王鵬翩 林星辰

摘要：隨著社會對網(wǎng)絡(luò)安全的重視程度不斷加深，應(yīng)當(dāng)對網(wǎng)絡(luò)滲透測試流程及方法進行探討?；诖?，本文分析了網(wǎng)絡(luò)滲透測試分類，包括白盒測試、黑盒測試和灰盒測試，討論了網(wǎng)絡(luò)滲透測試流程，包括制定方案、收集信息并分析和生成報告，對網(wǎng)絡(luò)滲透測試方法進行探究，包括用例管理和風(fēng)險控制，為相關(guān)人員的研究提供幫助。

關(guān)鍵詞：網(wǎng)絡(luò)滲透測試；滲透測試流程；白盒測試；黑盒測試；灰盒測試

中圖分類號：TP309.3 文獻標(biāo)識碼：A 文章編號：1007-9416（2018）08-0177-01

網(wǎng)絡(luò)滲透測試是一項有效的網(wǎng)絡(luò)安全測試，應(yīng)用多種方式實現(xiàn)對網(wǎng)絡(luò)的滲透，在測試中找尋網(wǎng)絡(luò)中的脆弱點，了解網(wǎng)絡(luò)安全狀況，為維護良好的網(wǎng)絡(luò)環(huán)境提供幫助。在對網(wǎng)絡(luò)系統(tǒng)的管理中，應(yīng)當(dāng)對其安全保護程度進行測試，這就需要應(yīng)用網(wǎng)絡(luò)滲透測試實現(xiàn)對系統(tǒng)的檢測，直觀的面對網(wǎng)絡(luò)中所存在的漏洞與問題，提升網(wǎng)絡(luò)安全水平，推動我國網(wǎng)絡(luò)技術(shù)的進步與發(fā)展。

1 網(wǎng)絡(luò)滲透測試分類

第一，白盒測試。在進行該測試前，在目標(biāo)系統(tǒng)中可以獲取到足夠的初始信息，包括拓撲圖、應(yīng)用列表、網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)地址段等。測試人員利用這些初始信息對網(wǎng)絡(luò)內(nèi)部進行探查，為了讓測試更加完善，可以在測試的過程中與企業(yè)的員工進行交流互動，通過模擬管理人員的交互實施網(wǎng)絡(luò)滲透測試，避免出現(xiàn)重要信息泄露的事件。

第二，黑盒測試。黑盒測試是對網(wǎng)絡(luò)攻擊者的模擬，在該測試模式下，測試人員不了解目標(biāo)系統(tǒng)的具體情況，僅憑經(jīng)驗與感覺對網(wǎng)絡(luò)系統(tǒng)測試，這種方式更加貼切網(wǎng)絡(luò)攻擊的具體情況。經(jīng)由黑盒測試，用戶能夠更加直觀的了解到系統(tǒng)的真實安全情況和應(yīng)對外界攻擊的能力。

2 網(wǎng)絡(luò)滲透測試流程

2.1 制定方案

制定方案是網(wǎng)絡(luò)滲透測試在一開始就應(yīng)該做的，也是網(wǎng)絡(luò)滲透測試的基礎(chǔ)。例如，A企業(yè)對內(nèi)部網(wǎng)絡(luò)實施網(wǎng)絡(luò)滲透測試，但是在測試的過程中由于測試方的失誤導(dǎo)致數(shù)據(jù)流出，由于沒有簽訂保密協(xié)議，給企業(yè)帶來了重大的損失。該案例表明在制定方案時就要對保密協(xié)議進行確定，讓所有參與人員對此嚴(yán)格保密，并且測試的相關(guān)數(shù)據(jù)與信息不應(yīng)該留給測試方，而是應(yīng)該交由被測方，保護被測方的利益。被測方有權(quán)利知道測試的所有流程與細節(jié)，所有測試應(yīng)當(dāng)在被測方充分了解的基礎(chǔ)上進行，為了劃清這方面的責(zé)任，可以選用書面協(xié)議的方式，讓被測方與測試方簽訂協(xié)議，被測方同意測試后才可進行后續(xù)操作[1]。

2.2 收集信息并分析

在按照制定的方案實施網(wǎng)絡(luò)滲透測試時，需要對網(wǎng)絡(luò)系統(tǒng)中的信息進行收集，保證對數(shù)據(jù)信息分析的全面性和完整性。信息收集可以應(yīng)用多種方法，包括端口掃描、地址掃描、操作系統(tǒng)探測、漏洞掃描等，從多個角度收集系統(tǒng)信息，提升網(wǎng)絡(luò)滲透測試的效率與質(zhì)量。由于主機分為遠程主機和本地主機，在實際的收集過程中，遠程主機以操作系統(tǒng)探測和地址掃描為主，本地主機以漏洞掃描和端口掃描為主，在不同的方法下完成信息的收集，作為信息分析的基礎(chǔ)。收集到完善的系統(tǒng)信息后，應(yīng)當(dāng)對收集到的信息進行分析，不斷的收集信息，不斷的提升權(quán)限，以此對系統(tǒng)遭受攻擊的可能性進行分析。

