《X-Only》

对于一个黑客而言，闯入一个计算机系统从来就不是绝对不可能的，而只是有时候是不太可能的，或者说，时间总是不够！

　　当今的信息时代，基于网络的威胁潜伏在每一个角落。就当你们在看此文章的时候，无线网络正成为许多公司和组织的痛处----他们不知道该怎样提高其信息基础设施的安全性。网络正面临着来自各种威胁的包围，包括黑客通过Internet进行攻击、蠕虫、电话盗打以及无线攻击等。

　　在本博客中我们要详细研究和解决整个大的信息安全领域中的一个单独的范畴：用结构化的、逻辑化的方法进行IP网络的安全评估。这里所描述的安全评估方法学将描述一个执着的攻击者怎样急速穿行于Internet上的网络空间，以搜索那些易受攻击的组件（从网络层到应用层），同时也将告诉你怎样对你的网络进行行之有效的评估演练。当然不包含任何与保证你的IP网络安全性无关的其他信息，对于其它主题或不相关的那些技术，可以从那些可能厚达nnnn页的黑客书籍中去了解。

　　评估是任何一个试图正确管理安全风险的组织所应该进行的第一个步骤。通过采用与一个执着的攻击者相同的方法对网络进行评估，你将能够采用一种未雨绸缪的方法进行安全风险管理。这里包含了许多检查清单，这些清单包含了相当多的针对攻击者的应对措施，这些应对措施将指导你设计一个清晰的技术策略，并借助该策略在网络层和应用层对你的网络环境进行安全加固。

你如果是一位网络及信息安全管理员的话，那么针对信息基础设施和应用程序的渗透测试的综合评估之后，就会意识到技术测试和提供信息安全保障的重要性。

　　大多情况下漏洞及其披露缘于系统管理不善、没有及时打补丁、弱口令策略、不完善的存取控制机制等等，所以进行渗透测试的评估的主要原因和目的应该是识别和纠正系统管理过程的失效和错误，也正是这些失效和错误的出现，才会在评估的过程中揭露出来。

常见的系统管理过程中失效内容包括：