整體資產(chǎn)評估整體資產(chǎn)評估的目于設(shè)立公司、企業(yè)股份化改制、發(fā)行股票上市、股權(quán)轉(zhuǎn)讓、企業(yè)兼并、收購或分立、聯(lián)營、組建集團中外合作、合資、融資、抵押貸款等目的整體資產(chǎn)評估。編輯本段整體資產(chǎn)評估準(zhǔn)備的資料清單一、 企業(yè)概況資料1?企業(yè)法人營業(yè)執(zhí)照（或營業(yè)執(zhí)照）復(fù)印件；公司章程復(fù)印件；最后一次驗資報告復(fù)印件；4?最新公司志（廠志），應(yīng)包括企業(yè)歷史沿革、隸屬關(guān)系、組織機構(gòu)、人員構(gòu)成、主營業(yè)務(wù)、業(yè)績及獲得的榮譽等內(nèi)容，若無公司志（廠志），則在《關(guān)于進行資產(chǎn)評估有關(guān)事項說明》中介紹以上內(nèi)容；重組方案。二、 評估行為批文1?公司改制、上市及其他經(jīng)濟行為的批文復(fù)印件；資產(chǎn)評估立項批文復(fù)印件；董事會關(guān)于進行資產(chǎn)評估的決議復(fù)印件。三、 關(guān)于進行資產(chǎn)評估有關(guān)事項的說明根據(jù)財政部1999年3月2日財評字（1999）91號文件規(guī)定：資產(chǎn)評估的委托方和資產(chǎn)占有方須共同撰寫《關(guān)于進行資產(chǎn)評估有關(guān)事項的說明》，

并由法定代表人簽字，加蓋公章，簽署日期。本資料是財產(chǎn)評估主管機關(guān)審查批準(zhǔn)企業(yè)進行資產(chǎn)評估和評估機構(gòu)開展評估活動的必要資料依據(jù)。四、 資產(chǎn)及負(fù)債清查評估明細表應(yīng)由資產(chǎn)占有方填列的資產(chǎn)及負(fù)債清查評估明細表共78份表格，財政部財評字（1999）91號文件規(guī)定了樣表，由評估機構(gòu)提供。資產(chǎn)占有方對本次評估中不涉及的資產(chǎn)及負(fù)債項目，其對應(yīng)的明細表不填。五、 流動資產(chǎn)和負(fù)債評估資料（一） 流動資產(chǎn)評估資料1?各流動資產(chǎn)項目明細賬；2?庫存現(xiàn)金盤點表（附格式）；銀行存款對賬單和銀行存款余額調(diào)節(jié)表，金額較大的銀行存款的詢征函復(fù)函（附格式）；外埠存款匯款憑證、銀行本票存款和銀行匯票存款申請書存根、信用卡存款進賬單（第一聯(lián)）、信用證保證金存款進賬單（第一聯(lián)）；短期投資股票和債券盤點表（附格式）或托管憑單；6?大額應(yīng)收款項的詢證函復(fù)函（附格式），發(fā)函金額應(yīng)占應(yīng)收金額的90%以上；7?各類存貨盤點表（附格式）；8?委托代銷商品合同、受托代銷商品合同、委托加工合同。（二） 負(fù)債評估所需資料。各負(fù)債項目明細賬；短期借款合同復(fù)印件；3?大額應(yīng)付款項詢證函復(fù)函（附格式），發(fā)函金額應(yīng)占應(yīng)付金額的 90%以上。有關(guān)稅收減免或優(yōu)惠的文件復(fù)印件；長期借款合同復(fù)印件；發(fā)行債券的批文、公告等資料的復(fù)印件；六、 長期投資評估資料長期投資合同（協(xié)議），包括補充協(xié)議的復(fù)印件；2?長期股權(quán)投資憑證，包括股票管憑單；長期債券盤點表（附格式）或托管憑單；對控股的長期投資項目，應(yīng)提供被投資單位的章程及評估基準(zhǔn)日會計報表（有審計報告的，須提供審計報告）；

