滲透的概念與類型

隨著互聯網的不斷發展，越來越多的軟件開發程序員也在學習軟件領域的技術知識。今天，我們將通過案例分析了解滲透的概念和類型。

一、滲透概念

滲透(penetrationtesting,pentest)是實施安全評估(即審計)的具體手段。 是指在*和實施信息安全審計計劃時需要遵循的規則、實踐和過程。在評估網絡、應用程序、系統或組合的安全狀況時，人們不斷探索各種務實的概念和成熟的實踐，并總結了一套理論- 滲透試驗方 。

二、滲透試驗的類型

1.黑盒

在黑盒中，安全審計員從外部評估網絡基礎設施的安全性，而不知道被測單位的內部技術結構。在滲透的各個階段，黑盒借助現實世界中的黑客技術，暴露了目標安全問題，甚至暴露了未被他人利用的安全弱點。

滲透人員應能夠理解安全弱點，并根據風險水平（高、中、低）對其進行分類。一般來說，風險水平取決于相關弱點可能造成的危害的大小。成熟的滲透專家應能夠確定所有可能導致安全事故的攻擊模式。當人員完成時.黑盒的所有工作整理與對象安全相關的必要信息，相關的必要信息，并用業務語言描述被識別的風險，然后總結為書面報告。黑盒的市場報價通常高于白盒。

2.白盒

白盒的審計員可以獲得被測單位的各種內部信息，甚至不息，因此滲透人員的視野更加開闊。如果通過白盒來評估安全漏洞，人員可以達到較小的工作量，以達到較高的評估精度。白盒從系統本身的環境中完全消除了內部安全問題。從而增加了從單位外部滲透系統的難度。黑盒不起作用。白盒所需的步驟數量與黑盒相當。此外，如果白盒與傳統的研發生命周期相結合，入侵者可以在發現甚至利用安全弱點之前盡快消除所有的安全風險。這使得白盒的時間、成本、發現和解決安全弱點的技術門檻完全低于黑盒。

三、脆弱性評估和滲透性

脆弱性評估通過分析企業資產的安全威脅和程度來評估內外安全控制的安全性。這種技術信息系統評估不僅揭示了現有預防措施中的風險，而且提出了多種替代補救策略，并進行了比較。內部脆弱性評估可以保證內部系統的安全，而外部脆弱性評估是邊界保護的驗證(perimeterdefenses)有效性。無論是內部脆弱性評估還是外部脆弱性評估，評估人員都將采用各種攻擊模式嚴格網絡資產的安全性，以驗證信息系統處理安全威脅的能力，然后確定響應措施的有效性。不同類型的脆弱性評估需要不同的過程、工具和自動化技術。這可以是一個-控制體化安全弱點(vulnerability nagement)實現平臺。目前的安全弱點管理平臺有一個自動更新的漏洞數據庫，可以在不影響配置管理和變更管理完整性的情況下不同類型的網絡設備。