滲透一詞，在漢語中通常比喻某種事物或勢力逐漸進入其他方面。而在IT互聯網領域，滲透是一個專業的網絡技術詞匯，它具有兩種含義，即網絡滲透（Network Penetration）和滲透測試（Penetration Test）。二者實際上所指的都是同一內容，也就是研究如何一步步的攻擊入侵某個大型網絡主機服務器群組。只不過從實施的角度上看，前者是攻擊者的非法行為，而后者則是安全人員通過模擬入侵攻擊，進而尋找最佳安全防護方案的正當手段。對于即能給網絡系統造成嚴重破壞，也可以為維護網絡安全做出巨大貢獻的滲透行為，各個機構、企業的網絡管理人員有必要對其進行深入了解并給予高度重視。

　　無孔不入的網絡滲透

隨著網絡技術在政府、金融、教育、通信等各個行業應用的普遍化、網絡系統規模的擴大化及網絡結構的復雜化，各種網絡維護工作也變得極為重要。一旦網絡出現問題，將會影響機構、企業的正常運作。而在各種網絡維護工作中，網絡安全工作更是重中之重，它保障著網絡的正常運行，避免因黑客入侵帶來可怕的損失。

面對越來越多的攻擊事件，網絡管理員們采取了大量積極、有效的應對措施，大大提高了網絡的安全性，使黑客很難直接攻破一個防御到位的網絡系統。于是，黑客改變了策略。第一次世界大戰期間，德軍發現他們的大規模進攻不僅無力突破日復一日增強的防御體系，而且還要付出數量驚人的傷亡。痛定思痛后，德軍開始利用小股作戰單位，利用對方防御的間隙和接合部，滲透到敵方的防御體系當中，打擊重要目標、切斷交通線，取得了很好的戰果，這一戰術被稱為“滲透戰術”。現代的黑客似乎繼承了這一戰術，他們在一個個看似安全的網絡系統上，耐心的尋找到一個個小漏洞、小缺口、小缺陷，然后一步一步地滲透、滲透、再滲透，最終進入網絡系統的核心，瓦解掉整條安全防線。

普通的網絡攻擊通常是利用WEB服務器漏洞入侵網站，進行更改網頁、網頁掛馬等操作。其攻擊具有目標隨機、目的單一等特性。而滲透攻擊的攻擊目標是明確的，目的也比較復雜，例如對特定企業進行攻擊并竊取商業機密、進行網絡破壞等。為達到目的，攻擊者實施攻擊的步驟是非常系統的，攻擊手段也不會限于簡單的Web腳本漏洞攻擊，而是綜合運用如嗅探、遠程溢出、ARP欺騙等多種攻擊方式，逐步控制網絡。作為一種系統漸進型的綜合攻擊方式，滲透攻擊可謂無孔不入，危害巨大，且極難防范。因為不論網絡安全工作如何細致，都有可能存在疏漏。而多數管理員由于缺乏豐富的網絡攻防經驗和專業的攻防技能與知識，無法及時發現漏洞。那么，如何才能及時發現漏洞、修補防線呢？這就需要請專業的安全人員來一場攻防演練，也就是滲透測試。

必不可少的攻防演習-滲透測試

在戰場上，檢驗防線是否堅固要通過實戰演習，而網絡安全防線同樣需要攻防演練來檢驗防御體系的完善程度。這種網絡攻防演練由專業的安全服務人員實施，他們使用滲透技術手段對目標系統發起模擬攻擊，這種模擬攻擊行為就是滲透測試。

滲透測試的目的在于充分挖掘和暴露系統的弱點，從而讓管理人員了解其系統所面臨的威脅。由于緊貼“實戰”，所以滲透測試的模擬攻擊往往能暴露出一條甚至多條被人們所忽視的漏洞，從而發現整個網絡系統的威脅所在。例如，如果網絡防線在模擬攻擊中“失守”，根源一般不是因為某一個系統的某個單一問題所致，而是由一系列看似沒有關聯而又不嚴重的缺陷組合而導致的。此類缺陷組合恰恰是最容易被管理員忽略，而被滲透攻擊者利用的，但專業的測試人員卻可以靠豐富的經驗和技能將它們進行串聯并展示出來，以此明確系統中的安全隱患點。

滲透測試可有效督促網絡管理員杜絕任何一處小的缺陷，從而降低整體風險。另外，部分行業監管部門對于新業務系統有上線前安全測試、檢測、評估的要求，滲透測試完成后形成的《系統滲透測試報告》是應用系統上線前所需的重要技術合規性文件。因此，不論從系統的安全性還是合規性來說，滲透測試都是網絡安全工作中不可或缺的一環。

　　網絡安全，“滲透”一下

那么，為了保障網絡和系統的安全，現在就著手來一場滲透測試吧。為了保障滲透測試的專業性、合規性及測試結果的獨立、公正、客觀，測試需要由第三方信息安全機構開展。例如對網絡安全有著極高要求的銀行業，在網絡系統需要進行滲透測試時，一般會將測試工作委托給CFCA中國金融認證中心下屬的信息安全實驗室。CFCA信息安全實驗室的滲透團隊由具備信息安全領域從業6年以上經驗的技術骨干組成，其項目經驗較為豐富，目前已為數十家全國性、外資銀行及城商行和大批企事業單位提供了滲透測試服務。

根據CFCA信息安全實驗室的測試人員介紹，滲透測試的范圍主要包括了操作系統、數據庫、應用服務的已知漏洞、不安全配置以及 Web 應用程序的常見漏洞、常見的業務安全測試。以業務安全測試為例，如果系統有涉及支付、交易的業務功能，測試人員會對業務過程中產生的數據包進行抓取，對交易、支付過程中的訂單號及交易數量、金額、日期、用戶等所有能影響支付結果的參數數據進行模擬篡改攻擊，逐一挖掘這些業務功能是否存在漏洞。

在完成系統各個部分的滲透測試后，測試人員會出具一份詳細的《滲透測試報告》。報告不僅針對每種威脅、漏洞進行詳細描述，還包含解決方案和安全建議，為管理員化解威脅、修補漏洞提供重要參考。在網站管理員完成漏洞修復并提出漏洞復查請求的3個工作日內，測試人員將完成漏洞修補的復查工作并提交《漏洞復查報告》，至此測試即告完成。經過滲透測試的網絡系統如同經過戰火洗禮的防線一樣，可以更好的抵御網絡滲透攻擊。而通過與測試人員的學習交流，網站管理員也能更為專業、嚴謹的完成日常的網絡安全維護工作。