蘭長亮

長春市博鴻科技服務(wù)有限責(zé)任公司 吉林長春 130000

沒有網(wǎng)絡(luò)安全，就沒有國家安全，沒有信息化，就沒有現(xiàn)代化，習(xí)在2018 年全國網(wǎng)絡(luò)安全和信息化工作會議上說。因此，安全是發(fā)展的前提，發(fā)展是安全的保障。沒有網(wǎng)絡(luò)安全，信息社會將在黑暗中毀滅?；诖?，我國網(wǎng)絡(luò)安全等級保護(hù)工作得以高效開展。等級保護(hù)測評是網(wǎng)絡(luò)安全等級保護(hù)的重要環(huán)節(jié)，受諸多因素影響，傳統(tǒng)等級保護(hù)測評的效率性較差，并且測試結(jié)果不夠準(zhǔn)確，這使得網(wǎng)絡(luò)信息的隱患逐漸加大。滲透測試是等級保護(hù)測評中的新要求，其能在手動控制或自動設(shè)備的支持下，對網(wǎng)絡(luò)系統(tǒng)的安全性進(jìn)行全方位、多層次、立體化的評估，確保網(wǎng)絡(luò)信息的安全性。文章分析了滲透測試在網(wǎng)絡(luò)安全等級保護(hù)評估中的應(yīng)用。滲透測試安全評估是網(wǎng)絡(luò)信息系統(tǒng)安全評估的重要手段。在準(zhǔn)確控制信息系統(tǒng)抵御網(wǎng)絡(luò)入侵能力的基礎(chǔ)上，可以規(guī)避網(wǎng)絡(luò)風(fēng)險，實現(xiàn)信息安全保障。從國家網(wǎng)絡(luò)安全的角度，分析了滲透測試在網(wǎng)絡(luò)安全等級保護(hù)評估中的應(yīng)用價值，探討了滲透測試的應(yīng)用原則和測試程序，并提出了滲透測試過程中的風(fēng)險控制策略。提高滲透測試的應(yīng)用水平，保證國家網(wǎng)絡(luò)安全等級保護(hù)測試的效率和質(zhì)量，同時實現(xiàn)國家信息網(wǎng)絡(luò)安全的有效保障[1]。

1 研究背景

在1994 年的時候，國務(wù)院頒布國務(wù)院令第147 號《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》，建立中國計算機信息系統(tǒng)，經(jīng)過20 多年的發(fā)展，實施安全水平保護(hù)制度，等級保護(hù)制度不斷發(fā)展成熟，有力地保障了國家信息安全。2017 年6 月1 日生效的《中華人民共和國網(wǎng)絡(luò)安全法》明確規(guī)定，國家實行網(wǎng)絡(luò)安全等級保護(hù)制度，將網(wǎng)絡(luò)安全等級保護(hù)制度升級為法律規(guī)定的網(wǎng)絡(luò)安全等級保護(hù)制度，已成為國家網(wǎng)絡(luò)安全的基本制度、基本戰(zhàn)略和基本方法，促進(jìn)信息化的健康發(fā)展，網(wǎng)絡(luò)安全等級保護(hù)工作是國家安全、社會秩序和公共利益的根本保障，主要包括分級、歸檔、安全建設(shè)整頓、分級評估和監(jiān)督檢查五個階段，分級評估是其中最重要的部分[2]。為了推進(jìn)網(wǎng)絡(luò)安全等級保護(hù)工作，公安部于2009 年發(fā)布了《信息系統(tǒng)安全等級評估報告模板（試行）;公信安號1487》，進(jìn)一步規(guī)范了等級測評活動并要求按照統(tǒng)一的格式編制等級測評報告(以下簡稱“09 版測評報告模板”)。由于09 版測評報告模板采用定性風(fēng)險分析方式，信息系統(tǒng)等級測評結(jié)論定性為符合、基本符合和不符合3 類，并未對測評結(jié)論進(jìn)行定量判定，不能很好地區(qū)分出不同信息系統(tǒng)間安全防護(hù)能力的差異。為此，國內(nèi)許多專家、學(xué)者針對信息系統(tǒng)安全等級測評開展了相應(yīng)的研究。2015 年，公安部再次發(fā)布《信息安全等級保護(hù)測評報告模版(2015 版)》(以下簡稱“15版測評報告模板”)，增加了定量計算相關(guān)內(nèi)容。15 版測評報告模板采用定性和定量相結(jié)合的風(fēng)險分析方式，規(guī)定了單個測評項符合程度得分為0-5 分，其中符合為5 分，不符合為0 分，部分符合為1-4 分，并給出了信息系統(tǒng)綜合得分計算公式，分為以下兩種計算方式：