對非控股的長期投資，被投資單位資產(chǎn)變化較大（賬面凈資產(chǎn)超過或減少占注冊資本15%以上或固定資產(chǎn)初始投入項目內(nèi)容或數(shù)量已變化以上）或投資超過三年的，應(yīng)提供被投資單位經(jīng)審計后的會計報表。七、 房屋建筑物評估資料（一） 產(chǎn)權(quán)證明文件復(fù)印件國有土地使用證或其他替代性文件；房屋所有權(quán)證；自建房產(chǎn)（未辦房產(chǎn)證）需提供征地、建筑、開工、竣工等有關(guān)證件；外購房產(chǎn)（未辦房產(chǎn)證）需提供購買協(xié)議及付款憑證；固定資產(chǎn)管理卡片。（二） 數(shù)據(jù)資料固定資產(chǎn)、累計折舊、固定資產(chǎn)清理明細賬；2?房產(chǎn)竣工決算資料，當(dāng)?shù)亟ㄖ惭b定額標(biāo)準(zhǔn)、調(diào)差文件及當(dāng)?shù)亟ㄖ牧蟽r格；土地紅線圖、土地規(guī)劃用途、建筑面積及規(guī)劃部門批文；待修理房屋建筑物資修復(fù)的可能性及費用（逐項表述）；強制報廢房屋建筑物的查勘記錄（逐項表述）；復(fù)雜、大型、獨特、高價房屋建筑物近期查勘記錄（逐項表述）；獨立經(jīng)營的房屋建筑物的收益狀況（逐項表述）；室外管線圖（包括上下水、煤氣、暖氣、蒸汽、電線、電纜等）；構(gòu)筑物及其他輔助設(shè)施有關(guān)資料；管道及溝槽有關(guān)資料；企業(yè)總平面圖。八、 設(shè)備評估資料清單（一） 產(chǎn)權(quán)證明文件復(fù)印件國產(chǎn)重點設(shè)備購置發(fā)票及合同；2?進口重點設(shè)備購置發(fā)票、合同、報關(guān)單、完稅憑證；車輛行駛證；固定資產(chǎn)管理卡片。（二） 數(shù)據(jù)資料設(shè)備安裝竣工決算資料；工藝流程圖及說明；3?設(shè)備概況（設(shè)備類型、特點、技術(shù)先進水平、購置年月、日常管理制度）簡介；配合評估人員填制重點設(shè)備評估勘查表及技術(shù)鑒定表；配合評估人員填制車輛評估鑒定表；重點設(shè)備近期檢修記錄、事故記錄；待修理設(shè)備修復(fù)的可能性及其費用說明（逐臺表述）；8?待報廢設(shè)備繼續(xù)使用的可能性及其檢測記錄（逐臺表述）；九、工程物資及在建工程評估資料工程物資、在建工程明細賬；工程物資盤點表（附格式）；在建工程立項批文、建筑工程許可證、建筑安裝合同、預(yù)算資料、當(dāng)?shù)亟ㄖ惭b金額及取費標(biāo)準(zhǔn)。十、土地使用權(quán)評估資料清單（一） 土地權(quán)屬資料復(fù)印件。國有土地使用權(quán)證書；國有土地使用權(quán)出（轉(zhuǎn)）讓合同、協(xié)議；政府有關(guān)部門關(guān)于土地使用問題的批文；取得土地使用權(quán)有關(guān)費用的支付憑證。（二） 土地規(guī)劃資料復(fù)印件。用地紅線圖；總平面布置圖；3?土地位置圖（在城市行政區(qū)劃圖中標(biāo)出）；土地開發(fā)規(guī)劃說明及規(guī)劃圖；土地規(guī)劃用途、建筑面積、容積率、綠化標(biāo)準(zhǔn)及規(guī)劃部門批文。（三） 土地狀況資料工程地質(zhì)狀況資料；地貌狀況資料（形狀、坡度、障礙物等）；自然環(huán)境狀況資料（生態(tài)、景觀等）；建筑物情況資料（權(quán)屬、數(shù)量、面積、結(jié)構(gòu)、高度、建筑年代等）；其他地上附著物情況資料；基礎(chǔ)設(shè)施開發(fā)程度資料，即七通一平情況資料（道路、電力、通訊、自來水、污水、煤氣、熱氣、地平）及開發(fā)費用；商業(yè)服務(wù)設(shè)施配套情況資料。（四） 其他資料城市行政區(qū)劃圖；城市交通圖（或旅游交通圖）；無形資產(chǎn)明細賬。

