問：我是一個IT審計員，我想為我們公司的端口履行入侵滲透測試，但受到了IT小組的阻擾，因為他們擔心這會導(dǎo)致系統(tǒng)停機。然而，根據(jù)我的研究，履行測試使系統(tǒng)停機的風(fēng)險很低。你感到我該怎么說服他們？

答：在給企業(yè)做任何網(wǎng)絡(luò)滲透測試之前，采用一些基礎(chǔ)的舉動不僅是為了保護公司，也是為了保護你自己。我能給你的一個最好建議是，應(yīng)用NIST特別出版物800-115（信息安全測試和評估技巧指南）中的一個模板，交戰(zhàn)規(guī)矩（Rules of Engagement，ROE）。交戰(zhàn)規(guī)矩模板將幫助您組織和籌備滲透測試方法，同時也給IT部門一種印象，即你知道你在做什么，并且你對可能造成停機的問題比較關(guān)注。

例如，交戰(zhàn)規(guī)矩包含以下重要內(nèi)容，您需要與IT和企業(yè)管理部門一起來完成：

介紹

a.目標

b.范疇

c.假設(shè)和限制

d.風(fēng)險

e.文檔結(jié)構(gòu)

物流

人員

a.測試進度表

b.測試場地

c.測試設(shè)備

溝通策略

一般溝通

a.事件處理和反應(yīng)

目標系統(tǒng)/網(wǎng)絡(luò)

測試履行

非技巧測試組件（如，面談、社會工程）

a.技巧測試組件（如網(wǎng)絡(luò)掃描、發(fā)明、滲透測試）

b.數(shù)據(jù)處理

報告

簽名頁

測試小組組長和公司的高級管理人員（CSO、CISO、CIO等）應(yīng)簽訂交戰(zhàn)規(guī)矩，闡明他們懂得測試的范疇、界限和風(fēng)險。

另外，還有一些額外的東西需要添加到交戰(zhàn)規(guī)矩中，以幫助IT人員懂得你是站在他們這一邊的：

1．容許的運動和不容許的運動內(nèi)容。（例如，如果測試將導(dǎo)致系統(tǒng)中重要資產(chǎn)災(zāi)害性喪失，不容許對其進行滲透測試。此外，不容許在不能被中斷的重大事件期間進行滲透測試。）

2．斷定那些未經(jīng)授權(quán)測試的系統(tǒng)（如，制定一個“消除清單”）。

3．有一個詳細的事件處理和響應(yīng)過程，以防在測試過程中網(wǎng)絡(luò)產(chǎn)生事故。

通過完成ROE，并與IT人員緊密合作，你可以證明你的意圖和才能是可信的。