渗透性测试是一种特殊的信息安全服务

渗透性测试是信息安全人员模拟黑客攻击，用来发现信息安全防御体系中漏洞的一种常用方法。但它不同于真正的黑客攻击。首先，黑客入侵大多是悄无声息的，像间谍一样秘密进行，而渗透性测试事先要与用户签订好协议；其次，渗透测试是为了发现、验证安全漏洞的影响而进行的，注重入侵者可能的通道，并非关注用户的敏感信息内容。所以，渗透性测试时一种安全服务，简称渗透服务。

　　国内渗透服务开展不好的原因：

　　1、技术性要求很高。渗透与实际的入侵是同样的思路，需要渗透者有很强的逆向思维，有一定漏洞挖掘的能力，仅仅使用常规的入侵手段，面对安全意识较强的用户，渗透效果会很不理想；用最新的“0Day”资源去做渗透，成本又过高，同时，这种方法会给用户带来心理上的恐慌。要得到用户的认可需要掌握好这个“度”，当然没有深厚的技术功底，就只能被挡在服务大门的外边了；

　　2、用户的纠结。作为企业信息安全的管理人员，当然不希望自己辛苦建立的安全防御体系被说成千疮百孔；花钱请人来做渗透，无疑是自己要“上京赶考”，很煎熬啊；若渗透没有成果，又无法向领导解释这样的服务的必要性，无法验证自己安全工作的成绩，不暴露问题的严重性，安全保障工作也难以得到领导的重视。所以，心情是复杂的；如何衡量渗透服务的效果是面临的首要问题；

　　3、用户领导的顾虑。用渗透的方式检验目前的安全防御体系是否坚固，好比是“实战演习”，显然是有必要的。但是渗透毕竟是从自己不知道的地方进入到自己网络的内部，对于渗透者的工作的可控性是有难度的，渗透者除了给自己最后汇报的，是否还知道了其他的什么？孰轻孰重，领导肯定是有顾虑的；

　　4、渗透者的纠结。渗透是为了验证用户防御体系的缺陷，每次渗透服务后，把发现的漏洞通告给用户，当然希望用户堵上它，可是下一次来渗透的时候，又需要再发现新的漏洞，否则就无法渗透成功，而发现有价值的漏洞不是一件容易的事情，即使你技术再好，也有很多偶然的成分；因此渗透者很纠结，知道了的全说出来，以后工作会越来越挑战极限，毕竟这是商业；知道的不全说，对用户似乎很不公平，也违背了信息安全人员的职业道德。另外，验证的毕竟部分漏洞，未验证的漏洞也不少，也许是时间上的不充裕，也可能是自己还没有找到适合的方法，但这不等于别人就做不到，搞技术的人，心情上很复杂。

　　正确定位渗透服务的目标：

　　这项工作的好处是共知的，“养兵千日，用在一时。”保持安全机制的有效性，唯一的办法就是经常性的“实弹演习”，渗透服务就是一种“实弹演习”。

　　面对各方面人员复杂的心情，关键是正确定位渗透性测试服务的具体目标，定位大家的角色。目标清晰了，责任清楚了，大家的顾虑就可以打消了。

　　渗透性测试是一种安全服务，不是黑客入侵的情景再现。

　　渗透服务的目标应该是部分验证安全漏洞可以被利用的程度，利用这些漏洞能给用户造成什么样的损害。简单地说，渗透服务是确认漏洞能给用户带来的损失有多大，从而可以评估修复这些漏洞的代价是否值得。

　　通过渗透服务，用户的收益是多方面的：

　　1、对信息安全系统整体进行了一次“实战演练”，在实战中锻炼安全维护团队应变的能力；

　　2、系统评估了业务系统，在技术与运维方面的实际水平，管理者清楚了目前的防御体系可以抵御什么级别的入侵攻击；

　　3、发现安全管理与系统防护中的漏洞，可以有针对性地进行加固与整改；

　　4、若定期地进行渗透服务，不仅可以逐步提高系统安全的防御能力，而且可以保持管理人员的警觉性，增强防范意识；

　　如何确定渗透服务的考核目标：

　　很多渗透测试服务（目前与安全评估服务一起提供的有很多）给用户的报告就是一大堆的漏洞列表，告诉你要打补丁，买设备，以及一些很虚的安全管理建议。用户往往对这些漏洞的威胁不了解，面对如此多数量的、稀奇古怪的漏洞根本不知所措。第一，因为怕影响业务运行，不能全部打上补丁，哪些必须打，哪些可以不打，总是一本糊涂账；第二，即使打上补丁，心里也不踏实，漏斗就少了吗？下次检查又是同样多的漏洞，好想补丁永远也补不完。

　　其实发现漏洞只是服务的第一步，验证哪些漏洞是可以被利用的，可以被利用到什么程度，才是渗透服务真正应该回答的，比如能获取系统管理员权限，能篡改系统数据，能植入木马等等，这样用户对漏洞的威胁就有切身的体会了。

　　渗透服务是模拟黑客入侵，但不是真正的入侵，作为商业服务，用户如何确定渗透服务的考核目标呢？我们先来分析一下黑客攻击的方式。