（1）當(dāng)信息系統(tǒng)等級評價結(jié)論基本一致時，

其中，p 為總測評項數(shù)，不包括不適用的控制點和試題；l 為安全問題數(shù)。15 版測評報告模板雖然在測評過程中引入了定量計算，在一定程度上量化了信息系統(tǒng)等級測評結(jié)論，有助于系統(tǒng)管理者比較直觀地掌握信息系統(tǒng)的安全防護(hù)水平，但也存在兩個缺點：（1）綜合得分是在信息系統(tǒng)等級測評結(jié)論明確后計算得出的，也就是說等級測評結(jié)論并不是依據(jù)綜合得分的量化度量得出的；（2）綜合得分計算公式涉及要求項的得分和其權(quán)重兩個因素，且要求項得分采用0-5 分制，使得綜合得分計算的工作量巨大，需要借助專門的測評工具才能完成。針對15 版測評報告模板存在的缺點，本文提出了一種新的等級測評綜合得分算法。首先，規(guī)定單個測評項符合程度得分取值為0 分、0.5 分和1 分，其中符合得1 分，部分符合得0.5 分，不符合得0 分；其次，匯總所有不符合、部分符合測評項得分和其權(quán)重的計算結(jié)果，最后對計算結(jié)果進(jìn)行歸一化處理后形成信息系統(tǒng)等級測評綜合得分。該綜合得分算法大幅度地降低了計算工作量，解決了缺點（2）；同時根據(jù)綜合得分確定信息系統(tǒng)的等級測評結(jié)論，解決了缺點（1）。

2 滲透測試概述

2.1 將滲透測試引入等保測評中的必要性

2017 年6 月1 日，《中華人民共和國網(wǎng)絡(luò)安全法》正式實施，明確要求在中國運行的信息系統(tǒng)實行分級保護(hù)制度，使等級保護(hù)制度成為國家的基本制度，并在等級保護(hù)的基本要求上升到法律層面，但沒有相應(yīng)的技術(shù)標(biāo)準(zhǔn)明確信息系統(tǒng)的“反滲透”能力，然而，對于3 級或以上的信息系統(tǒng)，從基本要求的安全技術(shù)、系統(tǒng)抵御大規(guī)模惡意攻擊的能力、發(fā)現(xiàn)和防御非法入侵的能力、抵御惡意代碼攻擊的能力、應(yīng)對安全事件的緊急反應(yīng)能力和監(jiān)控能力等方面來說，都是不可或缺的。信息系統(tǒng)必須經(jīng)過公正的第三方安全測試，才能上網(wǎng)?；谏鲜鱿拗?，若受測試的資訊系統(tǒng)沒有進(jìn)行滲透測試，滲透測試便不能符合等級保護(hù)的要求。一方面，它可以檢查和驗證被測信息系統(tǒng)的安全漏洞，并提供切實可行的維修建議，有助于提高等級保護(hù)評估的質(zhì)量[3]。

