企業重視滲透測試的安全審查，無疑是想證明網絡防御和你預想的一樣有效。現在來講，大部分的攻擊一般都是基于最基本的漏洞掃描，攻擊一旦成功，那么目標立即會受到威脅。我們企業組織進行好的滲透測試就可以證明你的防御是有效的。如果發現了自然會有助于阻止未來攻擊。所以系統和網絡管理員應把審查者和滲透者應視為朋友，對于滲透測試的安全審查也是非常必要的，因為它可能是您的網絡防御工具箱中一個極為重要的武器之一。

滲透測試是指滲透者在不同的地點，例如內部網、外部網等等，對特定的網絡進行測試，以便發現和挖掘系統中的漏洞，然后輸出滲透測試報告并提交給網管。網主可以根據滲透者提供的滲透性測試報告，清楚地了解系統中存在的安全隱患和問題。

在目標網絡外部進行滲透模擬，除已知的被測目標信息外，不提供其它信息。滲透者完全處于對目標網絡系統一無所知的狀態。他們只能通過網絡、電子郵件等網絡向公眾提供各種服務器進行掃描和檢測。從獲得的公共信息中，測試決定滲透的計劃和步驟。黑盒子滲透測試通常用來模擬網絡外部的攻擊行為。

安全審查：滲透性測試的目的是證明網絡防御和你想的一樣有效。通常，系統和網絡管理員把審查者和滲透者視為敵人，而實際上他們是朋友。進行好的滲透測試可以證明你的防御是有效的，或者發現有助于阻止未來攻擊的問題。花錢讓自己知道的人去找網絡漏洞，比讓自己不知道的人去找漏洞要好得多。

滲入測試可用于向第三方，例如投資方或你的管理層提供有關網絡安全狀況的具體證據。實際上，你知道這個網絡漏洞可能已經存在了一段時間了，但是并不能說服管理者分配必要的資源來修復這個漏洞。僅僅依靠自己，網絡或安全管理人員的意見通常不會被董事會接受。假如外界的顧問同意你的評估，也許會有奇跡發生。

關于滲透測試的合同或工作說明應包含您希望在收入報告中得到的所有方面。假如你要求別人做一個有限制的測試，得到的是電腦生成的報告。滲透性測試的真正價值是從報告中得到的分析結果。執行測試的一方將詳細描述這些發現，并說明其重要性。還有一些地方的測試者提出了一些解決辦法，比如更新服務器，禁用網絡服務，修改防火墻規則等等。

現在，大部分的攻擊都是基于最基本的漏洞掃描，一旦成功，目標就會受到威脅。當一個攻擊者試圖掃描你的網站時，他會收到一大堆防火墻日志信息，任何監控網絡的入侵檢測系統(IDS)都會發出當前攻擊的警告信息。假如您尚未嘗試，不妨利用漏洞掃描器結合IDS對網絡進行一次全面的測試。不要忘記先取得對方的許可，因為運行漏洞掃描程序會讓IDS發出警告。

以上我們介紹了滲透測試的安全審查以及未來發展的問題，企業組織應將此視為各種安全檢查的一部分，并且要確保檢查人員能夠勝任此項工作，讓企業網路防御做得更好。如果您想了解更多信息，請您繼續關注中培偉業。