在一个易遭受攻击的网络中拥有强健的、经过充分测试的应用没有太大意义，因为网络自身在配置或是流程中存在着未知的漏洞。尽管当前黑客们正在直接攻击Web应用，但他们也会毫不犹豫地充分利用可选路径闯入组织并偷窃信息资产。

    谈及这两类渗透测试时你的说法是正确的，应用系统渗透测试更为重要。正如我刚刚所说，这是因为应用系统是当前攻击的关注点，并且网络应该已经受到网络边界防御如防火墙、入侵监测系统和防病毒网关的保护。正是有了像这样的边界防御措施，才迫使黑客们将攻击目标转移到应用系统。

    然而，测试网络安全设备是否如期望的那样运行并实际的保护着网络十分重要。在系统集成或是部署时，多个设备、服务和功能的相互交互会产生意料之外的弱点，这往往只能通过把系统当作一个整体进行渗透测试找出来。

    关于主动地分析系统潜在漏洞的过程，可以从糟糕的或是不正确的系统配置开始，然后是已知和未知的硬件或软件缺陷，以及流程和技术对策中的操作上弱点。网络渗透测试能够探究控制力度怎样，如密码选择，服务器、防火墙和IDS的配置，系统间的信任关系以及远程访问点对尝试溢出的抵抗力，同样还有网络防御措施成功地侦测攻击并对其做出响应的能力。

    遵守PCI DSS 11.3（PCI DSS，支付卡行业数据安全标准）章节的要求，需要至少每年进行一次外部的和内部的渗透测试、包括网络层和应用层，同样还包括在进行任何重大的基础设施或应用升级或修改之后。行业标准如ISO 27001中也将它定义为组织应该定期进行的重要安全测试之一。此外，网络渗透测试的结果也为要求增加安全人员和技术方面的投资提供了证据。现在，这已成为非常值得做的事情。

第三十五届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。