2.2 原理分析

實際檢測中測試人員會站在網(wǎng)絡(luò)攻擊者的角度，然后在工具及手工方式的支撐下，對網(wǎng)絡(luò)信息進(jìn)行全要素分析；網(wǎng)絡(luò)系統(tǒng)主機、網(wǎng)絡(luò)環(huán)境、應(yīng)用過程、數(shù)據(jù)庫等都是其檢測的主要內(nèi)容。通過分析這些測試要素的檢測結(jié)果，測試人員可以有效的發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)運行中的薄弱環(huán)節(jié)，并進(jìn)行控制管理。網(wǎng)絡(luò)安全等級保護(hù)滲透測試中，測試授權(quán)和測試監(jiān)督是滲透測試的兩個基本要求；即測試人員的所有檢測行為必須由用戶進(jìn)行書面授權(quán)，同時進(jìn)行測試全過程的監(jiān)督管理。從檢查過程來看，滲透測試授權(quán)和監(jiān)督的根本目的在于系統(tǒng)性、全面性、真實性的發(fā)現(xiàn)信息系統(tǒng)中的薄弱環(huán)節(jié)，并對系統(tǒng)的可用性進(jìn)行驗證，同時防止后續(xù)滲透操作的發(fā)生；以此來保證網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用的安全性、規(guī)范性。滲透測試是基于業(yè)界公布或測試人員掌握的有關(guān)保安漏洞的資料，利用攻擊者的心態(tài)，透過工具或人工探測目標(biāo)的應(yīng)用程式、主機、網(wǎng)絡(luò)、數(shù)據(jù)庫及其他保安，發(fā)現(xiàn)系統(tǒng)中最脆弱的部分，所有測試活動必須在用戶明確的書面授權(quán)和監(jiān)督下進(jìn)行，以及進(jìn)行授權(quán)滲透測試的目的是真正和全面地發(fā)現(xiàn)信息系統(tǒng)中的漏洞并驗證它們的可用性，不進(jìn)一步進(jìn)行滲透操作，如后門，因此一般不會對信息系統(tǒng)造成損害或損失。

2.3 滲透測試流程

一般而言，滲透測試包括四個階段：報告、資料檢測、測試實施、測試準(zhǔn)備，如圖1 所示。

每個環(huán)節(jié)的有關(guān)工作概述如下：

（1）在測試準(zhǔn)備階段，在取得測試單位的書面授權(quán)后，測試滲透測試將會開始實施。與單位溝通實施范圍、方法、工具、時間、人員等具體方案，溝通可能存在的測試風(fēng)險，并獲得單位批準(zhǔn)，整個測試過程處于單位的監(jiān)督和控制之下。前期準(zhǔn)備過程中，獲取測試目標(biāo)所在單位的書面授權(quán)是測試人員準(zhǔn)備的首要內(nèi)容。當(dāng)獲取書面授權(quán)后，可根據(jù)具體的測試對象進(jìn)行方法設(shè)計，做好測試人員、事件、工具和范圍的合理規(guī)劃，同時規(guī)范化的進(jìn)行測試方案編制，并與網(wǎng)絡(luò)系統(tǒng)所述單位進(jìn)行溝通，確保測試過程切實可行和風(fēng)險最小。最后，和目標(biāo)單位建立滲透測試聯(lián)動管控小組，準(zhǔn)備進(jìn)行網(wǎng)絡(luò)系統(tǒng)測試全過程的監(jiān)督管理，進(jìn)而為網(wǎng)絡(luò)系統(tǒng)滲透測試奠定良好基礎(chǔ)。

（2）在信息檢測滲透測試階段，根據(jù)指定的測試范圍收集與信息系統(tǒng)有關(guān)的信息，可以使用商業(yè)或開放源碼的安全評估工具，如webinspect、appscan、nessus、nmap 等進(jìn)行收集，并對檢測到的端口、服務(wù)、ip、dns、操作系統(tǒng)等信息進(jìn)行整理，為測試實施的下一階段提供支持[4]。

（3）在測試實施階段，滲透測試儀對檢測到的信息進(jìn)行分析，并通過制定滲透策略、編寫攻擊代碼和研究旁路機制進(jìn)行測試。

實施路徑主要包括內(nèi)網(wǎng)和外網(wǎng)兩種：①測試信息系統(tǒng)的目的是為了避免防火墻等設(shè)備的安全防護(hù)措施。如果在這個階段成功，它可以獲得普通用戶的許可，然后通過提高權(quán)限等操作，獲得系統(tǒng)對受控服務(wù)器的最高許可，作為對其他目標(biāo)進(jìn)行進(jìn)一步滲透測試的跳板②外部網(wǎng)絡(luò)測試直接通過互聯(lián)網(wǎng)進(jìn)行，信息系統(tǒng)的滲透測試、操作過程和內(nèi)部網(wǎng)絡(luò)測試相似。滲透測試實施是網(wǎng)絡(luò)系統(tǒng)安全等級檢查的核心環(huán)節(jié)。該階段，測試人員會在前期分析結(jié)果的基礎(chǔ)上，進(jìn)行網(wǎng)絡(luò)滲透策略編制，然后利用攻擊代碼、研究機制等方式，對網(wǎng)絡(luò)系統(tǒng)的內(nèi)網(wǎng)和外網(wǎng)進(jìn)行檢測。就內(nèi)網(wǎng)檢測而言，避開以防火墻為代表的安全防護(hù)措施是滲透測試的主要目的；該環(huán)節(jié)如能成功，則測試人員可以獲得一定操作權(quán)限，并在已控制服務(wù)器的支持下，對其它目標(biāo)進(jìn)行滲透測試，最終結(jié)合實際的測試結(jié)果對網(wǎng)絡(luò)系統(tǒng)所述單位內(nèi)網(wǎng)的安全性進(jìn)行評估。而在外網(wǎng)檢查中，其測試流程與內(nèi)網(wǎng)測試具有相似性，所不同的是，其對信息系統(tǒng)的檢測主要是在互聯(lián)網(wǎng)設(shè)備的支撐下完成的。

