滲透測(cè)試的攻與守認(rèn)清網(wǎng)絡(luò)面臨的問(wèn)題

滲透測(cè)試（Penetration Test）是完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對(duì)目標(biāo)系統(tǒng)的安全做深入的探測(cè)，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。滲透測(cè)試能夠直觀的讓管理人員知道自己網(wǎng)絡(luò)所面臨的問(wèn)題。
    實(shí)際上滲透測(cè)試并沒(méi)有嚴(yán)格的分類(lèi)方式，即使在軟件開(kāi)發(fā)生命周期中，也包含了滲透測(cè)試的環(huán)節(jié):
    但根據(jù)實(shí)際應(yīng)用，普遍認(rèn)同的幾種分類(lèi)方法如下:
    根據(jù)滲透方法分類(lèi):
    黑箱測(cè)試
    黑箱測(cè)試又被稱(chēng)為所謂的“Zero-Knowledge Testing”，滲透者完全處于對(duì)系統(tǒng)一無(wú)所知的狀態(tài)，通常這類(lèi)型測(cè)試，最初的信息獲取來(lái)自于DNS、Web、Email及各種公開(kāi)對(duì)外的服務(wù)器。
    白盒測(cè)試
    白盒測(cè)試與黑箱測(cè)試恰恰相反，測(cè)試者可以通過(guò)正常渠道向被測(cè)單位取得各種資料，包括網(wǎng)絡(luò)拓?fù)?、員工資料甚至網(wǎng)站或其它程序的代碼片斷，也能夠與單位的其它員工（銷(xiāo)售、程序員、管理者……）進(jìn)行面對(duì)面的溝通。這類(lèi)測(cè)試的目的是模擬企業(yè)內(nèi)部雇員的越權(quán)操作。
    隱秘測(cè)試
    隱秘測(cè)試是對(duì)被測(cè)單位而言的，通常情況下，接受滲透測(cè)試的單位網(wǎng)絡(luò)管理部門(mén)會(huì)收到通知:在某些時(shí)段進(jìn)行測(cè)試。因此能夠監(jiān)測(cè)網(wǎng)絡(luò)中出現(xiàn)的變化。但隱秘測(cè)試則被測(cè)單位也僅有極少數(shù)人知曉測(cè)試的存在，因此能夠有效地檢驗(yàn)單位中的信息安全事件監(jiān)控、響應(yīng)、恢復(fù)做得是否到位。
    根據(jù)滲透目標(biāo)分類(lèi)
    主機(jī)操作系統(tǒng)滲透
    對(duì)Windows、Solaris、AIX、Linux、SCO、SGI等操作系統(tǒng)本身進(jìn)行滲透測(cè)試。
    數(shù)據(jù)庫(kù)系統(tǒng)滲透
    對(duì)MS-SQL、Oracle、MySQL、Informix、Sybase、DB2等數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試。
    應(yīng)用系統(tǒng)滲透
    對(duì)滲透目標(biāo)提供的各種應(yīng)用，如ASP、CGI、JSP、PHP等組成的WWW應(yīng)用進(jìn)行滲透測(cè)試。
    網(wǎng)絡(luò)設(shè)備滲透
    對(duì)各種防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)設(shè)備進(jìn)行滲透測(cè)試。