十一、其他無形資產(chǎn)評估資料除土地使用權(quán)以外的其他無形資產(chǎn)評估包括：專利、專利技術(shù)、商標(biāo)權(quán)、軟件、商譽、特許經(jīng)營權(quán)、用水權(quán)、用電權(quán)、通訊權(quán)等。評估上述無形資產(chǎn)，除提供無形資產(chǎn)明細賬以外，尚需提供以下資料：（一） 專利評估所需資料專利證書復(fù)印件；取得專利權(quán)的實際成本（包括自創(chuàng)專利的研制成本和申請專利的費用及年費等，外購專利的轉(zhuǎn)讓合同及費用支付憑證、投資者以專利的投資協(xié)議、作價金額，受贈專利的手續(xù)及作價等）；專利技術(shù)評估所需資料。（二） 專有技術(shù)評估所需資料1.技術(shù)鑒定、驗證資料；2?取得專利技術(shù)的實際成本（包括自創(chuàng)專利技術(shù)的研制成本，外購專利技術(shù)的轉(zhuǎn)讓合同及費用支付憑證，投資者以專利技術(shù)投資的投資協(xié)議、作價金額，受贈專利技術(shù)的手續(xù)及作價等）；專有技術(shù)的獲利能力資料。（三） 商標(biāo)權(quán)評估所需資料1.商標(biāo)證書及商標(biāo)圖樣復(fù)印件；2?商標(biāo)取得成本（包括商標(biāo)設(shè)計費、申報費、受讓費用）；3?該種商標(biāo)的產(chǎn)品的銷售情況、市場占有率等資料。（四） 特許經(jīng)營權(quán)評估所需資料特許經(jīng)營權(quán)的授權(quán)文件復(fù)印件；取得經(jīng)營權(quán)的成本；特許經(jīng)營權(quán)的獲利能力資料。十二、財務(wù)預(yù)測資料對資料占有方進行企業(yè)整體評估時，須提供以下資料：文字介紹企業(yè)生產(chǎn)經(jīng)營的歷史情況、生產(chǎn)經(jīng)營特點、國家有關(guān)產(chǎn)業(yè)政策包括稅收、信貸、資源、用工等方面優(yōu)惠政策；用系列經(jīng)濟指標(biāo)說明企業(yè)在行業(yè)中的地位與優(yōu)勢；前三年利潤表；國家有關(guān)政策和法規(guī)對產(chǎn)業(yè)的約束和禁止事項說明；5?今后五年預(yù)測，包括：產(chǎn)品銷量、價格、成本費用、追加投入、稅金等事項；說明可能發(fā)生的土地使用權(quán)、商標(biāo)、專利技術(shù)等租賃費；企業(yè)長期投資收益預(yù)測。