（4）在報告準(zhǔn)備階段，推行機構(gòu)會分析測試結(jié)果及編制系統(tǒng)滲透測試，主要包括具體測試結(jié)果、缺陷評估及修正建議[5]。為實現(xiàn)滲透測試檢測結(jié)果的清晰化顯示，當(dāng)網(wǎng)絡(luò)安全等級滲透測試完成后，測試人員應(yīng)進(jìn)行滲透策測試報告的嚴(yán)格編制。通常，滲透測試報告包含了測試結(jié)果、漏洞結(jié)果評估和整改建議三個方面。需注意的是，測試結(jié)果、和漏洞結(jié)果評估的過程需具有充分、全面、準(zhǔn)確；同時整改意見要具有一定的科學(xué)性和可行性，繼而更好的滿足等級保護(hù)要求，確保被測試系統(tǒng)安全、穩(wěn)定運行。

2.4 規(guī)避滲透測試過程中的風(fēng)險

滲透測試是動態(tài)的，測試過程仍然可能影響應(yīng)用程序、主機、網(wǎng)絡(luò)等的正常運行。為了避免測試過程對業(yè)務(wù)運作的影響，需要實施以下風(fēng)險規(guī)避策略：

（1）雙方簽署滲透檢測委托書，制定并審核雙方批準(zhǔn)的滲透檢測方案

（2）時間策略選擇合適的測試時間，如夜間或低流量時間進(jìn)行測試，以盡量減少測試過程對業(yè)務(wù)的影響，同時留出時間進(jìn)行風(fēng)險消除。

（3）對于需要高實時性能的核心業(yè)務(wù)系統(tǒng)的攻擊策略選擇，不建議進(jìn)行深度測試，如ddos 類測試，測試人員可以分析推測的結(jié)果，而無需驗證危險的操作。

（4）系統(tǒng)備份和恢復(fù)在實施測試之前，被測系統(tǒng)需要做一個完整的備份，當(dāng)出現(xiàn)問題時可以及時恢復(fù)，為核心業(yè)務(wù)系統(tǒng)建議備份系統(tǒng)滲透測試

（5）當(dāng)被測系統(tǒng)中斷，響應(yīng)緩慢時，應(yīng)及時停止測試工作，并配合被測單元進(jìn)行故障處理。故障處理完畢后，單元可以授權(quán)進(jìn)行剩余的測試

（6）溝通策略雙方建立利益相關(guān)者聯(lián)系清單，識別接口，及時溝通測試過程中的問題，確保有效溝通[6]。

2.5 滲透測試涉及的工具

在滲透測試過程中，測試人員在技術(shù)上已經(jīng)足夠成熟，可以使用操作系統(tǒng)自己的網(wǎng)絡(luò)應(yīng)用程序、診斷工具、開源軟件和商業(yè)軟件，以及自己的安全掃描工具，安全性和可控性高，可以根據(jù)測試人員的實際需求進(jìn)行有針對性的測試。然而，安全工具本身是一把雙刃劍，有必要針對系統(tǒng)中可能出現(xiàn)的問題提出相應(yīng)的對策，以確保滲透測試過程中的受控狀態(tài)。（1）System-ownedtools 表1 列出了測試人員將使用(但不限于)下列命令進(jìn)行測試的常見系統(tǒng)所有的網(wǎng)絡(luò)應(yīng)用程序、管理和診斷工具。

