滲透測試的攻與守認(rèn)清網(wǎng)絡(luò)面臨的問題

滲透測試（Penetration Test）是完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對目標(biāo)系統(tǒng)的安全做深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。滲透測試能夠直觀的讓管理人員知道自己網(wǎng)絡(luò)所面臨的問題。
    實際上滲透測試并沒有嚴(yán)格的分類方式，即使在軟件開發(fā)生命周期中，也包含了滲透測試的環(huán)節(jié):
    但根據(jù)實際應(yīng)用，普遍認(rèn)同的幾種分類方法如下:
    根據(jù)滲透方法分類:
    黑箱測試
    黑箱測試又被稱為所謂的“Zero-Knowledge Testing”，滲透者完全處于對系統(tǒng)一無所知的狀態(tài)，通常這類型測試，最初的信息獲取來自于DNS、Web、Email及各種公開對外的服務(wù)器。
    白盒測試
    白盒測試與黑箱測試恰恰相反，測試者可以通過正常渠道向被測單位取得各種資料，包括網(wǎng)絡(luò)拓?fù)洹T工資料甚至網(wǎng)站或其它程序的代碼片斷，也能夠與單位的其它員工（銷售、程序員、管理者……）進(jìn)行面對面的溝通。這類測試的目的是模擬企業(yè)內(nèi)部雇員的越權(quán)操作。
    隱秘測試
    隱秘測試是對被測單位而言的，通常情況下，接受滲透測試的單位網(wǎng)絡(luò)管理部門會收到通知:在某些時段進(jìn)行測試。因此能夠監(jiān)測網(wǎng)絡(luò)中出現(xiàn)的變化。但隱秘測試則被測單位也僅有極少數(shù)人知曉測試的存在，因此能夠有效地檢驗單位中的信息安全事件監(jiān)控、響應(yīng)、恢復(fù)做得是否到位。
    根據(jù)滲透目標(biāo)分類
    主機(jī)操作系統(tǒng)滲透
    對Windows、Solaris、AIX、Linux、SCO、SGI等操作系統(tǒng)本身進(jìn)行滲透測試。
    數(shù)據(jù)庫系統(tǒng)滲透
    對MS-SQL、Oracle、MySQL、Informix、Sybase、DB2等數(shù)據(jù)庫應(yīng)用系統(tǒng)進(jìn)行滲透測試。
    應(yīng)用系統(tǒng)滲透
    對滲透目標(biāo)提供的各種應(yīng)用，如ASP、CGI、JSP、PHP等組成的WWW應(yīng)用進(jìn)行滲透測試。
    網(wǎng)絡(luò)設(shè)備滲透
    對各種防火墻、入侵檢測系統(tǒng)、網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測試。