問：我是一個(gè)IT審計(jì)員，我想為我們公司的端口履行入侵滲透測試，但受到了IT小組的阻擾，因?yàn)樗麄儞?dān)心這會(huì)導(dǎo)致系統(tǒng)停機(jī)。然而，根據(jù)我的研究，履行測試使系統(tǒng)停機(jī)的風(fēng)險(xiǎn)很低。你感到我該怎么說服他們？

答：在給企業(yè)做任何網(wǎng)絡(luò)滲透測試之前，采用一些基礎(chǔ)的舉動(dòng)不僅是為了保護(hù)公司，也是為了保護(hù)你自己。我能給你的一個(gè)最好建議是，應(yīng)用NIST特別出版物800-115（信息安全測試和評(píng)估技巧指南）中的一個(gè)模板，交戰(zhàn)規(guī)矩（Rules of Engagement，ROE）。交戰(zhàn)規(guī)矩模板將幫助您組織和籌備滲透測試方法，同時(shí)也給IT部門一種印象，即你知道你在做什么，并且你對(duì)可能造成停機(jī)的問題比較關(guān)注。

例如，交戰(zhàn)規(guī)矩包含以下重要內(nèi)容，您需要與IT和企業(yè)管理部門一起來完成：

介紹

a.目標(biāo)

b.范疇

c.假設(shè)和限制

d.風(fēng)險(xiǎn)

e.文檔結(jié)構(gòu)

物流

人員

a.測試進(jìn)度表

b.測試場地

c.測試設(shè)備

溝通策略

一般溝通

a.事件處理和反應(yīng)

目標(biāo)系統(tǒng)/網(wǎng)絡(luò)

測試履行

非技巧測試組件（如，面談、社會(huì)工程）

a.技巧測試組件（如網(wǎng)絡(luò)掃描、發(fā)明、滲透測試）

b.數(shù)據(jù)處理

報(bào)告

簽名頁

測試小組組長和公司的高級(jí)管理人員（CSO、CISO、CIO等）應(yīng)簽訂交戰(zhàn)規(guī)矩，闡明他們懂得測試的范疇、界限和風(fēng)險(xiǎn)。

另外，還有一些額外的東西需要添加到交戰(zhàn)規(guī)矩中，以幫助IT人員懂得你是站在他們這一邊的：

1．容許的運(yùn)動(dòng)和不容許的運(yùn)動(dòng)內(nèi)容。（例如，如果測試將導(dǎo)致系統(tǒng)中重要資產(chǎn)災(zāi)害性喪失，不容許對(duì)其進(jìn)行滲透測試。此外，不容許在不能被中斷的重大事件期間進(jìn)行滲透測試。）

2．?dāng)喽�那些未�?jīng)授權(quán)測試的系統(tǒng)（如，制定一個(gè)“消除清單”）。

3．有一個(gè)詳細(xì)的事件處理和響應(yīng)過程，以防在測試過程中網(wǎng)絡(luò)產(chǎn)生事故。

通過完成ROE，并與IT人員緊密合作，你可以證明你的意圖和才能是可信的。