Mike Chapple, CISSP，University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿，是《信息安全》杂志的技术编辑。

　　答：渗透测试能够提供有关你的安全防御状态的有价值的信息。但是，渗透测试太昂贵。要让渗透测试具有可信性，这种测试通常必须由一个独立的外部公司实施。如果你使用内部人员进行渗透测试并且发现了安全漏洞，你会听到这样的批评，说这些测试人员肯定利用了他们的内部信息和基础设施知识，企图提高安全预算。另一方面，如果测试显示一切正常，你会受到这样的批评，说测试进行得不全面。这肯定是我曾经看见的一个第22条军规!

　　由于渗透测试成本很高，我经常建议成熟的安全计划考虑这个问题。如果你目前正在建立一个安全基础设施并且缺少一些主要的产品，你可以把投资首先用于渗透测试。否则，渗透测试只能找到你已经知道的安全漏洞。另一方面，如果你使用渗透测试来评估全面实施的基础设施，你可能会得到有关潜在弱点的有价值的内部情况。