十三、其他與評估有關(guān)的資料1.委托方承諾函（附格式）；2?會計制度調(diào)查表（附格式）；前三年的財務(wù)報告；4?評估的委托、受托雙方聯(lián)系方式（附格式）。附：有關(guān)表格及函件格式資產(chǎn)負(fù)債清查評估明細表；委托方承諾函；銀行存款和借款詢證函；往來款項詢證函；詢價函；會計制度調(diào)查表；短/長期投資證券盤點表；評估雙方聯(lián)系方式一覽表；存貨及工程物資盤點表；庫存現(xiàn)金盤點表。通常選用評估方法：市場法收益法成本法編輯本段整體資產(chǎn)評估的作用1、 摸清家底，完善企業(yè)資產(chǎn)管理。以財務(wù)報告為目的的資產(chǎn)評估成為企業(yè)資產(chǎn)管理的重要環(huán)節(jié)。對有形資產(chǎn)的評估、管理與應(yīng)用，多年來企業(yè)自身已經(jīng)形成了一套比較科學(xué)有效的制度，其資產(chǎn)量在相關(guān)財務(wù)報告中已得到了充分的揭示。但是一個企業(yè)到底有哪些無形資產(chǎn)，其價值量如何，作為企業(yè)的管理者并不清楚，形成了資產(chǎn)管理的盲點。只有摸清這部分資產(chǎn)的真實價值，才能做到心中有數(shù)，進而變被動管理為主動管理，使之規(guī)范化，以保證企業(yè)資產(chǎn)的完整性。2、 為經(jīng)營者提供管理、決策依據(jù)。無形資產(chǎn)價值其本質(zhì)是無形資產(chǎn)的培育、發(fā)展情況，企業(yè)的創(chuàng)新能力和贏利能力，企業(yè)資源的利用狀況和利用效率、效果，企業(yè)可持續(xù)發(fā)展的潛力，企業(yè)管理水平的高低等等。評估的過程是資產(chǎn)清查的過程，重點在于發(fā)現(xiàn)企業(yè)在資產(chǎn)管理、經(jīng)營過程、資本結(jié)構(gòu)、企業(yè)效率和盈利能力等各個方面存在的問題和不足，努力解決或為企業(yè)提供建設(shè)性的意見和建議，有利于經(jīng)營者對無形資產(chǎn)投資做出明智的決策，合理分配資源，減少投資的浪費。

安全風(fēng)險評估安全風(fēng)險評估：現(xiàn)代企業(yè)安全管理的必備手段在一個企業(yè)中，誘發(fā)安全事故的因素很多，“安全風(fēng)險評估”能為全面有效落實安全管理工作提供基礎(chǔ)資料.并評估出不同環(huán)境或不同時期的安全危險性的重點，加強安全管理，采取宣傳教育、行政、技術(shù)及監(jiān)督等措施和手段，推動各階層員工做好每項安全工作。使企業(yè)每位員工都能真正重視安全工作，讓其了解及掌握基本安全知識，這樣，絕大多數(shù)安全事故均是可以避免的。這也是安全風(fēng)險評估的價值所在。當(dāng)任何生產(chǎn)經(jīng)營活動被鑒定為有安全事故危險性時，便應(yīng)考慮怎樣進行評估工作，以簡化及減少風(fēng)險評估的次數(shù)來提高效率。安全風(fēng)險評估主要由以下 3個步驟所組成：識別安全事故的危害、評估危害的風(fēng)險和控制風(fēng)險的措施及管理。第一個步驟：識別安全事故的危害識別危害是安全風(fēng)險評估的重要部分。若不能完全找出安全事故危害的所在，就沒法對每個危害的風(fēng)險作出評估，并對安全事故危害作出有效的控制。這里簡單介紹如何識別安全事故的危害。危險材料識別一識別哪些東西是容易引發(fā)安全事故的材料，如易燃或爆炸性材料等，找出它們的所在位置和數(shù)量，處理的方法是否適當(dāng)。危險工序識別一找出所有涉及高空或高溫作業(yè)、使用或產(chǎn)生易燃材料等容易引發(fā)安全事故的工序，了解企業(yè)是否已經(jīng)制定有關(guān)安全施工程序以控制這些存在安全危險的工序，并評估其成效。用電安全檢查一電氣安全事故是當(dāng)今企業(yè)的一個帶有普遍性的安全隱患， 對電氣的檢查是每一個企業(yè)安全風(fēng)險評估必不可少的一項內(nèi)容。 