滲透(IT術語)

黑客技術里的滲透:

風險評估（Risk Assessment）存在於很多行業，但在IT業，獨指信息安全風險評估，指依據有關信息技術標準，對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性（CIA）等安全屬性進行科學、公正的綜合評估的過程。它要評估信息系統的脆弱性、信息系統面臨的威脅以及脆弱性被威脅源利用後所產生的實際負面影響，並根據安全事件發生的可能性和負面影響的程度來識別信息系統的安全風險。滲透測試（Penetration Testing）則是從一個攻擊者的角度來檢查和審核一個網路系統的安全性的過程。這本來是風險評估的一部分（存在於執行階段），不應該與風險評估相提並論。但風險評估是一個過於龐大和複雜的體系，在如此短的篇幅里不能夠完全詳述，所以把滲透測試這一個富有爭議性、純技術的並且也是可以從風險評估中分離出來的內容單獨分離了出來。

從風險評估的定義中可以看出，這是寫一個大部頭著作的好題材。首先，從各種標準看，管理標準有BS7799 （ISO/IEC 17799）信息安全管理體系標準、ISO/IEC 13335信息安全管理標準、ISO 7498 、OCTAVE標準等；技術與工程標準有SSE-CMM安全系統工程能力成熟度模型、ISO/IEC 15408（GB/T18336）信息產品通用測評準則；此外還有眾多的事實標準。其實施過程又可分為：項目定義階段、構建藍圖階段、具體執行階段、評估報告生成階段和藕斷絲連的售後服務階段。

在風險評估的實施過程中，有一步最為關鍵，那就是執行階段。前期所做的準備都是為該階段服務，後期的報告生成和售後服務也依賴於執行階段所得到的大量信息。在這個關鍵階段中，有一個重點—滲透測試。滲透測試不單單是風險評估的一部分，也是企業網路防禦體系當中的重要組成部分。一次成功的滲透測試可以發現企業網路中最薄弱的部分，使在網路安全方面的有限投入可以得到最大的回報。滲透測試可以從系統外部模擬真實的入侵者，從與系統管理人員相反的角度考慮系統的安全性，滲透測試報告可以作為風險評估中重要的原始數據，也可以作為向投資方或管理人員提供的網路安全狀況方面的具體證據。