隨著電子商務、電子政務的發展，越來越多的重點單位和企業在安全上投入了巨大的精力和資金，但有時候用戶會有這樣的感受：當基本的軟硬件設施配置好之后，安全防衛水平就到了一個相對的瓶頸，再加大投入并不能明顯提高安全水平。實際上，這種"安全玻璃天花板"在很多行業和企業中都存在，近期興起的"滲透測試"成為了解決這個問題的新角度之一。

滲透測試是一種全新的安全防護思路，將安全防護從被動轉換成了主動。正是因為看到了這一點，很多重點行業的企業越來越多地通過獨立的第三方安全機構來進行"滲透測試"，以求更好的安全防護效果。

據瑞星安全專家介紹，早在二三十年前，滲透測試曾經在整個安全界風行一時，但在后來也遭到了一些批評。批評者認為，花費高額費用來請外部安全機構的性價比不高，而且滲透測試的效果難以準確衡量，還會受到執行團隊的技術水平制約。因此，在看不到明顯效果的情況下，很多企業轉而尋求"看得見的安全保護"，大力部署軟硬件安全設備。伴隨著安全行業的發展和企業安全意識的提高，以滲透測試為代表的"安全服務"正在得到越來越多人的認可。

圖1：不久前，暴雪公司宣布戰網內部安全網絡被黑客攻破，建議用戶更改賬號密碼

什么是滲透測試

滲透測試是由專業安全公司模仿黑客，針對授權企業網絡進行安全檢測的方法。這個檢測過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析，這種分析是站在攻擊者角度進行的主動性探測，因此會發現使用傳統檢測方法無法發現的攻擊路徑、攻擊方法和技術弱點。

早在上世紀70年代，美國軍方就曾利用"滲透測試"發現了許多未知漏洞，甚至曾經雇傭黑客對目標鏡像進行試探性攻擊，從而促使軟件編寫者構建更強壯的計算機網絡系統。后來，越來越多具有軍方背景的機構開始使用這種方法，使得漏洞在暴露之前就被修復。

圖2：滲透測試基本流程

事實上，曾經在國內流行一時的"公開邀請黑客攻擊自己網站，攻擊成功可獲大獎"的商業活動，其最初的模仿來源就是滲透測試，只不過加入了更多的商業元素，與市場活動結合有更好的推廣效果。

但值得注意的是，企業一般在部署了相對完善的軟硬件安全防護體系（包括企業版安全軟件、防火墻、入侵檢測設備等）之后，才需要進行滲透測試。如果一個企業網絡缺乏基本的保護措施，那會大大增加滲透測試工程師不必要的工作量。#p#

滲透測試的四大類

滲透測試的效果依賴于操作范圍，即測試主流的攻擊手段，目前可分為以下四大類：

1.拒絕服務攻擊測試

拒絕服務測試指的是嘗試通過耗盡測試目標的資源的方式來發現系統的特定弱點，這種方法會導致系統停止對合法請求的響應。通俗的講，黑客可以控制幾千臺肉雞，使用這些肉雞向攻擊目標發起大量連接請求，因為網站的帶寬和系統資源總是有限的，當肉雞把這些資源都消耗掉之后，正常的用戶就無法正常使用了。

拒絕服務攻擊通過配置一定的軟硬件可以削弱和過濾，進行拒絕服務攻擊測試，就是為了檢查所配置的軟硬件設備有沒有達到應有的效果。如果沒有達到效果，可以通過繼續添加攻擊特征來加強過濾。

2.應用安全性測試

現代企業的核心業務越來越多地通過Web應用實現，比如網絡視頻會議系統、全球性公司的內部業務系統、在線財務系統等，與網絡連通之后必然會帶來新的安全漏洞，使用防火墻和其他監控系統只能提高安全等級，但并不能徹底杜絕網絡威脅。

應用安全性測試的目標是評估對應用的控制和在應用中流動信息的安全性。評估的方面包括應用是否使用加密方法來保護信息的保密性和完整性、用戶是如何驗證的、Internet用戶會話與主機應用的完整性，以及Cookie的使用等。

3.無線網絡和移動終端測試

隨著WIFI、3G等無線網絡在企業中應用的逐漸增多，其帶來的安全風險也在與日俱增。因為WIFI等協議在創建的時候，其使用環境的定義與現有應用環境不同，導致其安全性標準達不到現有企業安全性的標準。但是，作為企業網絡的重要組成部分，很多企業業務需要構建在無線網絡之上，比如很多企業在進行支付、現場活動等時候，需要通過3G進行通信，這時，嚴格限制無線應用顯然是不可接受的。

因此，在進行滲透測試時，應把無線網絡和企業員工使用的智能終端（iPad、智能手機等）列入到監測范圍。一個不好笑的笑話是："美國和以色列特工對伊朗核電站進行了很多次攻擊，因為核電站與互聯網物理隔離，未達到攻擊效果，直到他們撿到了一個俄羅斯專家丟失的手機，連上了3G……"。

