對于企業(yè)組織來講，維持企業(yè)數據系統(tǒng)正常運轉中離不開滲透測試。滲透測試它是為證明網絡防御是按照你們的預期計劃而正常執(zhí)行、運行提供的一種機制，企業(yè)組織對于滲透測試尤為重視，它實際上也沒有嚴格的分類方式，一般在軟件開發(fā)生命周期中也包含著滲透測試的環(huán)節(jié)，我們一般是根據實際應用的情況而定，普遍人為的分類為：黑箱測試、白盒測試和隱秘測試。還有一種目的分類為：主機操作系統(tǒng)滲透、數據庫系統(tǒng)滲透、應用系統(tǒng)滲透以及網絡設備滲透。下面我們就來詳細看看。

滲透測試是指滲透者在不同的地點。例如內部網、外部網等等對特定的網絡進行測試，以便發(fā)現和挖掘系統(tǒng)中的漏洞，然后輸出滲透測試報告并提交給網管。網主可以根據滲透者提供的滲透性測試報告，清楚地了解系統(tǒng)中存在的安全隱患和問題。

在目標網絡外部進行滲透模擬，除已知的被測目標信息外，不提供其它信息。滲透者完全處于對目標網絡系統(tǒng)一無所知的狀態(tài)。他們只能通過網絡、電子郵件等網絡向公眾提供各種服務器進行掃描和測試。從獲得的公共信息中，測試決定滲透的計劃和步驟。黑盒子滲透測試通常用來模擬網絡外部的攻擊行為。

事實上，滲透測試沒有嚴格的分類方式，甚至在軟件開發(fā)生命周期中，都包含著滲透測試的環(huán)節(jié)，但是根據實際的應用情況，有一些分類方法被普遍認可如下：

方法分類

1、黑箱測試。

黑箱測試也叫“Zero-KnowledgeTesting”，滲透者對系統(tǒng)完全不了解，這種測試通常是從DNS、Web、Email和各種公開的外部服務器獲得原始信息。

2、白盒測試。

白盒測試和黑色盒子測試正好相反，測試人員可以通過正常渠道從測試單位獲取各種信息，包括網絡拓撲、員工資料，甚至網站或其他程序的代碼片段，還可以與該單位的其他員工(銷售人員、程序員、管理人員…)面對面交流。這種測試是用來模擬企業(yè)內部員工的越權行為。

3、隱秘測試。

“隱秘測試”是針對被測單位的，通常在特定的時間段內，會通知接受滲透測試的單位的網絡管理層。從而可以監(jiān)控網絡中發(fā)生的變化。而秘密測試則被測單位也只有很少人知道測試的存在，因此能有效地檢測單位內部對信息安全事件的監(jiān)控、響應、恢復等方面做得是否到位。

目的分類

1、主機操作系統(tǒng)滲透

滲透測試包括Windows,Solaris,AIX,Linux,SCO,SGI等操作系統(tǒng)本身。

2、數據庫系統(tǒng)滲透

深入測試了MS-SQL,Oracle,MySQL,Informix,Sybase,DB2.Access等數據庫應用系統(tǒng)。

3、應用系統(tǒng)滲透

針對由ASP、CGI、JSP、PHP等構成的WWW應用程序提供的各種應用程序進行滲透測試。

4、網絡設備滲透

滲透測試各種防火墻，入侵檢測系統(tǒng)，網絡設備。

以上我們介紹了關于企業(yè)組織滲透測試的相關分類，一般進行這類測試的也都是在尋找網路系統(tǒng)安全漏洞，有的企業(yè)也會請外面的專業(yè)人士進行審查與測試。如果您想了解更多相關信息，請您繼續(xù)關注中培偉業(yè)。