你是否經歷過電腦莫名變慢的情況？你是否曾經誤點釣魚郵件，不慎“中招”？你是否在新聞里見過“賬戶資金忽然變少，受害者連忙報警”的驚魂一刻？很多時候，這些令人困擾的狀況背后都是“黑客”搞鬼。層出不窮的“黑客”行為，不僅極大擾亂正常的網絡秩序，也嚴重威脅到公私財產安全。

如何防范“黑客”入侵，保障網絡安全？首先，知己知彼方能有效應對。為了發現系統漏洞、及時“扎緊籬笆”，網絡安全工作者會實施一項驅散“黑客”藏身迷霧的措施——滲透測試。

何為滲透測試？哪些機構可以進行滲透測試？接下來，將為讀者一一解答：

滲透測試是什么？

滲透測試是一種模擬黑客攻擊的行為，使用黑客的攻擊技術和漏洞發現技術，對目標系統的安全作深入的探測，發現系統最脆弱的環節。滲透測試能夠直觀地讓管理人員知道自己網絡所面臨的安全問題。

滲透測試是一種專業的安全服務，能夠通過識別安全問題來幫助企業了解當前的安全狀況。一份客觀、真實、具體、有效的滲透測試報告，有助于組織IT管理者用案例說明目前的安全現狀，從而增加信息安全的認知程度，甚至提高組織在安全方面的長期策劃和預算。

滲透測試的必要性

滲透測試是一般安全脆弱性評估的一種很好的補充。

并且，由于主持滲透測試的測試人員一般都具備豐富的安全經驗和技能，所以其針對性比常見的脆弱性評估會更強、粒度也會更為細致。

另外，滲透測試的攻擊路徑及手段不同于常見的安全產品，所以它往往能暴露出一條甚至多條被人們所忽視的威脅路徑，從而暴露整個系統或網絡的威脅所在。

最重要的是，滲透測試最終的成功一般不是因為某一個系統的某個單一問題所直接引起的，而是由于一系列看似沒有關聯而且又不嚴重的缺陷組合而導致的。一般的管理員由于缺乏豐富的網絡攻防經驗和專業的攻防技能與知識，無法發現這些安全缺陷可能導致的嚴重安全問題，但滲透測試的測試人員卻可以靠其豐富的經驗和技能將它們進行串聯并展示出來。

滲透測試將帶來什么收益？

對于客戶而言，滲透測試可以帶來以下收益：

- 明確安全隱患點

- 提高安全意識

- 提高安全技能

- 符合合規性要求

CFCA滲透測試服務介紹

中國金融認證中心（CFCA）在中國人民銀行和中國銀聯的領導下，歷經20余年積淀，發展成為以網絡安全綜合服務為核心的科技企業。作為CFCA信息安全服務部的重點業務組成部分，滲透測試團隊由多名中高級滲透測試工程師組成，致力于發展公司網絡攻防業務，與國內多家金融機構、互聯網集團、政府，進行滲透測試、攻防演練等合作。

CFCA滲透測試內容主要包括對操作系統、應用服務的已知漏洞、不安全配置以及Web應用系統的常見WEB漏洞、業務邏輯漏洞測試。

主機系統

通過國內外的商業漏洞掃描工具對Windows、Linux、Unix、AIX、Solaris等主流操作系統的已知漏洞進行掃描檢測并使用專業工具對發現的漏洞實施驗證測試。

網絡應用

通過遠程漏洞掃描挖掘常見的網絡應用漏洞，對漏洞進行人工驗證測試。支持常見的網絡應用如：FTP、SSH、RDP、SMB、HTTP。對于WEB應用，根據OWASP提出的安全測試標準對常見的SQL注入、跨站腳本攻擊、信息泄露、文件上傳等漏洞進行挖掘和測試。

安全策略

在滲透測試服務中，對于客戶已有的網絡訪問控制、網絡攻擊防護等安全策略及防護措施，測試人員將嘗試通過技術手段對現有的安全措施進行繞過和逃逸，進而確認這些安全防護策略和措施的有效性和可靠性。

業務安全

無論是系統漏洞掃描還是應用漏洞掃描都無法直接發現業務系統中的業務安全漏洞，CFCA通過對業務流程、邏輯的梳理，將業務安全測試覆蓋到每一個業務操作點，深入挖掘業務操作過程中可能存在的業務安全漏洞。

網絡設備

滲透測試服務可能還將對客戶網絡中的網絡設備及網絡安全設備進行安全測試，利用已知或者挖掘未知的安全漏洞突破網絡邊界限制和安全控制策略，為客戶暴露隱藏的網絡安全隱患點。

CFCA滲透測試優勢一覽

CFCA擁有一支高素質的專業技術人才隊伍，大部分工程師都擁有多年的信息安全服務工作經驗和信息安全產品開發經驗。資深的信息安全工程師擁有十年以上的信息安全技術和管理經驗。這使得CFCA在從事信息安全服務工作中多次為客戶留下技術過硬、業務精通、管理經驗豐富的印象。

獲獎列表：

2020年銀聯第二屆網絡安全大賽 第一名

2019年CNAS網絡安全等級保護測評能力驗證與攻防大賽三等獎

2019年銀聯第一屆網絡安全大賽 第三名

2019年數字經濟云安全共測大賽 三等獎

2019 強網杯 二等獎

2018 網鼎杯 三等獎

2018中國網絡安全技術對抗賽-攻防實戰對抗賽 最佳攻擊團隊獎

責任編輯：韓希宇