表1 系統(tǒng)自有工具表

（2）其他測試工具。表2 列出了滲透測試中常用的網(wǎng)絡(luò)掃描工具、網(wǎng)絡(luò)管理軟件等。

表2 其他測試工具表

3 實施滲透測試

本文以某單位的三級系統(tǒng)為例，說明如何進(jìn)行滲透測試評估，以驗證該信息系統(tǒng)的整體安全水平。

3.1 制定測試方案

滲透測試小組會根據(jù)資訊系統(tǒng)的規(guī)模和實際運作情況，制定詳細(xì)的滲透測試計劃，包括制定合理的滲透測試計劃、選擇合適的測試方法，以及準(zhǔn)備充足的測試工具，分析測試過程可能會帶來風(fēng)險，并采取相應(yīng)的規(guī)避風(fēng)險的方法[7]。

3.2 信息收集

滲透測試人員使用各種系統(tǒng)或工具來收集信息，包括系統(tǒng)掃描工具nmap、openvas、burpsuit 等等。掃描后發(fā)現(xiàn)系統(tǒng)在端口80，139，445，3389，47001 等處是開放的。針對這些服務(wù)從系統(tǒng)級和web 級進(jìn)行分析，發(fā)現(xiàn)系統(tǒng)存在文件共享、遠(yuǎn)程訪問、sql注入、xml 注入等漏洞，為下一步漏洞利用提供了基礎(chǔ)，根據(jù)測試方法、測試內(nèi)容和信息收集階段可能存在的風(fēng)險，制定了應(yīng)急處理策略，如表3 所示。

表3 信息收集風(fēng)險控制表

3.3 測試實施

根據(jù)獲得的漏洞信息，結(jié)合信息系統(tǒng)的特點和異構(gòu)性，確定漏洞，并利用滲透測試策略獲得的信息，找出高風(fēng)險漏洞，嘗試直接利用高風(fēng)險漏洞，驗證可以用以下文件共享漏洞的例子來描述測試過程。第一步制定滲透測試策略：（1）目標(biāo)：獲取被測系統(tǒng)服務(wù)器的控制權(quán)限；（2）實施途徑：系統(tǒng)漏洞掃描→服務(wù)漏洞→漏洞利用→獲取遠(yuǎn)程→建立用戶→遠(yuǎn)程桌面；（3）說明：如果訪問遠(yuǎn)程shell 的權(quán)限很低，那么建立一個用戶權(quán)后第二步使用不同的漏洞掃描工具來確認(rèn)掃描的漏洞，結(jié)果證實系統(tǒng)服務(wù)器熟悉漏洞掃描工具nmap 和nessus，ms08-067。如果服務(wù)器接收到一個自定義rpc 請求，該漏洞可能允許遠(yuǎn)程執(zhí)行代碼。在確定第三步漏洞后，使用漏洞利用工具實現(xiàn)溢出以成功訪問shell 控制界面，執(zhí)行“whoami”命令，查看“用戶和用戶組”，顯示為“管理員”用戶組，并指示您擁有系統(tǒng)管理員權(quán)限。第4 步獲得系統(tǒng)的頂部控制權(quán)，通過shell 創(chuàng)建一個后門帳戶，后續(xù)使用后門帳戶可以遠(yuǎn)程登錄系統(tǒng)，使整個過程完成這一步獲得用戶的許可。此外，在測試執(zhí)行階段，測試人員使用在前一階段收集到的信息，通過工具或手動測試的方式測試單元的信息系統(tǒng)，如表4 所示。

表4 測試實施風(fēng)險控制表

3.4 報告輸出

滲透測試完成后，測試人員安排工作內(nèi)容和成果，根據(jù)發(fā)現(xiàn)的安全漏洞和安全風(fēng)險提出系統(tǒng)存在的問題，并提出相應(yīng)的糾正建議，形成“滲透測試報告”。

