網(wǎng)絡(luò)在給我們帶來無限方便的同時，也隱藏著無數(shù)危機。2022年網(wǎng)絡(luò)攻擊造成的損失創(chuàng)下新的歷史記錄，根據(jù)Cybersecurity Ventures最新發(fā)布的“2022年網(wǎng)絡(luò)犯罪報告”，預(yù)計2023年網(wǎng)絡(luò)犯罪將給全世界造成8萬億美元的損失。同時在市場和以網(wǎng)絡(luò)安全法為代表的一系列法律法規(guī)的雙重作用下，網(wǎng)絡(luò)安全日益受到了重視，這使各企業(yè)機構(gòu)必須不斷地提高網(wǎng)絡(luò)的安全防護能力及安全運維能力。

為此，可以對整體信息系統(tǒng)有一個具體的安全認(rèn)識的服務(wù)——滲透測試得到了廣泛的認(rèn)可，下面具體說一下什么是滲透測試，以及如何進行滲透測試服務(wù)？

滲透測試

一、什么是滲透測試

滲透測試是一種從攻擊者的角度來對客戶授權(quán)的測試目標(biāo)進行安全評估的手段，在對現(xiàn)有信息系統(tǒng)不造成損害的前提下，由具備高技能和高素質(zhì)的安全服務(wù)人員發(fā)起，并模擬常見黑客所使用的測試手段對目標(biāo)系統(tǒng)進行模擬入侵。可以清晰知曉系統(tǒng)中存在的安全隱患和問題。

滲透測試的方式主要分為黑盒測試和白盒測試：

黑盒測試：滲透者對于系統(tǒng)一無所知的狀態(tài)，除了被測試的目標(biāo)的已知公開信息外，不提供任何其他信息。

白盒測試：測試者可以通過正常渠道向被測單位取得各種資料，也能與單位其他員工進行面對面溝通。

滲透測試的作用

二、什么類型的安全風(fēng)險需要進行滲透測試？

1.老舊的業(yè)務(wù)系統(tǒng)在架構(gòu)設(shè)計時僅考慮功能實現(xiàn)，未考慮安全因素，缺乏對業(yè)務(wù)系統(tǒng)的安全性驗證。

2.用戶開發(fā)完畢的新系統(tǒng)平臺需要上線，需要對安全架構(gòu)的安全性進行驗證，防止業(yè)務(wù)系統(tǒng)帶“病”上線。

3.滿足監(jiān)管單位或主管單位對業(yè)務(wù)系統(tǒng)合規(guī)與監(jiān)管的要求。

4.企業(yè)及網(wǎng)站存在機密資料外泄、用戶資料外泄的擔(dān)憂。

5.業(yè)務(wù)系統(tǒng)存在交易業(yè)務(wù)邏輯問題（如金融類系統(tǒng)）

滲透測試的服務(wù)流程

三、滲透測試服務(wù)的流程？

以天磊衛(wèi)士為例。服務(wù)流程分為前期準(zhǔn)備、測試階段、復(fù)測階段和成果匯報四個階段：

前期準(zhǔn)備：在實施滲透測試工作前，獲得企業(yè)的授權(quán)后，技術(shù)人員會和客戶對滲透測試服務(wù)相關(guān)的技術(shù)細(xì)節(jié)進行詳細(xì)溝通，由此確認(rèn)滲透測試的方案。

測試階段：過程中，首先使用自動化的安全掃描工具，完成初步的信息收集等工作。再由安全專家對安全掃描的結(jié)果進行人工的確認(rèn)和分析。并且根據(jù)收集的各類信息進行人工的進一步滲透測試深入，最終提交報告，并就報告內(nèi)容進行溝通。

復(fù)測階段：在經(jīng)過第一次滲透測試報告提交和溝通后，等待客戶針對滲透測試發(fā)現(xiàn)的問題整改或加固，例如額外的安全措施或補償控制。經(jīng)整改或加固后，測試人員重新參與以提供補救證據(jù)或評估緩解措施的效果，即二次復(fù)測。

成果匯報：根據(jù)一次滲透測試和二次復(fù)測結(jié)果，相關(guān)數(shù)據(jù)需要以清晰的方式關(guān)聯(lián)并呈現(xiàn)給客戶。最后匯報項目領(lǐng)導(dǎo)。