問：我是一個IT審計員，我想為我們公司的端口執(zhí)行入侵滲透測試，但受到了IT小組的阻擾，因為他們擔心這會導致系統停機。然而，根據我的研究，執(zhí)行測試使系統停機的風險很低。你覺得我該怎么說服他們？

答：在給企業(yè)做任何網絡滲透測試之前，采取一些基本的行動不僅是為了保護公司，也是為了保護你自己。我能給你的一個最好建議是，使用NIST特別出版物800-115（信息安全測試和評估技術指南）中的一個模板，交戰(zhàn)規(guī)則（Rules of Engagement，ROE）。交戰(zhàn)規(guī)則模板將幫助您組織和準備滲透測試方法，同時也給IT部門一種印象，即你知道你在做什么，并且你對可能造成停機的問題比較關注。

例如，交戰(zhàn)規(guī)則包括以下主要內容，您需要與IT和企業(yè)管理部門一起來完成：

介紹

a.目的　　

b.范圍　　

c.假設和限制　　

d.風險　　

e.文檔結構

物流

人員

a.測試進度表　　

b.測試場地 　　

c.測試設備

溝通策略

一般溝通

a.事件處理和反應

目標系統/網絡

測試執(zhí)行

非技術測試組件（如，面談、社會工程）

a.技術測試組件（如網絡掃描、發(fā)現、滲透測試） 　　

b.數據處理

報告

簽名頁

測試小組組長和公司的高級管理人員（CSO、CISO、CIO等）應簽署交戰(zhàn)規(guī)則，說明他們理解測試的范圍、界限和風險。

另外，還有一些額外的東西需要添加到交戰(zhàn)規(guī)則中，以幫助IT人員了解你是站在他們這一邊的：

1．允許的活動和不允許的活動內容。（例如，如果測試將導致系統中重要資產災難性丟失，不允許對其進行滲透測試。此外，不允許在不能被中斷的重大事件期間進行滲透測試。）　　

2．確定那些未經授權測試的系統（如，制定一個“排除清單”）?！　?/P>

3．有一個詳細的事件處理和響應過程，以防在測試過程中網絡發(fā)生事故。

通過完成ROE，并與IT人員緊密合作，你可以證明你的意圖和能力是可信的。

【編輯推薦】

1. 企業(yè)內部滲透測試節(jié)省預算的幾點建議
2. Web安全滲透測試之信息搜集篇