對于企業(yè)組織來講，維持企業(yè)數(shù)據(jù)系統(tǒng)正常運(yùn)轉(zhuǎn)中離不開滲透測試。滲透測試它是為證明網(wǎng)絡(luò)防御是按照你們的預(yù)期計劃而正常執(zhí)行、運(yùn)行提供的一種機(jī)制，企業(yè)組織對于滲透測試尤為重視，它實際上也沒有嚴(yán)格的分類方式，一般在軟件開發(fā)生命周期中也包含著滲透測試的環(huán)節(jié)，我們一般是根據(jù)實際應(yīng)用的情況而定，普遍人為的分類為：黑箱測試、白盒測試和隱秘測試。還有一種目的分類為：主機(jī)操作系統(tǒng)滲透、數(shù)據(jù)庫系統(tǒng)滲透、應(yīng)用系統(tǒng)滲透以及網(wǎng)絡(luò)設(shè)備滲透。下面我們就來詳細(xì)看看。

滲透測試是指滲透者在不同的地點。例如內(nèi)部網(wǎng)、外部網(wǎng)等等對特定的網(wǎng)絡(luò)進(jìn)行測試，以便發(fā)現(xiàn)和挖掘系統(tǒng)中的漏洞，然后輸出滲透測試報告并提交給網(wǎng)管。網(wǎng)主可以根據(jù)滲透者提供的滲透性測試報告，清楚地了解系統(tǒng)中存在的安全隱患和問題。

在目標(biāo)網(wǎng)絡(luò)外部進(jìn)行滲透模擬，除已知的被測目標(biāo)信息外，不提供其它信息。滲透者完全處于對目標(biāo)網(wǎng)絡(luò)系統(tǒng)一無所知的狀態(tài)。他們只能通過網(wǎng)絡(luò)、電子郵件等網(wǎng)絡(luò)向公眾提供各種服務(wù)器進(jìn)行掃描和測試。從獲得的公共信息中，測試決定滲透的計劃和步驟。黑盒子滲透測試通常用來模擬網(wǎng)絡(luò)外部的攻擊行為。

事實上，滲透測試沒有嚴(yán)格的分類方式，甚至在軟件開發(fā)生命周期中，都包含著滲透測試的環(huán)節(jié)，但是根據(jù)實際的應(yīng)用情況，有一些分類方法被普遍認(rèn)可如下：

方法分類

1、黑箱測試。

黑箱測試也叫“Zero-KnowledgeTesting”，滲透者對系統(tǒng)完全不了解，這種測試通常是從DNS、Web、Email和各種公開的外部服務(wù)器獲得原始信息。

2、白盒測試。

白盒測試和黑色盒子測試正好相反，測試人員可以通過正常渠道從測試單位獲取各種信息，包括網(wǎng)絡(luò)拓?fù)洹T工資料，甚至網(wǎng)站或其他程序的代碼片段，還可以與該單位的其他員工(銷售人員、程序員、管理人員…)面對面交流。這種測試是用來模擬企業(yè)內(nèi)部員工的越權(quán)行為。

3、隱秘測試。

“隱秘測試”是針對被測單位的，通常在特定的時間段內(nèi)，會通知接受滲透測試的單位的網(wǎng)絡(luò)管理層。從而可以監(jiān)控網(wǎng)絡(luò)中發(fā)生的變化。而秘密測試則被測單位也只有很少人知道測試的存在，因此能有效地檢測單位內(nèi)部對信息安全事件的監(jiān)控、響應(yīng)、恢復(fù)等方面做得是否到位。

目的分類

1、主機(jī)操作系統(tǒng)滲透

滲透測試包括Windows,Solaris,AIX,Linux,SCO,SGI等操作系統(tǒng)本身。

2、數(shù)據(jù)庫系統(tǒng)滲透

深入測試了MS-SQL,Oracle,MySQL,Informix,Sybase,DB2.Access等數(shù)據(jù)庫應(yīng)用系統(tǒng)。

3、應(yīng)用系統(tǒng)滲透

針對由ASP、CGI、JSP、PHP等構(gòu)成的WWW應(yīng)用程序提供的各種應(yīng)用程序進(jìn)行滲透測試。

4、網(wǎng)絡(luò)設(shè)備滲透

滲透測試各種防火墻，入侵檢測系統(tǒng)，網(wǎng)絡(luò)設(shè)備。

以上我們介紹了關(guān)于企業(yè)組織滲透測試的相關(guān)分類，一般進(jìn)行這類測試的也都是在尋找網(wǎng)路系統(tǒng)安全漏洞，有的企業(yè)也會請外面的專業(yè)人士進(jìn)行審查與測試。如果您想了解更多相關(guān)信息，請您繼續(xù)關(guān)注中培偉業(yè)。