引言： 如今，业界严重缺乏有经验的高级渗透测试安全专家。通过渗透测试，安全专家可以与客户协作，检查目标企业的防御，查看其是否如愿运行，并且对其网络中的安全设置提出更改建议。在得到企业许可并完全控制网络计算机的前提下，“白帽黑客”就可以检查可被利用的漏洞，发现企业应当建立安全防御的薄弱环节，防止有漏洞的设备和关键数据被恶意破坏和利用。

通过渗透测试，安全专家可以与客户协作，检查目标企业的防御，查看其是否如愿运行，并且对其网络中的安全设置提出更改建议。

在得到企业许可并完全控制网络计算机的前提下，“白帽黑客”就可以检查可被利用的漏洞，发现企业应当建立安全防御的薄弱环节，防止有漏洞的设备和关键数据被恶意破坏和利用。

所以，渗透测试对于检测并对信息安全风险进行响应而言是一个关键的部分。如今，业界严重缺乏有经验的高级渗透测试安全专家。那么，如何成为一个称职的渗透测试人员？

成为一名渗透测试人员需要具备哪些素质？

渗透测试人员并不是简单地审计系统而确定可能导致破坏和入侵的问题，而是要采用类似恶意黑客所利用的技术，测试企业基础架构的抵御能力，测试企业防御措施的真正有效性，测试安全策略的效力，测试企业员工识别社会工程企图的能力。

企业借助外部和内部的渗透测试，以确认潜在的安全问题，从而全面地修复或避免安全问题。

在使用真实的攻击技术、渗透测试工具、社交工程技术及任何其它可实施的攻击技术后，测试人员就会执行威胁评估，并提供经分析性后响应，向基础架构和安全团队提供自己的发现和建议。

渗透测试工作可能报酬很高，却充满挑战。下面列示的是在此专业领域获得成功需要具备的基本素质：扎实的理论知识。获得专业认证资格，表明在经验上具备了一定的水平。再认证和继续学习（例如，参加培训课程），保持自己的专业技能跟上渗透测试的最新技术和水平。

此外，软技能也非常重要。技术能力仅仅是成为渗透测试人员的一部分。作为一名渗透测试人员，我们必须拥有黑客的思维，并且拥有测试网络控制防御的分析技能，还要有确认问题的能力，并在企业网络遭受真正的攻击之前能够对任何潜在的漏洞执行系统评估。

渗透测试是一种职业

专业人士如何成为渗透测试人员？

渗透测试人员可能来自现实中的不同领域。一种常见的情况是，曾经参加过以安全技术为中心的课程或通过培训而拥有信息安全背景的人员和理解和实施网络安全强化原则和调查方法的人员，能够为解决已经确认的问题而进行全面的威胁分析和风险确认，从而熟悉网络安全强化的原则和调查方法。

在高级水平阶段，渗透测试者需要验证数据安全的法律知识、取证分析、安全的软件编程、对恶意软件的逆向工程，进而发展到专家级水平。健全的认证可以覆盖不同安全机制的基本知识，并且帮助专业人士确定特定领域中的职业方向。

结论

渗透测试者能够具备所有的黑客技术进而发现目标环境中的系统缺陷，从而帮助改进或强化基础架构的安全防御并减轻风险。企业需要渗透测试者的原因很明显：对信息安全的担心促使企业增加在安全测试方面的努力，用以改进其网络防御。除了依靠内部工作、传统安全专家或外部顾问，现代企业正在学会越来越多的依靠渗透测试者的工作，后者能够应用黑客技术并且创造性地给网络带来“真实世界”的攻击，从而发现缺点和不足，并且在恶意黑客能够利用漏洞之前就发现漏洞。无论是专门设计来测试整个IT结构的测试，还是用来测试个别系统的渗透测试，都可以有效地确定基础架构或硬件或软件中的弱点，还可以评估工作团队的效率和弹性，以及企业已经准备好的安全策略的效力。

企业应当在部署了新的基础架构和应用程序后，以及在对基础架构和应用程序的做出重大变更后（例如，对防火墙规则的变更，更新固件，给软件打补丁和升级，等等），实施渗透测试。这种对企业有着生死攸关影响的服务只能由有能力的专业人士提供。这种专业的渗透测试人员应当拥有持续的培训和教育背景，只有这样，他们才能拥有最新的技能和必要的知识，并能够在真实的环境中运用，同时发展其职业，使自己胜任此工作。