问：我是一个IT审计员，我想为我们公司的端口执行入侵渗透测试，但受到了IT小组的阻扰，因为他们担心这会导致系统停机。然而，根据我的研究，执行测试使系统停机的风险很低。你觉得我该怎么说服他们？

　　答：在给企业做任何网络渗透测试之前，采取一些基本的行动不仅是为了保护公司，也是为了保护你自己。我能给你的一个最好建议是，使用NIST特别出版物800-115（信息安全测试和评估技术指南）中的一个模板，交战规则（Rules of Engagement，ROE）。交战规则模板将帮助您组织和准备渗透测试方法，同时也给IT部门一种印象，即你知道你在做什么，并且你对可能造成停机的问题比较关注。

　　例如，交战规则包括以下主要内容，您需要与IT和企业管理部门一起来完成：

　　介绍

　　a.目的
　　b.范围
　　c.假设和限制
　　d.风险
　　e.文档结构

　　物流

　　人员

　　a.测试进度表
　　b.测试场地
　　c.测试设备

　　沟通策略

　　一般沟通

　　a.事件处理和反应

　　目标系统/网络

　　测试执行

　　非技术测试组件（如，面谈、社会工程）

　　a.技术测试组件（如网络扫描、发现、渗透测试）
　　b.数据处理

　　报告

　　签名页

　　测试小组组长和公司的高级管理人员（CSO、CISO、CIO等）应签署交战规则，说明他们理解测试的范围、界限和风险。

　　另外，还有一些额外的东西需要添加到交战规则中，以帮助IT人员了解你是站在他们这一边的：

　　1．允许的活动和不允许的活动内容。（例如，如果测试将导致系统中重要资产灾难性丢失，不允许对其进行渗透测试。此外，不允许在不能被中断的重大事件期间进行渗透测试。）
　　2．确定那些未经授权测试的系统（如，制定一个“排除清单”）。
　　3．有一个详细的事件处理和响应过程，以防在测试过程中网络发生事故。

　　通过完成ROE，并与IT人员紧密合作，你可以证明你的意图和能力是可信的。