問：我是一個(gè)IT審計(jì)員，我想為我們公司的端口執(zhí)行入侵滲透測試，但受到了IT小組的阻擾，因?yàn)樗麄儞?dān)心這會(huì)導(dǎo)致系統(tǒng)停機(jī)。然而，根據(jù)我的研究，執(zhí)行測試使系統(tǒng)停機(jī)的風(fēng)險(xiǎn)很低。你覺得我該怎么說服他們？

答：在給企業(yè)做任何網(wǎng)絡(luò)滲透測試之前，采取一些基本的行動(dòng)不僅是為了保護(hù)公司，也是為了保護(hù)你自己。我能給你的一個(gè)最好建議是，使用NIST特別出版物800-115（信息安全測試和評(píng)估技術(shù)指南）中的一個(gè)模板，交戰(zhàn)規(guī)則（Rules of Engagement，ROE）。交戰(zhàn)規(guī)則模板將幫助您組織和準(zhǔn)備滲透測試方法，同時(shí)也給IT部門一種印象，即你知道你在做什么，并且你對(duì)可能造成停機(jī)的問題比較關(guān)注。

例如，交戰(zhàn)規(guī)則包括以下主要內(nèi)容，您需要與IT和企業(yè)管理部門一起來完成：

介紹

a.目的　　

b.范圍　　

c.假設(shè)和限制　　

d.風(fēng)險(xiǎn)　　

e.文檔結(jié)構(gòu)

物流

人員

a.測試進(jìn)度表　　

b.測試場地 　　

c.測試設(shè)備

溝通策略

一般溝通

a.事件處理和反應(yīng)

目標(biāo)系統(tǒng)/網(wǎng)絡(luò)

測試執(zhí)行

非技術(shù)測試組件（如，面談、社會(huì)工程）

a.技術(shù)測試組件（如網(wǎng)絡(luò)掃描、發(fā)現(xiàn)、滲透測試） 　　

b.數(shù)據(jù)處理

報(bào)告

簽名頁

測試小組組長和公司的高級(jí)管理人員（CSO、CISO、CIO等）應(yīng)簽署交戰(zhàn)規(guī)則，說明他們理解測試的范圍、界限和風(fēng)險(xiǎn)。

另外，還有一些額外的東西需要添加到交戰(zhàn)規(guī)則中，以幫助IT人員了解你是站在他們這一邊的：

1．允許的活動(dòng)和不允許的活動(dòng)內(nèi)容。（例如，如果測試將導(dǎo)致系統(tǒng)中重要資產(chǎn)災(zāi)難性丟失，不允許對(duì)其進(jìn)行滲透測試。此外，不允許在不能被中斷的重大事件期間進(jìn)行滲透測試。）　　

2．確定那些未經(jīng)授權(quán)測試的系統(tǒng)（如，制定一個(gè)“排除清單”）?！　?/P>

3．有一個(gè)詳細(xì)的事件處理和響應(yīng)過程，以防在測試過程中網(wǎng)絡(luò)發(fā)生事故。

通過完成ROE，并與IT人員緊密合作，你可以證明你的意圖和能力是可信的。

【編輯推薦】

1. 企業(yè)內(nèi)部滲透測試節(jié)省預(yù)算的幾點(diǎn)建議
2. Web安全滲透測試之信息搜集篇