用電安全檢查包括檢查電氣設(shè)備安裝是否符合安全要求、插座插頭是否嚴(yán)重超負(fù)荷、電線是否老化腐蝕、易燃工作場所是否有防靜電措施、電器設(shè)備有無定期維修保養(yǎng)以避免散熱不良產(chǎn)生熱源等。工作場地整理一檢查工場是否存在安全隱患，如是否堆積大量的可燃雜物 (如紙張、布碎、垃圾等)，材料有否擺放錯誤，腳手架是否牢固等等。工作場所環(huán)境安全隱患識別一工作場所由設(shè)施、工具和人三者組成一個特定的互相銜接的有機組合的環(huán)境，往往因為三者之間的聯(lián)系而可能將安全事故的危害性無限擴展。識別環(huán)境中的安全危險性十分重要，如一旦發(fā)生安全事故，人員是否能立即撤離，電源是否能立即切斷等等。安全事故警報一找出工作場所是否有安全事故警報裝置或安排， 并查究它們能否操作正常。其它一留意工作場所是否有其他機構(gòu)的員工在施工，例如：當(dāng)裝修工程進行，裝修工人所使用的工具或材料均可增加安全隱患。第三步驟：控制風(fēng)險的措施風(fēng)險控制就是使風(fēng)險降低到企業(yè)可以接受的程度，當(dāng)風(fēng)險發(fā)生時，不至于影響企

業(yè)的正常業(yè)務(wù)運作。1選擇安全控制措施為了降低或消除安全體系范圍內(nèi)所涉及到的被評估的風(fēng)險， 企業(yè)應(yīng)該識別和選擇合適的安全控制措施。選擇安全控制措施應(yīng)該以風(fēng)險評估的結(jié)果作為依據(jù)，判斷與威脅相關(guān)的薄弱點，決定什么地方需要保護，采取何種保護手段。安全控制選擇的另外一個重要方面是費用因素。如果實施和維持這些控制措施的費用比資產(chǎn)遭受威脅所造成的損失預(yù)期值還要高，那么所建議的控制措施就是不合適的。如果控制措施的費用比企業(yè)的安全預(yù)算還要高，則也是不合適的。但是，如果預(yù)算不足以提供足夠數(shù)量和質(zhì)量的控制措施，從而導(dǎo)致不必要的風(fēng)險，則應(yīng)該對其進行關(guān)注。通常，一個控制措施能夠?qū)崿F(xiàn)多個功能，功能越多越好。當(dāng)考慮總體安全性時，應(yīng)該考慮盡可能地保持各個功能之間地平衡，這有助于總體安全有效性和效率。風(fēng)險控制根據(jù)控制措施的費用應(yīng)當(dāng)與風(fēng)險相平衡的原則，企業(yè)應(yīng)該對所選擇的安全控制措施嚴(yán)格實施以及應(yīng)用。達到降低風(fēng)險的途徑有很多種，下面是常用的幾種手段：1） 免風(fēng)險：比如：改善施工程序及工作環(huán)境等。2） 轉(zhuǎn)移風(fēng)險：比如：進行投保等。3） 減少威脅：比如：組織具有惡意的軟件的執(zhí)行，避免遭到攻擊。4） 減少薄弱點：比如：對員工進行安全教育，提高員工的安全意識。5） 進行安全監(jiān)控：比如：及時對發(fā)現(xiàn)的可能存在的安全隱患進行整改，及時做出響應(yīng)?？山邮茱L(fēng)險任何生產(chǎn)在一定程度上都存在風(fēng)險，絕對的安全是不存在的。當(dāng)企業(yè)根據(jù)風(fēng)險評估的結(jié)果，完成實施所選擇的控制措施后，會有殘余的風(fēng)險。為確保企業(yè)的安全，殘余風(fēng)險也應(yīng)該控制在企業(yè)可以接受的范圍內(nèi)。風(fēng)險接受是對殘余風(fēng)險進行確認(rèn)和評價的過程。