成功执行渗透测试的其一个主要因素是底层的方法。缺少正式的方法意味着没有一致性——我很确定这一点——你一定不希望成为那个受邀却无视测试人员漫无目的地操作的人。虽然渗透测试人员需要有适合的专业技术，但也不能缺少正确的方法。换句话说，一个正式的方法应该能够提供一个用于构建完整且准确的渗透测试的严格框架，但是不能够有限制——它应该允许测试人员充分发挥各自的聪明才智。

由Pete Herzog提出的Open Source Security Testing Methodology Manual (OSSTMM)已经成为执行渗透测试和获得安全基准的事实方法。根据Pete Herzog的观点，“OSSTMM的主要目标是实现透明度。它实现了对那些不具备充足安全配置和政策的人的透明度。它实现了对那些没有执行足够安全性和渗透测试的人的透明度。它实现了对那些已经很缺乏安全预算的牺牲者仍然尽力压榨其每一分预算的无良安全供应商的透明度；以及对那些回避商业价值而炒作法律规范、网络破坏和黑客等威胁的人的透明度。OSSTMM的渗透测试范畴包括从初始需求分析到生成报告的整个风险评估过程。”这个测试方法包含了六个方面：

◆信息安全性

◆过程安全性

◆Internet技术安全性

◆通信安全性

◆无线安全性

◆物理安全性

OSSTMM关注测试项的技术细节，在安全必测试之前、期间和之后需要做什么，以及如何界定结果。针对国际化最初实践方法、法律、规章和道德问题的新测试都会定期增加和更新。

National Institute of Standards and Technology (NIST)在Special Publication 800-42, Guideline on Network Security Testing中讨论了渗透测试。NIST的方法虽然不及OSSTMM全面，但是它更可能被管理部门所接受。

另一个需要注意的方面是渗透测试服务提供商。每一个单位在渗透测试过程中最担心的一个问题是敏感信息可能通过错误的路径。因此，收集尽可能多关于公司的信息变得非常重要（如他们的技术能力、证书、经验、方法和所使用的工具），并且要保证他们是专业人员。此外，有一些专业的官方证书可以表明公司的可信赖程度及其与行业最佳实践的一致性。

渗透测试标准

让我们看一些现有的标准和准则：

信息系统审计标准（ISACA）：ISACA是在1967年成立的，并且成为领先的全球性信息管理、控制、安全和审计专家组织。它的IS审计和IS控制标准得到了世界范围的实践应用，而且它的研究能精确定位威胁它组成成分的专业问题。CISA，即Certified Information Systems Auditor，是ISACA的基础认证。

CHECK：CESG IT Health Check模式是专门用于保证敏感管理网络和那些组成GSI（Government Secure Intranet）和CNI（Critical National Infrastructure）的组件是安全的且经过较高级别的测试。这个方法的目标是发现IT系统和网络中发现可能威胁IT系统信息的保密性、完整性和可用性的漏洞。只有在需要对HMG或相关部分测试时才需要CHECK咨询公司的参与，并且他们也要满足以上要求。CHECK已经成了渗透测试及UK内渗透测试的事实标准。属于CHECK的公司必须拥有明确安全性且通过CESG Hacking Assault Course的员工。然而，除了UK Government协会，下面所介绍的开源方法也是可行且全面替代方法。

OSSTMM：Open Source Security Testing Methodology Manual的目标是为Internet安全测试创建一个标准。它将构成这种测试的综合基线，保证执行彻底和全面的渗透测试。这能够使客户确定与其它组织问题无关的技术评估级别，如渗透测试提供者的企业资料。

OWASP：Open Web Application Security Project (OWASP)是一个开源社区项目，它通过开发软件工具和知识文档来帮助人员实现Web应用和Web服务的安全性。OWASP是系统架构师、开发人员、供应商、用户和安全专业人员在设计、开发、部署和测试Web应用和Web服务时可以使用的开源参考点。总而言之，Open Web Application Security Project 的目标是帮助所有人创建更安全的Web应用和Web服务。

结论

安全性是连续的，而非绝对的。渗透测试的价值在于它产生的结果——这也就是回答“为什么”这样一个大问题的答案。一个成功的渗透测试不只是能发现某一个特殊缺点，它还能在一开始就确定产生漏洞的过程错误。修复或修补所探测的漏洞并不意味着你就不再有安全问题了，或者高枕无忧了——这只是无限循环过程的开头而已。

CRUX：一个渗透测试并不能保证绝对安全——它只是实现安全性的一个措施。所以，“绝不要对安全性产生误判”。

【编辑推荐】

1. 渗透测试方法：创建一个网络渗透协议测试
2. 渗透测试的种类介绍