隨著網絡安全方面法律的完善以及等保2.0的出台,很多單位往往要求出具系統安全評估報告,漏洞掃描、滲透測試、代碼審計作為三種不同的安全評估類型,企業在網絡安全建設中該如何做出選擇?
漏洞掃描、滲透測試和代碼審計的定義
漏洞掃描是指基於漏洞資料庫,通過掃描等手段對 指定的遠程或者本地計算機系統的安全脆弱性進行檢測, 發現可利用漏洞的一種安全檢測行為。
滲透測試是由具備高技能和高素質的安全服務人員發起、並模擬常見黑客所使用的攻擊手段對目標系統進行模擬入侵。換句話來說,滲透測試是經過用戶授權後,安全服務人員以模擬黑客的方式對目標系統進行入侵,找出系統存在的漏洞。
代碼審計是由具備豐富編碼經驗並對安全編碼原則及應用安全具有深刻理解的安全服務人員對系統的原始碼和軟體架構的安全性、可靠性進行全面的安全檢查。
漏洞掃描、滲透測試和代碼審計之間的區別
三種安全評估手段本質上都是針對信息系統找出潛在的安全漏洞,但還是存在著區別:
1漏洞掃描
是利用掃描工具在網絡設備中發現潛在漏洞的形式,比如防火牆、路由器、交換機、伺服器、各種應用等等。該過程是自動化的,專注於網絡或應用層上的潛在以及已知的漏洞。該種方式能夠快速發現存在的風險,但發現的漏洞不夠全面,是企業和組織進行信息系統合規度量和審計的一種基礎技術手段;
2滲透測試
需要具有豐富經驗的安全服務人員進行作業,該種安全評估方式在應用層面或網絡層面都可以進行,也可以針對具體功能、部門或某些資產。滲透測試工作往往作為風險評估的一個重要環節,為風險評估提供重要的原始參考數據。相對於漏洞掃描來說,滲透的花銷高於漏掃,因為滲透在漏掃的基礎上能挖掘更深層次的漏洞,花費的時間也多於漏掃;
3代碼審計
通過編碼的方式對系統進行安全檢查,由具備豐富編碼經驗並對安全編碼原則及應用安全具有深刻理解的安全服務人員對系統的原始碼和軟體架構的安全性、可靠性進行全面的安全檢查。相較於前面說的兩種方式,代碼審計比滲透測試和漏洞掃描在發現漏洞的問題上,能夠更加全面些。
總的來說,漏洞掃描通過自動掃描工具能夠快速發現存在風險,而滲透測試和代碼審計則是通過人工驗證,發現的漏洞會更加深入和全面。
1.發現漏洞層面上
代碼審計>滲透測試>漏洞掃描
2.時間與成本上
代碼審計>滲透測試>漏洞掃描
能只選擇一種方式來檢測嗎?
答:這三種安全評估手段沒有絕對的做哪種最好,看企業的自身需求和預算。三者並不是獨立存在的,某一種評估方式並不能代替另一種的重要性,單種評估手段也守不住整個網絡的安全,因為沒有絕對的安全可言。以上三種方式都可以分析網絡風險,幫助確定最適合於企業的安全風險措施及解決方案。無論是漏洞、滲透還是代審,都是非常重要的,它們需要結合使用,才能達到最佳效果,最大化確保企業的信息安全。