在實施了安全控制措施后，企業(yè)應(yīng)該對安全措施的實施情況進行評審，即對所選擇的控制措施在多大程度上降低了風(fēng)險做出判斷。對于殘留的仍然無法容忍的風(fēng)險，應(yīng)該考慮增加投資。風(fēng)險是隨時間而變化的，風(fēng)險管理是一個動態(tài)的管理過程，這就要求企業(yè)實施動態(tài)的風(fēng)險評估與風(fēng)險控制，即企業(yè)要定期進行風(fēng)險評估。一般而言，當(dāng)出現(xiàn)以下情況時，應(yīng)該重新進行風(fēng)險評估：1） 當(dāng)企業(yè)新增企業(yè)資產(chǎn)時；2） 當(dāng)系統(tǒng)發(fā)生重大變更時；3） 發(fā)生嚴(yán)重安全事故時；4） 企業(yè)認(rèn)為非常必要時。一個企業(yè)要做到防患于未然，安全事故危害的風(fēng)險評估工作是非常重要的，同時,要配合完善的監(jiān)察和檢討制度，并有良好的記錄。做好安全管理，是保護企業(yè)的寶貴人力資源、財產(chǎn)和信譽的上策

滲透測試(PenetrationTesting)滲透測試(penetrationtest)并沒有一個標(biāo)準(zhǔn)的定義，國外一些安全組織達成共識的通用說法是：滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法。這個過程包括對系統(tǒng)的任何弱點、技術(shù)缺陷或漏洞的主動分析，這個分析是從一個攻擊者可能存在的位置來進行的，并且從這個位置有條件主動利用安全漏洞。我們認(rèn)為滲透測試還具有的兩個顯著特點是：滲透測試是一個漸進的并且逐步深入的過程。滲透測試是選擇不影響業(yè)務(wù)系統(tǒng)正常運行的攻擊方法進行的測試。作為網(wǎng)絡(luò)安全防范的一種新技術(shù)，對于網(wǎng)絡(luò)安全組織具有實際應(yīng)用價值。但要找到一家合適的公司實施滲透測試并不容易。編輯本段滲透測試是專業(yè)服務(wù)滲透測試有時是作為外部審查的一部分而進行的。這種測試需要探查系統(tǒng)，以發(fā)現(xiàn)操作系統(tǒng)和任何網(wǎng)絡(luò)服務(wù)，并檢查這些網(wǎng)絡(luò)服務(wù)有無漏洞。你可以用漏洞掃描器完成這些任務(wù)，但往往專業(yè)人士用的是不同的工具，而且他們比較熟悉這類替代性工具。滲透測試的作用一方面在于，解釋所用工具在探查過程中所得到的結(jié)果。只要手頭有漏洞掃描器，誰都可以利用這種工具探查防火墻或者是網(wǎng)絡(luò)的某些部分。但很少有人能全面地了解漏洞掃描器得到的結(jié)果，更別提另外進行測試，并證實漏洞掃描器所得報告的準(zhǔn)確性了。編輯本段執(zhí)行網(wǎng)絡(luò)滲透測試的原因滲透測試能夠通過識別安全問題來幫助一個單位理解當(dāng)前的安全狀況。這使促使許多單位開發(fā)操作規(guī)劃來減少攻擊或誤用的威脅。撰寫良好的滲透測試結(jié)果可以幫助管理人員建立可靠的商業(yè)案例，以便證明所增加的安全性預(yù)算或者將安全性問題傳達到高級管理層。安全性不是某時刻的解決方案，而是需要嚴(yán)格評估的一個過程。安全性措施需要進行定期檢查，才能發(fā)現(xiàn)新的威脅。滲透測試和公正的安全性分析可以使許多單位重視他們最需要的內(nèi)部安全資源。此外，獨立的安全審計也正迅速成為獲得網(wǎng)絡(luò)安全保險的一個要求?，F(xiàn)在符合規(guī)范和法律要求也是執(zhí)行業(yè)務(wù)的一個必要條件，滲透測試工具可以幫助許多單位滿足這些規(guī)范要求。啟動一個企業(yè)電子化項目的核心目標(biāo)之一，是實現(xiàn)與戰(zhàn)略伙伴、提供商、客戶和其他電子化相關(guān)人員的緊密協(xié)作。要實現(xiàn)這個目標(biāo)，許多單位

