渗透测试是指由专业的渗透测试人员，模拟黑客攻击对业务系统进行安全性测试，比如操作系统、Web服务、服务器的各种应用漏洞等，从而比黑客更早发现可导致企业数据泄露、资产受损、数据被篡改等安全漏洞，并协助企业进行修复。

Q2哪种场景下需要做渗透测试呢？

1、交付场景：满足甲方需求。

2、合规场景：满足相关法律法规要求，例如主机等保建设，避免被监管通报等。

3、业务场景：对应用系统进行全面安全测试，发现系统安全漏洞。

Q3企业通过渗透测试可以获得什么？

1、技术安全性的验证

渗透测试作为独立的安全技术服务，其主要目的就在于验证整个目标系统的技术安全性，通过渗透测试，可在技术层面定性的分析系统的安全性。

2、查找安全隐患点

渗透测试是对传统安全弱点的串联并形成路径，最终通过路径式的利用而达到模拟入侵的效果。所以，在渗透测试的整个过程中，可有效地验证每个安全隐患点的存在及其可利用程度。

3、安全教育

渗透测试的结果可作为内部安全意识的案例，在对相关的接口人员进行安全教育时使用。

4、安全技能的提升

一份专业的渗透测试报告不但可为用户提供作为案例，更可作为常见安全原理的学习参考。

Q4渗透测试是如何操作的？

许多企业管理人员有个误区，认为渗透测试只是通过自动化的工具进行检测、处理生成的报告，所以费用成本是可以很低去控制的，其实不然。成功的渗透测试报告中安全工具的占比仅仅是一部分，成功的部分更多的是依靠专业的人工、双向的思维及丰富的经验。

Q5渗透测试与安全检测的区别？

渗透测试不同于传统的安全扫描，在整体风险评估框架中，脆弱性与安全扫描的关系可描述为“承上”，即如上面所讲，是对扫描结果的一种验证和补充。另外，渗透测试相对传统安全扫描的最大差异在于渗透测试需要大量的人工介入的工作。这些工作主要由专业的安全人员发起，一方面，他们利用自己的专业知识，对扫描结果进行深入的分析和判断；另一方面则是根据他们的经验，对扫描器无法发现的、隐藏较深的安全问题进行手工的检查和测试，从而做出更为精确的验证(或模拟入侵)行为。