隨著互聯(lián)網(wǎng)的不斷發(fā)展，越來越多的軟件開發(fā)程序員也在學(xué)習(xí)軟件領(lǐng)域的技術(shù)知識。今天，我們將通過案例分析了解滲透的概念和類型。

一、滲透概念

滲透(penetrationtesting,pentest)是實(shí)施安全評估(即審計(jì))的具體手段。 是指在*和實(shí)施信息安全審計(jì)計(jì)劃時(shí)需要遵循的規(guī)則、實(shí)踐和過程。在評估網(wǎng)絡(luò)、應(yīng)用程序、系統(tǒng)或組合的安全狀況時(shí)，人們不斷探索各種務(wù)實(shí)的概念和成熟的實(shí)踐，并總結(jié)了一套理論- 滲透試驗(yàn)方 。

二、滲透試驗(yàn)的類型

1.黑盒

在黑盒中，安全審計(jì)員從外部評估網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性，而不知道被測單位的內(nèi)部技術(shù)結(jié)構(gòu)。在滲透的各個階段，黑盒借助現(xiàn)實(shí)世界中的黑客技術(shù)，暴露了目標(biāo)安全問題，甚至暴露了未被他人利用的安全弱點(diǎn)。

滲透人員應(yīng)能夠理解安全弱點(diǎn)，并根據(jù)風(fēng)險(xiǎn)水平（高、中、低）對其進(jìn)行分類。一般來說，風(fēng)險(xiǎn)水平取決于相關(guān)弱點(diǎn)可能造成的危害的大小。成熟的滲透專家應(yīng)能夠確定所有可能導(dǎo)致安全事故的攻擊模式。當(dāng)人員完成時(shí).黑盒的所有工作整理與對象安全相關(guān)的必要信息，相關(guān)的必要信息，并用業(yè)務(wù)語言描述被識別的風(fēng)險(xiǎn)，然后總結(jié)為書面報(bào)告。黑盒的市場報(bào)價(jià)通常高于白盒。

2.白盒

白盒的審計(jì)員可以獲得被測單位的各種內(nèi)部信息，甚至不息，因此滲透人員的視野更加開闊。如果通過白盒來評估安全漏洞，人員可以達(dá)到較小的工作量，以達(dá)到較高的評估精度。白盒從系統(tǒng)本身的環(huán)境中完全消除了內(nèi)部安全問題。從而增加了從單位外部滲透系統(tǒng)的難度。黑盒不起作用。白盒所需的步驟數(shù)量與黑盒相當(dāng)。此外，如果白盒與傳統(tǒng)的研發(fā)生命周期相結(jié)合，入侵者可以在發(fā)現(xiàn)甚至利用安全弱點(diǎn)之前盡快消除所有的安全風(fēng)險(xiǎn)。這使得白盒的時(shí)間、成本、發(fā)現(xiàn)和解決安全弱點(diǎn)的技術(shù)門檻完全低于黑盒。

三、脆弱性評估和滲透性

脆弱性評估通過分析企業(yè)資產(chǎn)的安全威脅和程度來評估內(nèi)外安全控制的安全性。這種技術(shù)信息系統(tǒng)評估不僅揭示了現(xiàn)有預(yù)防措施中的風(fēng)險(xiǎn)，而且提出了多種替代補(bǔ)救策略，并進(jìn)行了比較。內(nèi)部脆弱性評估可以保證內(nèi)部系統(tǒng)的安全，而外部脆弱性評估是邊界保護(hù)的驗(yàn)證(perimeterdefenses)有效性。無論是內(nèi)部脆弱性評估還是外部脆弱性評估，評估人員都將采用各種攻擊模式嚴(yán)格網(wǎng)絡(luò)資產(chǎn)的安全性，以驗(yàn)證信息系統(tǒng)處理安全威脅的能力，然后確定響應(yīng)措施的有效性。不同類型的脆弱性評估需要不同的過程、工具和自動化技術(shù)。這可以是一個-控制體化安全弱點(diǎn)(vulnerability nagement)實(shí)現(xiàn)平臺。目前的安全弱點(diǎn)管理平臺有一個自動更新的漏洞數(shù)據(jù)庫，可以在不影響配置管理和變更管理完整性的情況下不同類型的網(wǎng)絡(luò)設(shè)備。