有時會允許合作伙伴、提供商、B2B交易中心、客戶和其他相關(guān)人員使用可信連接方式來訪問他們的網(wǎng)絡(luò)。一個良好執(zhí)行的滲透測試和安全性審計可以幫助許多單位發(fā)現(xiàn)這個復(fù)雜結(jié)構(gòu)中的最脆弱鏈路，并保證所有連接的實體都擁有標(biāo)準(zhǔn)的安全性基線。當(dāng)擁有安全性實踐和基礎(chǔ)架構(gòu)，滲透測試會對商業(yè)措施之間的反饋實施重要的驗證，同時提供了一個以最小風(fēng)險而成功實現(xiàn)的安全性框架。編輯本段如何進行滲透測試有些滲透測試人員通過使用兩套掃描器進行安全評估。這些工具至少能夠使整個過程實現(xiàn)部分自動化，這樣，技術(shù)嫻熟的專業(yè)人員就可以專注于所發(fā)現(xiàn)的問題。如果探查得更深入，則需要連接到任何可疑服務(wù)，某些情況下，還要利用漏洞。商用漏洞掃描工具在實際應(yīng)用中存在一個重要的問題：如果它所做的測試未能獲得肯定答案，許多產(chǎn)品往往會隱藏測試結(jié)果。譬如，有一款知名掃描器就存在這樣的缺點：要是它無法進入Cisco路由器，或者無法用SNMP獲得其軟件版本號，它就不會做出這樣的警告：該路由器容易受到某些拒絕服務(wù)（DoS）攻擊。如果不知道掃描器隱藏了某些信息（譬如它無法對某種漏洞進行測試），你可能誤以為網(wǎng)絡(luò)是安全的，而實際上，網(wǎng)絡(luò)的安全狀況可能是危險的。除了找到合適工具以及具備資質(zhì)的組織進行滲透測試外，還應(yīng)該準(zhǔn)確確定測試范圍。攻擊者會借助社會工程學(xué)、偷竊、賄賂或者破門而入等手法，獲得有關(guān)信息。真正的攻擊者是不會僅僅滿足于攻擊某個企業(yè)網(wǎng)絡(luò)的。通過該網(wǎng)絡(luò)再攻擊其它公司往往是黑客的慣用伎倆。攻擊者甚至?xí)ㄟ^這種方法進入企業(yè)的ISP。編輯本段方法為了從滲透測試上獲得最大價值，應(yīng)該向測試組織提供盡可能詳細的信息。這些組織同時會簽署保密協(xié)議，這樣，你就可以更放心地共享策略、程序及有關(guān)網(wǎng)絡(luò)的其它關(guān)鍵信息。還要確定的是，哪些系統(tǒng)需要測試。雖然你不想漏掉可能會受到攻擊的某個系統(tǒng)，但可能仍想分階段把滲透測試外包出去，以便每個階段專注于網(wǎng)絡(luò)的不同部分。你還應(yīng)該制訂測試準(zhǔn)則，譬如說：滲透測試人員可以探查漏洞并進行測試，但不得利用，因為這可能會危及到你想要保護的系統(tǒng)。此外，你還要提供合適的測試途徑。如果你想測試在非軍事區(qū)（DMZ）里面的系統(tǒng)，最好的測試地方就是在同一個網(wǎng)段內(nèi)測試。讓滲透測試人員在防火墻外面進行測試聽起來似乎更實際，但內(nèi)部測試可以大大提高發(fā)現(xiàn)

防火墻原本隱藏的服務(wù)器安全漏洞的可能性。因為，一旦防火墻設(shè)置出現(xiàn)變動，就有可能暴露這些漏洞，或者有人可能通過漏洞，利用一臺 DMZ服務(wù)器攻擊其它服務(wù)器。還記得尼姆達病毒嗎？它就是首次攻擊得逞后、利用一臺Web