问：选择渗透测试员有什么标准？

　　答：渗透测试的目标不仅是要评估电脑系统或者网络的安全性，还要决定成功攻击的可行性和商业影响。这样的测试模仿企图利用你的企业系统中的潜在的漏洞的攻击者。发现的任何安全问题随后都要报告，一起报告的还有对他们可能产生的影响的评估。建议还要指出如果减轻这些问题。通常这些测试都是在系统或者应用使用之前进行的。然后测试会定期进行。

　　在选择渗透测试员之前，需要正确地确定你想要测试哪些系统。例如，测试Unix系统的专家可能不是测试Windows系统的专家。一旦决定了要测试的系统，就向其他公司的同事询问做过类似工作的人的资料。相比较渗透测试证书而言，我更喜欢这种方法，因为在这个领域还没有真正的行业标准。

　　我也不会总是关注著名的咨询人员。这些咨询人员通常都是通才，而渗透测试是专业工作。不管你会用谁，都要保证当签订合同时，来的人不是生手。
 
　　还应该了解渗透潜在的测试人员喜欢使用的方法。执行渗透测试的最好方法是进行一系列系统的可以重复的测试，可以对很多不同种类的漏洞进行测试，避免使用效率较低的分散的方式。但是还是要谨慎对待检查清单的方法，并且不能过度依赖自动化工具。这种类型的结果更像是漏洞扫描而不是全面的渗透测试。渗透测试并不是精密科学，所以测试人员要在探究关注的领域时非常灵活，并对最新的阻力进行追踪。这样，测试就可以关注你的环境中的攻击携带者。

　　如果决定了让谁进行测试，要确保他们有时间进行彻底的评估。紧迫的时间限制会迫使测试人员跳过某些涉及到的问题。有一点很重要，他们要不断把发现的结果、测试完成后的最终报告细节、关键的发现和建议通知你。记住这些报告是你付了钱所购买的，而且你需要找时间何测试人员进行讨论。如果你在选择测试人员的时候很着急，那么不仅会造成资金的浪费，而且你收到的报告会让企业造成误解，对安全做出错误判断。