渗透测试是一种有目的性的、针对目的机构盘算机系统宁静的检测评估方法。渗透测试可以发现系统的毛病和宁静机制方面的隐患，并以此举行渗透攻击来取得目的盘算机的控制权。通过渗透测试可以知道目的机构的盘算机系统是否易于受到攻击，现有的宁静部署是否能妥善地抵御攻击，以及哪部门宁静机制可能被绕过，等等。渗透测试的主要目的是改善目的机构的宁静性。

如今，在商业领域随处都需要渗透测试。近年来，随着网络和盘算机犯罪现象的逐年递增，渗透测试已成为网络宁静研究的焦点问题之一。应用渗透测试技术可以有效地制止来自企业内部和外部的威胁。企业应用渗透测试的须要性就在于它可以发现网络、系统或者应用法式的毛病。

此外，由于渗透测试是从攻击者的角度出发，因而可以更好地发现企业的弱点和威胁。在发现系统中的种种潜在缺陷以后，渗透测试还要使用这些毛病来评估系统存在的风险因素以及毛病可能发生的影响。

不外，渗透测试能否乐成很大水平上取决于渗透测试工程师对目的信息的掌握情况。因此渗透测试工程师通常会接纳黑盒测试和白盒测试两种截然差别的方法举行事情。黑盒测试指的是渗透测试工程师在事先并没有目的信息的情况下开展的测试。因此渗透测试的第一步是系统地收集目的的信息。

而在举行白盒渗透测试时，渗透测试工程师事先掌握了足够的目的信息，可以直接验证目的系统可能存在的宁静毛病。随着时代的生长纯白盒测试已经越来越少，逐渐演变出来了介于黑盒和白盒测试之间的灰盒测试，它综合了黑盒与白盒方法的优势，并有效地避开了两者各自的缺陷。灰盒方法通过涵盖被测软件的所有层面，以增加技术的笼罩规模。如果说黑盒测试人员需要确保界面和功效方面的正常;白盒测试人员通过深入研究软件的内部结构，以修复源代码级此外错误，那么灰盒测试则是以非滋扰的方式同时处置惩罚两方面的测试。

而从渗透测试的目的举行划分，又可分为以下五种模式：上线前的渗透测试、上线后定期在线宁静测试、依托众测平台的宁静众测、自组织的宁静众测、红蓝攻防演练。1. 上线前渗透测试：这应该是种种企业宁静测试的标配了，一般都是信息系统已经完成了联调联试，各项功效指标、技术指标已经到达设计要求后，在企业的测试情况中举行的一次渗透测试；2. 上线后定期在线宁静测试：因为上线前的渗透测试不能发现因上线历程中设置失误导致的宁静毛病，所以，有些企业就会接纳上线后定期在线宁静测试的形式，好比，每季度、每个重大运动之前等；3. 依托众测平台的宁静众测：2010 年建立的乌云网，聚集了一批民间渗透测试妙手，俗称“白帽子”，厥后生长成海内颇具影响力的毛病平台。2011 年，刚建立一年的乌云网一连披露京东、支付宝、等著名互联网企业存在高危毛病，今后又接连指出支付宝 2500 万用户资料泄露、如家旅店开房信息泄露、 7000 万 QQ 群用户数据泄露等一系列宁静问题。

听说，那时候企业宁静人员天天起床的第一件事就是打开乌云平台，看看有没有自家的宁静毛病。乌云网的兴起让人们看到了渗透测试领域的“人民战争”、“群众门路”威力。

其后，乌云网因种种原因而停站，可是，其后却兴起了一批以专门提供众测服务的宁静厂商，比力典型的有毛病盒子宁静众测平台、360 补天宁静众测平台、阿里先知宁静众测平台、SOBUG 宁静众测平台等；4. 企业自组织的宁静众测：随着众测的生长，有些比力大的甲方厂商就开始有差别的思路。一是有些企业以为与其到众测平台开众测项目收集企业宁静毛病，还不如我自己直接吸收白帽子的宁静毛病，于是，各大互联网公司都开始建设各自的 SRC 宁静应急响应中心，在其中提供专门的毛病收集板块，供白帽子提交毛病，为白帽子提供积分、礼物、现金等奖励。二是有些企业以为众测平台较难管控宁静风险，普通的渗透测试缺乏竞争机制，难以发现高阶宁静毛病。于是这些企业就开始组织厂商众测模式，选择四五家宁静厂商同时开展宁静测试，然后按毛病效果付费，毛病品级高，付费就高，品级低，付费就低；5. 红蓝攻防演练：磨练的是企业整体防护水平和防护体系，如全体人员宁静意识、防护系统检测发现能力、目的系统毛病情况等，既磨练了防护系统的有效性，又全面检查系统各种毛病情况，还磨练人员的宁静意识。

因此，红蓝攻防演练一般是针对企业的全部信息系统、分支机构，不设详细目的、不限详细手段，全面磨练企业的主动防护、宁静检测、应急处置等能力，发现系统技术毛病反而是隶属性的。甲方企业在举行年度的宁静渗透服务预算时，可以适当思量多条理的宁静渗透测试服务，以到达尽可能多的发现宁静毛病目的。首先，上线前渗透测试和上线后定期宁静测试应该是企业宁静渗透测试服务的尺度选择。

有些企业可能畏惧渗透测试影响业务运行，而只选择上线前渗透测试。可是，殊不知有些系统上线历程中发生毛病危害也是庞大的，更有甚者，有些系统上线前基础就没有经由宁静渗透测试或者阶段变换没有经由宁静渗透测试，这些都市导致渗透测试在流程上、机制上存在笼罩盲点。

其次，宁静众测可以适当思量投入预算，究竟渗透测试领域的“人民战争”、“群众门路”威力还是不行小觑的。预算少的中小企业可以在众测平台上开个众测项目，预算多的大企业可以思量建设自己的 SRC 服务，或者自己组织举行厂商众测。

文/上海蓝盟 IT外包专家。

本文来源：威尼斯wns.8885556-www.tczs777.com