你還應(yīng)該制訂測(cè)試準(zhǔn)則，譬如說：滲透測(cè)試人員可以探查漏洞并進(jìn)行測(cè)試，但不得利用，因?yàn)檫@可能會(huì)危及到你想要保護(hù)的系統(tǒng)。
有關(guān)滲透測(cè)試的合同或工作說明應(yīng)該包括你從所得報(bào)告中想要獲得的各個(gè)方面。如果你請(qǐng)人進(jìn)行有限的測(cè)試，得到的只是計(jì)算機(jī)生成的報(bào)告。而滲透測(cè)試的真正價(jià)值在于由報(bào)告所**出的分析。進(jìn)行測(cè)試的一方會(huì)詳細(xì)介紹發(fā)現(xiàn)結(jié)果，并說明其重要性。在有的地方，測(cè)試人員還會(huì)提議采取何種補(bǔ)救方法，譬如更新服務(wù)器、禁用網(wǎng)絡(luò)服務(wù)、改變防火墻規(guī)則等等。

以外部需要訪問的Web或應(yīng)用服務(wù)器為例，你應(yīng)該考慮與滲透測(cè)試人員共享這些應(yīng)用的源代碼，如果測(cè)試涉及這些腳本或程序的話。沒有源代碼，很難測(cè)試ASP或CGI腳本，事先認(rèn)定攻擊者根本不會(huì)看到源代碼是不明智的。Web服務(wù)器軟件里面的漏洞往往會(huì)把腳本和應(yīng)用暴露在遠(yuǎn)程攻擊者面前。如果能夠獲得應(yīng)用的源代碼，則可以提高測(cè)試該應(yīng)用的效率。畢竟，你出錢是為了讓滲透測(cè)試人員查找漏洞，而不是浪費(fèi)他們的時(shí)間。
此外，你還要提供合適的測(cè)試途徑。如果你想測(cè)試在非軍事區(qū)（DMZ）里面的系統(tǒng)，*好的測(cè)試地方就是在同一個(gè)網(wǎng)段內(nèi)測(cè)試。讓滲透測(cè)試人員在防火墻外面進(jìn)行測(cè)試聽起來似乎更實(shí)際，但內(nèi)部測(cè)試可以大大提高發(fā)現(xiàn)防火墻原本隱藏的服務(wù)器安全漏洞的可能性。因?yàn)?，一旦防火墻設(shè)置出現(xiàn)變動(dòng)，就有可能暴露這些漏洞，或者有人可能通過漏洞，利用一臺(tái)DMZ服務(wù)器攻擊其它服務(wù)器。還記得尼姆達(dá)病毒嗎？它就是**攻擊得逞后、利用一臺(tái)Web服務(wù)器發(fā)動(dòng)其它攻擊的。
滲透測(cè)試旨在證明，網(wǎng)絡(luò)防御機(jī)制的運(yùn)行與你認(rèn)為的一樣良好。往往系統(tǒng)和網(wǎng)絡(luò)管理員視審查人員或滲透人員為敵人，但實(shí)際上他們卻是朋友。到位的滲透測(cè)試可以證明你的防御確實(shí)有效，或者查出問題，幫助你阻擋未來攻擊。出錢請(qǐng)自己知道的人來發(fā)現(xiàn)網(wǎng)絡(luò)中的漏洞，總比讓自己不知道的人發(fā)現(xiàn)漏洞好得多。
滲透測(cè)試，是為了證明網(wǎng)絡(luò)防御按照預(yù)期計(jì)劃正常運(yùn)行而提供的一種機(jī)制。不妨假設(shè)，你的公司定期更新安全策略和程序，時(shí)時(shí)給系統(tǒng)打補(bǔ)丁，并采用了漏洞掃描器等工具，以確保所有補(bǔ)丁都已打上。如果你早已做到了這些，為什么還要請(qǐng)外方進(jìn)行審查或滲透測(cè)試呢？因?yàn)?，滲透測(cè)試能夠獨(dú)立地檢查你的網(wǎng)絡(luò)策略，換句話說，就是給你的系統(tǒng)安了一雙眼睛。而且，進(jìn)行這類測(cè)試的，都是尋找網(wǎng)絡(luò)系統(tǒng)安全漏洞的專業(yè)人士。
滲透測(cè)試 (penetration test)并沒有一個(gè)標(biāo)準(zhǔn)的定義，國外一些安全組織達(dá)成共識(shí)的通用說法是：滲透測(cè)試是通過模擬惡意**的攻擊方法，來評(píng)估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評(píng)估方法。這個(gè)過程包括對(duì)系統(tǒng)的任何弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析，這個(gè)分析是從一個(gè)攻擊者可能存在的位置來進(jìn)行的，并且從這個(gè)位置有條件主動(dòng)利用安全漏洞。
換句話來說，滲透測(cè)試是指滲透人員在不同的位置（比如從內(nèi)網(wǎng)、從外網(wǎng)等位置）利用各種手段對(duì)某個(gè)特定網(wǎng)絡(luò)進(jìn)行測(cè)試，以期發(fā)現(xiàn)和挖掘系統(tǒng)中存在的漏洞，然后輸出滲透測(cè)試報(bào)告，并提交給網(wǎng)絡(luò)所有者。網(wǎng)絡(luò)所有者根據(jù)滲透人員提供的滲透測(cè)試報(bào)告，可以清晰知曉系統(tǒng)中存在的安全隱患和問題。
我們認(rèn)為滲透測(cè)試還具有的兩個(gè)顯著特點(diǎn)是：滲透測(cè)試是一個(gè)漸進(jìn)的并且逐步深入的過程。滲透測(cè)試是選擇不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的攻擊方法進(jìn)行的測(cè)試。
作為網(wǎng)絡(luò)安全防范的一種新技術(shù)，對(duì)于網(wǎng)絡(luò)安全組織具有實(shí)際應(yīng)用價(jià)值。但要找到一家合適的公司實(shí)施滲透測(cè)試并不容易。



http://mmsped.com