A.1 綜述

滲透測試是一種安全性測試，在該類測試中，攻擊者模擬現實世界中的方法對應用程序、信息系統或者網絡的安全功能進行攻擊。它通常利用攻擊者常用的工具和技術來對真實的系統和數據發動真實的攻擊。相對于單一的漏洞，大多數滲透測試試圖尋找一組安全漏洞，從而獲得更多能夠進入系統的機會。滲透測試也可用于確定：

a) 系統對現實世界的攻擊模式的容忍度如何；

b) 攻擊者需要成功破壞系統所面對的大體復雜程度；

c) 可減少系統威脅的其他對策；

d) 防御者能夠檢測攻擊并且做出正確反應的能力。

滲透測試是一種非常重要的安全測試，但它是勞動密集型的，并且需要豐富的專業知識以盡量減少對目標系統產生的風險。盡管相關機構很清楚的了解一個入侵者將如何導致一個信息系統無法使用，但是在滲透測試的實施過程中，系統往往會受到影響或破壞。盡管有經驗的測試人員可降低這種風險，但不能完全避免風險，因此滲透檢測應經過深思熟慮和認真規劃。

滲透測試通常包括非技術攻擊方法。例如，一個滲透測試人員可以通過破壞物理安全控制機制的手段連接到網絡，以竊取設備、捕獲敏感信息（可能是通過安裝鍵盤記錄設備）或者破壞網絡通信。在執行物理安全滲透測試時應謹慎行事，安保人員應該清楚如何驗證測試人員入侵活動的有效性，如通過接入點或者文檔。另一種非技術攻擊手段是通過社會工程學，如偽裝成客服坐席人員打電話詢問用戶的密碼，或者偽裝成用戶打電話給客服坐席人員要求重置密碼。更多關于物理安全測試、社會工程學技術以及其他非技術手段的滲透攻擊測試，不在本標準的討論范圍。