2.3 生成報告

在網(wǎng)絡(luò)滲透測試結(jié)束后，應(yīng)當(dāng)根據(jù)收集到的信息進行分析并生成報告，為整個網(wǎng)絡(luò)滲透測試實施總結(jié)。對收集到的數(shù)據(jù)信息進行進一步的分析，識別被測網(wǎng)絡(luò)系統(tǒng)可能受到的威脅，了解被測網(wǎng)絡(luò)系統(tǒng)的脆弱性，結(jié)合已有的控制措施，在分析與研究中得到總結(jié)性的結(jié)論，為生成報告奠定基礎(chǔ)。生成報告的過程也是對整個網(wǎng)絡(luò)系統(tǒng)的安全性進行評估的過程，確定被測網(wǎng)絡(luò)系統(tǒng)的風(fēng)險程度，并圍繞此給出較為明確的結(jié)論，讓被測方明白網(wǎng)絡(luò)系統(tǒng)出現(xiàn)風(fēng)險的原因[2]。

3 網(wǎng)絡(luò)滲透測試方法

3.1 用例管理

除了網(wǎng)絡(luò)滲透測試流程，還應(yīng)當(dāng)了解網(wǎng)絡(luò)滲透測試方法，這是為了在正常流程的基礎(chǔ)上提升網(wǎng)絡(luò)滲透測試的效率，用例管理就是其中一種。在實際的測試過程中，使用計算機進行自動化檢查，避免時間上的浪費[3]。在管理員的角度，其可以在管理屬性的基礎(chǔ)上來管理測試用例。在測試人員的角度，其可以對測試用例集進行選擇，選擇的依據(jù)包括網(wǎng)絡(luò)滲透測試項目應(yīng)用類型、網(wǎng)絡(luò)滲透測試目標(biāo)和網(wǎng)絡(luò)滲透測試人員等，實現(xiàn)對測試計劃的有效制定。這樣的用例管理框架可以提升網(wǎng)絡(luò)滲透測試的效率與質(zhì)量，實現(xiàn)滲透測試用例共享和滲透測試用例復(fù)用。

3.2 風(fēng)險控制

在實施網(wǎng)絡(luò)滲透測試的過程中，由于是讓測試人員模擬攻擊者對網(wǎng)絡(luò)系統(tǒng)安全進行測試，就有可能導(dǎo)致網(wǎng)絡(luò)系統(tǒng)在測試中收到損壞，這就是網(wǎng)絡(luò)滲透測試的風(fēng)險體現(xiàn)，需要對其進行控制，消除可能產(chǎn)生的消極影響，提升網(wǎng)絡(luò)滲透測試的安全程度。例如，A企業(yè)在接受網(wǎng)絡(luò)滲透測試時，在高強度的掃描中，讓其主機資源占用突然增大，超出了其承載能力，導(dǎo)致整個系統(tǒng)出現(xiàn)異常。需要測試方著重注意風(fēng)險控制，盡量避免使用會對系統(tǒng)造成損害的工具，測試時間選擇業(yè)務(wù)量較小的時段，并對測試的過程進行詳細記錄。

4 結(jié)語

綜上所述，網(wǎng)絡(luò)滲透測試是具有先進性的網(wǎng)絡(luò)安全測試方法，對被測網(wǎng)絡(luò)實施最直接的安全水平檢驗，維護網(wǎng)絡(luò)環(huán)境的穩(wěn)定與安全。了解網(wǎng)絡(luò)滲透測試的分類和流程，制定網(wǎng)絡(luò)滲透測試方案，實現(xiàn)對網(wǎng)絡(luò)中信息的有效收集，在此基礎(chǔ)上分析收集到的信息，找尋網(wǎng)絡(luò)系統(tǒng)的風(fēng)險與弱點并生成具有全面性的測試報告，并對其用例管理和風(fēng)險控制的方法進行探究。

參考文獻

[1]武杰.智能化網(wǎng)絡(luò)滲透測試系統(tǒng)的設(shè)計與研究[D].長春工業(yè)大學(xué)，2018.

[2]瞿亞萍.計算機網(wǎng)絡(luò)滲透測試研究[J].武漢船舶職業(yè)技術(shù)學(xué)院學(xué)報，2015，14（06）：40-43.

[3]趙文哲.網(wǎng)絡(luò)滲透測試綜合實驗平臺技術(shù)研究與實現(xiàn)[D].國防科學(xué)技術(shù)大學(xué)，2014.