似于對金庫的滲透測試。在這里就像我們的信息系統(tǒng)，各種測試，檢查，模擬入侵都是滲透測試。

或許您還會有疑問：我會定期更新安全策略和程序，隨時為系統(tǒng)打補丁，并采用安全軟件來確保所有的補丁都已經(jīng)打好，是否還需要滲透測試?這就好像是金庫建設(shè)時的金庫建設(shè)規(guī)范要求，你們按要求建設(shè)并不意味著可以高枕無憂。并且讓專業(yè)滲透測試者(通常來自外部的專業(yè)安全服務公司)進行檢查或者滲透測試，就好像安全檢測，評估，以及在機房建設(shè)之后模擬入侵演習一樣，獨立地檢查您的網(wǎng)絡安全策略和安全狀態(tài)是否達到了預期。識別安全性問題，滲透測試有助于了解當前的安全性狀況。對您進行的滲透測試可以證明您的防御是有效的，或發(fā)現(xiàn)有助于阻止?jié)撛诠舻膯栴}。在網(wǎng)絡上預先發(fā)現(xiàn)漏洞，并進行必要的修補，猶如未雨綢繆;而在網(wǎng)絡上被他人發(fā)現(xiàn)漏洞并利用漏洞攻擊系統(tǒng)，發(fā)生安全事故后的補救，猶如亡羊補牢。顯然，未雨綢繆勝于不作為。

通過識別安全問題，滲透測試可以幫助單元了解當前的安全狀況。它促使許多單位制定行動計劃，以減少攻擊或誤用威脅。

寫出好的滲透測試結(jié)果可以幫助管理人員建立可靠的商業(yè)案例，從而證明增加了安全預算，或與高層管理人員溝通安全問題。

安全并不能解決某些問題，它是一個需要嚴格評估的過程。為了發(fā)現(xiàn)新的威脅，安全措施需要定期檢查。滲透性測試和公正的安全分析可以讓很多單位重視內(nèi)部安全資源的需求。另外，獨立的安全審計技術(shù)也迅速成為獲取網(wǎng)絡安全保險的必要條件。與規(guī)范和法律要求的一致性對于企業(yè)來說也是必要的，滲透測試工具可以幫助很多單位達到這些規(guī)范要求。

企業(yè)電子商務項目啟動的核心目標之一，就是與戰(zhàn)略合作伙伴、供應商、客戶和其他電子商務相關(guān)人員進行密切合作。為了達到這一目標，許多單位有時會允許合作伙伴、供應商、B2B交易中心、客戶和其他相關(guān)人員通過可信連接方式訪問其網(wǎng)絡。良好的滲透測試和安全審查有助于許多機構(gòu)發(fā)現(xiàn)該復雜結(jié)構(gòu)中最脆弱的鏈接，確保所有連接實體都有標準的安全基準。

以上我們分享了滲透測試的必要性，當然在有了安全實踐和基礎(chǔ)架構(gòu)之后，滲透測試將對業(yè)務措施之間的反饋進行重要驗證，同時也提供一個安全框架，使網(wǎng)絡風險降到最低。如果您想了解更多相關(guān)信息，請您繼續(xù)關(guān)注中培偉業(yè)。