在英国，法律是一个重要因素。1998 年《人权法》规定：

每个人都有权尊重他的私人和家庭生活、他的家和他的通信。

因此，如果任何参与渗透测试的用户有“隐私期望”，那么法律要求您在进行任何测试之前通知他们。请注意，仅仅因为他们在英国并不意味着他们有这样的期望——这将取决于公司的政策（例如，可接受的使用政策以及互联网和电子邮件访问政策）和雇佣合同。

此页面是有关渗透测试和英国法律的有用资源。

对我来说，这个问题的答案很大程度上取决于正在进行的测试类型。如果您有一个“适当的”渗透测试，测试人员正在模拟攻击，那么测试的相当大的好处是查看攻击是如何/是否被注意到以及内部用户/IT 如何反应（例如，他们是否将其报告给帮助台如果发生奇怪的事情，是否及时调查 AV 点击）。

在这种情况下，显然知道测试的人越少，它的用处就越大。显然有些人需要知道，但这应该保持在最低限度。我想说一个很好的方法是让任何在引发完整安全事件时得到通知的人都知道，这样他们就可以阻止像在工作日放弃生产服务器这样的激烈行动。

也就是说，大多数被称为内部“渗透测试”的东西并不是一个完整的对抗性测试，在这种情况下，运营 IT 了解测试是有意义的，因此他们不会浪费大量时间来调查那些只是审查的一部分。

至于法律方面，这一如既往地取决于管辖权。如果需要通知最终用户对个人数据的任何潜在访问权限，那么我会说全笔。测试/红队是一个非常无用的练习，因为它永远不会真正模拟真正的攻击。

但是，在许多国家/地区，公司网络上的用户对处理的个人数据没有隐私的期望，因此这不应该是一个特别的问题。

这主要取决于用户是否应该知道测试。当然，既然你在模拟真实的攻击，你可能会也可能不会告诉他们，用户会做的事情的困境来自哪里。只是你应该通知所有那些你没有测试攻击准备的用户。这是安全的，因为真正的攻击可以随时到来，它是测试的一部分。你不会冷静下来或提醒你的系统说这只是一个测试，这违背了目的。

所以，我会重复我的答案。通知所有不属于您的安全的用户（如果您感到不安，甚至是其中的一些特定用户）。测试结束后可以告诉他们。在我看来，这是最好的事情。

SilverlightFox，我觉得在向人员披露渗透测试时必须牢记三个要点：

1. 你的目标是什么系统？- 最重要的是，根据范围，这些服务的技术人员可能需要了解这些服务，以便他们可以准备和补救出现的任何问题。
2. 您所在环境的法律和政策是什么？- 确保您没有违反有关您的披露的任何法律或公司政策。
3. 你的目标是谁？- 您需要确保您的目标用户不了解情况并改变他们的行为，因为这将导致垃圾数据。

在大多数情况下，最好保持对渗透测试的了解基础，因为您想获得基线安全状况的概况。