渗透测试的目的

1. 信息安全等级保护的要求

2015年12月28日，银监会等部门发布的《网络借贷信息中介机构业务活动管理暂行办法(征求意见稿)》中明确要求：“网络借贷信息中介机构应按照国家网络安全相关规定和国家信息安全等级保护制度的要求，开展信息系统定级备案和等级测试。”信息安全等级保护是由等级测评机构依据国家信息安全等级保护制度规定，按照管理规范和技术标准，对信息系统安全等级保护状况进行检测评估的活动。值得关注的是，在信息安全风险评估中，渗透测试是一种常用且非常重要的手段。

2. 渗透测试助力PCI DSS合规建设

在PCI DSS（Payment Card Industry Security Standards Council支付卡行业安全标准委员会）第 11.3中有这样的要求：至少每年或者在基础架构或应用程序有任何重大升级或修改后（例如操作系统升级、环境中添加子网络或环境中添加网络服务器）都需要执行内部和外部基于应用层和网络层的渗透测试。

3. ISO27001认证的基线要求

ISO27001 附录“A12信息系统开发、获取和维护”的要求，建立了软件安全开发周期，并且特别提出应在上线前参照例如OWASP标准进行额外的渗透测试。 

4. 银监会多项监管指引中要求

依据银监会颁发的多项监管指引中明确要求，对银行的安全策略、内控制度、风险管理、系统安全等方面需要进行的渗透测试和管控能力的考察与评价。网站为什么要做渗透测试？除了满足政策的合规性要求、提高客户的操作安全性或满足业务合作伙伴的要求。最终的目标应该是最大限度地减小业务风险。企业需要尽可能多地进行渗透测试，以保持安全风险在可控制的范围内。

网站开发过程中，会发生很多难以控制、难以发现的隐形安全问题，当这些大量的瑕疵暴露于外部网络环境中的时候，就产生了信息安全威胁。这个问题，企业可以通过定期的渗透测试进行有效防范，早发现、早解决。经过专业渗透人员测试加固后的系统会变得更加稳定、安全，测试后的报告可以帮助管理人员进行更好的项目决策，同时证明增加安全预算的必要性，并将安全问题传达到高级管理层。