4.社會工程學測試

社會工程學是個很時髦的詞，但實際上含義很簡單：通過欺騙和偽裝，獲取目標對象的好感和信任，從而獲得想獲取的信息。例如，國內有個公司是其他公司挖角的對象，但大家嘗試了種種辦法無法獲取內部通訊錄。有一天，有人在這個公司樓下貼了個小廣告：小店開張全場八折，使用某公司的工卡購物，更能享受五折超低價……結果，你懂的。#p#

進行滲透測試需要注意的幾個問題

滲透測試一般由用戶企業發起，尋找有資質的第三方安全機構來進行，在進行中需要著重注意以下幾點：

A.事先應做好受測對象的監測。用戶應事先部署各種記錄工具，準確了解模擬攻擊給系統帶來的異常狀態表現，比如記錄帶寬波動、網絡內應用在攻擊狀態下的表現、攻擊利用的端口等，這些將給以后的防護提供寶貴經驗和資料。

B.在進行滲透測試時，應最小限度地讓內部人員知曉。這樣可以考驗整個團隊在異常狀態下的反映，同時也可以避免一些不太具備安全資質的團隊通過采用收買內部人員、收買內部信息的方式來完成測試。

C.在測試前，雙方應規定透露給測試團隊的信息，比如受測試網站的域名、網址、機房配置等。理論上，應該保證測試團隊獲取的信息與黑客一致，不能透露過多的信息，否則就失去了滲透測試的意義。

D.雙方簽訂嚴格的保密協議和相應的文字資料，規定滲透測試可對網絡應用、數據庫、網絡配置的影響限度。在進行滲透測試時，有時候需要更改網絡配置、修改網絡的安全防護策略來達到進一步測試的目的，但這種測試不能影響到網絡的正常運行。

E.為了進行測試，企業可以為測試團隊提供一些方便。比如某些只允許內部IP訪問的網絡，為了進行測試需要可以對測試團隊開放，但這種開放首先不能超過必要的限度，其次，在進行測試之后應及時關閉，避免測試團隊以外的黑客順手牽羊，帶來不必要的麻煩。

F.如果是安全性較高的網絡不方便開放給測試團隊，但又需要進行測試的，可以根據測試對象的具體情況，搭建一個仿真鏡像來進行測試，這樣可以最大限度地保證網絡的安全運行，又能達到測試的效果。#p#

測試報告及彌補措施

在滲透測試完成之后，執行公司應提供良好的測試報告。一份典型的測試報告包括：項目概述、測試結論、測試過程、測試過程中產生的數據證據和解決方案描述等，在整個報告中，解決方案是體現報告價值最重要的部分。

圖3：一份典型測試報告的目錄模版

因為滲透測試包含了關系到安全風險的各個部分：軟件、硬件配置、網絡和服務器運行維護等，因此解決方案同樣涉及到了龐雜的領域和系統，很多中小公司往往會專注于安全的某一塊，有的專注于web安全，有的專注于安全審計，還有的專注于漏洞掃描和滲透。在最理想的狀態下，一個專業的滲透測試團隊應包含了各個方向的人才，這樣才能保證最終解決方案的完整和整體高水平。

選擇滲透測試的執行團隊

作為一種高端安全服務，"滲透測試"的整個流程嚴重依賴執行團隊的經驗和專業能力。目前國內安全行業魚龍混雜，有很多中小安全公司號稱可以進行"滲透測試"，但其實并沒有專業的執行團隊和能力。

實際上，除了使用各種自動化檢測工具之外，如何判別、收集、整理工具所產生的結果，尤其是滲透測試之后的安全方案制定，需要測試執行團隊擁有豐富的專業經驗、案例積累等專業技能，如此才能給用戶提供更好的服務。

以瑞星滲透測試服務為例，早在2010年，瑞星就與國家信息中心聯合成立了"國信-瑞星軟件安全評測實驗室"，該實驗室匯聚了雙方的資源和技術優勢，為各級政府、企事業單位和社會各界提供專業化的安全檢測服務。

圖4：國信-瑞星軟件安全評測實驗室

瑞星在安全行業擁有超過20年的專業經驗，一直專注于企業安全和個人安全，為用戶提供從殺毒軟件到高端企業安全設備的全系列產品，并提供相應的各種專業級安全服務。"滲透測試"就是針對國內企業和重點單位提供的高級安全服務，目前已為中央政府、軍隊、各大央企進行了近千次滲透測試服務，得到了廣大用戶的認可和贊揚。

作為國內技術最強、安全資質最高的專業安全公司，瑞星在滲透測試方面制訂了嚴格的流程和標準，在測試過程中堅持透明化原則，用戶隨時可以觀察到測試的過程和動作，并通過監測軟件記錄下來操作數據。這樣一方面可以為以后的安全防護提供實際操作經驗，另一方面還可以最大限度地保證測試不會傷及核心應用和數據。