企业渗透测试自检的四项基本原则

　　如果把企业的信息安全管理比作牙齿护理，安全服务公司比作牙医，那么企业自己定期进行渗透测试自查就好比刷牙和使用牙线，如今几乎所有安全顾问公司都会建议企业重视渗透测试检查，这样可以有效避免很多浅显而严重的失误和漏洞。

　　根据调查机构Ponemon的统计，美国企业数据泄漏的成本高达199美元/条，而且还在不断增长，其中Target数据泄漏事件导致其圣诞假日购物交易额损失3-4%，而根据安全牛网之前的报道，Target的损失完全可以通过加强自身安全管理避免。

　　近日在纽约举行的Interop大会上，安全公司Maven Security呼吁企业加强渗透测试实践，对于当今企业面临的两大最为常见的安全威胁——跨站脚本和SQL注入，Maven建议企业采用web应用安全漏洞研究测试及学习环境工具集（Web Security Dojo），来提高渗透测试水平。Maven的安全专家进一步指出，企业提升自我渗透测试能力需要遵循以下四项基本原则：

　　一、安全开发。开发一款新应用时，应当将安全作为第一位的考虑因素，而不是作为附加环节。

　　二、边开发边测试。等开发完了再去进行安全测试就晚了。

　　三、安全必须一把手带队。可以是CISO或者CTO、CIO，必须是一个能把安全优先级提到最高的一把手。（参考阅读：CISO、CIO一个都不能少）

　　四、先易后难。在找安全服务公司之前，企业应当完成力所能及的，相对简单的渗透测试，消灭让人鄙视的低级漏洞。