你是否经历过电脑莫名变慢的情况？你是否曾经误点钓鱼邮件，不慎“中招”？你是否在新闻里见过“账户资金忽然变少，受害者连忙报警”的惊魂一刻？很多时候，这些令人困扰的状况背后都是“黑客”搞鬼。层出不穷的“黑客”行为，不仅极大扰乱正常的网络秩序，也严重威胁到公私财产安全。

如何防范“黑客”入侵，保障网络安全？首先，知己知彼方能有效应对。为了发现系统漏洞、及时“扎紧篱笆”，网络安全工作者会实施一项驱散“黑客”藏身迷雾的措施——渗透测试。

何为渗透测试？哪些机构可以进行渗透测试？接下来，将为读者一一解答：

渗透测试是什么？

渗透测试是一种模拟黑客攻击的行为，使用黑客的攻击技术和漏洞发现技术，对目标系统的安全作深入的探测，发现系统最脆弱的环节。渗透测试能够直观地让管理人员知道自己网络所面临的安全问题。

渗透测试是一种专业的安全服务，能够通过识别安全问题来帮助企业了解当前的安全状况。一份客观、真实、具体、有效的渗透测试报告，有助于组织IT管理者用案例说明目前的安全现状，从而增加信息安全的认知程度，甚至提高组织在安全方面的长期策划和预算。

渗透测试的必要性

渗透测试是一般安全脆弱性评估的一种很好的补充。

并且，由于主持渗透测试的测试人员一般都具备丰富的安全经验和技能，所以其针对性比常见的脆弱性评估会更强、粒度也会更为细致。

另外，渗透测试的攻击路径及手段不同于常见的安全产品，所以它往往能暴露出一条甚至多条被人们所忽视的威胁路径，从而暴露整个系统或网络的威胁所在。

最重要的是，渗透测试最终的成功一般不是因为某一个系统的某个单一问题所直接引起的，而是由于一系列看似没有关联而且又不严重的缺陷组合而导致的。一般的管理员由于缺乏丰富的网络攻防经验和专业的攻防技能与知识，无法发现这些安全缺陷可能导致的严重安全问题，但渗透测试的测试人员却可以靠其丰富的经验和技能将它们进行串联并展示出来。

渗透测试将带来什么收益？

对于客户而言，渗透测试可以带来以下收益：

- 明确安全隐患点

- 提高安全意识

- 提高安全技能

- 符合合规性要求

CFCA渗透测试服务介绍

中国金融认证中心（CFCA）在中国人民银行和中国银联的领导下，历经20余年积淀，发展成为以网络安全综合服务为核心的科技企业。作为CFCA信息安全服务部的重点业务组成部分，渗透测试团队由多名中高级渗透测试工程师组成，致力于发展公司网络攻防业务，与国内多家金融机构、互联网集团、政府，进行渗透测试、攻防演练等合作。

CFCA渗透测试内容主要包括对操作系统、应用服务的已知漏洞、不安全配置以及Web应用系统的常见WEB漏洞、业务逻辑漏洞测试。

主机系统

通过国内外的商业漏洞扫描工具对Windows、Linux、Unix、AIX、Solaris等主流操作系统的已知漏洞进行扫描检测并使用专业工具对发现的漏洞实施验证测试。

网络应用

通过远程漏洞扫描挖掘常见的网络应用漏洞，对漏洞进行人工验证测试。支持常见的网络应用如：FTP、SSH、RDP、SMB、HTTP。对于WEB应用，根据OWASP提出的安全测试标准对常见的SQL注入、跨站脚本攻击、信息泄露、文件上传等漏洞进行挖掘和测试。

安全策略

在渗透测试服务中，对于客户已有的网络访问控制、网络攻击防护等安全策略及防护措施，测试人员将尝试通过技术手段对现有的安全措施进行绕过和逃逸，进而确认这些安全防护策略和措施的有效性和可靠性。

业务安全

无论是系统漏洞扫描还是应用漏洞扫描都无法直接发现业务系统中的业务安全漏洞，CFCA通过对业务流程、逻辑的梳理，将业务安全测试覆盖到每一个业务操作点，深入挖掘业务操作过程中可能存在的业务安全漏洞。

网络设备

渗透测试服务可能还将对客户网络中的网络设备及网络安全设备进行安全测试，利用已知或者挖掘未知的安全漏洞突破网络边界限制和安全控制策略，为客户暴露隐藏的网络安全隐患点。

CFCA渗透测试优势一览

CFCA拥有一支高素质的专业技术人才队伍，大部分工程师都拥有多年的信息安全服务工作经验和信息安全产品开发经验。资深的信息安全工程师拥有十年以上的信息安全技术和管理经验。这使得CFCA在从事信息安全服务工作中多次为客户留下技术过硬、业务精通、管理经验丰富的印象。

获奖列表：

2020年银联第二届网络安全大赛 第一名

2019年CNAS网络安全等级保护测评能力验证与攻防大赛三等奖

2019年银联第一届网络安全大赛 第三名

2019年数字经济云安全共测大赛 三等奖

2019 强网杯 二等奖

2018 网鼎杯 三等奖

2018中国网络安全技术对抗赛-攻防实战对抗赛 最佳攻击团队奖

责任编辑：韩希宇