4 滲透測試在網(wǎng)絡(luò)安全等級保護(hù)評估中的應(yīng)用價值

2016 年美國東海岸地區(qū)遭受了分布式拒絕服務(wù)的攻擊，這使得美國超過1/2 的網(wǎng)絡(luò)系統(tǒng)陷入癱瘓，造成了嚴(yán)重的社會經(jīng)濟(jì)損失；又如2017 年的WannaCry 勒索病毒，事故的全球近150 個國家的教育、交通、醫(yī)療、能源事業(yè)發(fā)展受阻。由此可見，進(jìn)行國家網(wǎng)絡(luò)保護(hù)極為重要。2017 年6 月，我國在《中華人民共和國網(wǎng)絡(luò)安全法》中對國家網(wǎng)絡(luò)安全進(jìn)行規(guī)范。在該管理條例中，其將網(wǎng)絡(luò)信息系統(tǒng)劃分為不同等級，并且對第三級別和以上的信息系統(tǒng)進(jìn)行抗?jié)B透能力約束和規(guī)定，要求其具備較高標(biāo)準(zhǔn)的非法入侵檢測和防御能力，同時網(wǎng)絡(luò)系統(tǒng)具備抵抗惡意代碼的攻擊能力，并能對網(wǎng)絡(luò)安全事件進(jìn)行應(yīng)急響應(yīng)。網(wǎng)絡(luò)安全控制實踐中，所有的網(wǎng)絡(luò)信息系統(tǒng)需進(jìn)行安全性能測試，然后再上線投入使用。網(wǎng)絡(luò)安全等級保護(hù)測評過程中，滲透測試的應(yīng)用具有以下功能：其一，滲透測試能對網(wǎng)絡(luò)系統(tǒng)的安全屬性進(jìn)行評估，并檢查出系統(tǒng)的安全漏洞，然后針對性的進(jìn)行修復(fù)控制。其二，從等級保護(hù)測試結(jié)果來看，其能實現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全影響因素的全面評估，提升等級保護(hù)測評質(zhì)量。故而在信息時代下，進(jìn)行網(wǎng)絡(luò)系統(tǒng)安全性的滲透測試勢在必行[8]。

5 網(wǎng)絡(luò)安全等級保護(hù)的滲透測試

5.1 網(wǎng)絡(luò)安全等級保護(hù)的滲透測試原理

實際檢測中測試人員會站在網(wǎng)絡(luò)攻擊者的角度，然后在工具及手工方式的支撐下，對網(wǎng)絡(luò)信息進(jìn)行全要素分析；網(wǎng)絡(luò)系統(tǒng)主機、網(wǎng)絡(luò)環(huán)境、應(yīng)用過程、數(shù)據(jù)庫等都是其檢測的主要內(nèi)容。通過分析這些測試要素的檢測結(jié)果，測試人員可以有效的發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)運行中的薄弱環(huán)節(jié)，并進(jìn)行控制管理。網(wǎng)絡(luò)安全等級保護(hù)滲透測試中，測試授權(quán)和測試監(jiān)督是滲透測試的兩個基本要求；即測試人員的所有檢測行為必須由用戶進(jìn)行書面授權(quán)，同時進(jìn)行測試全過程的監(jiān)督管理。從檢查過程來看，滲透測試授權(quán)和監(jiān)督的根本目的在于系統(tǒng)性、全面性、真實性的發(fā)現(xiàn)信息系統(tǒng)中的薄弱環(huán)節(jié)，并對系統(tǒng)的可用性進(jìn)行驗證，同時防止后續(xù)滲透操作的發(fā)生；以此來保證網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用的安全性、規(guī)范性。

5.2 網(wǎng)絡(luò)安全等級保護(hù)的滲透測試流程

測試準(zhǔn)備、信息探測、測試實施、報告編制是網(wǎng)絡(luò)安全等級保護(hù)滲透測試的四個基本流程。網(wǎng)絡(luò)安全管理中，只有規(guī)范化的進(jìn)行這四個層面的全面控制，才能有效的提升滲透測試的準(zhǔn)確性，確保網(wǎng)絡(luò)系統(tǒng)應(yīng)用安全與質(zhì)量。

（1）滲透測試準(zhǔn)備階段控制前期準(zhǔn)備過程中，獲取測試目標(biāo)所在單位的書面授權(quán)是測試人員準(zhǔn)備的首要內(nèi)容。當(dāng)獲取書面授權(quán)后，可根據(jù)具體的測試對象進(jìn)行方法設(shè)計，做好測試人員、事件、工具和范圍的合理規(guī)劃，同時規(guī)范化的進(jìn)行測試方案編制，并與網(wǎng)絡(luò)系統(tǒng)所述單位進(jìn)行溝通，確保測試過程切實可行和風(fēng)險最小。最后，和目標(biāo)單位建立滲透測試聯(lián)動管控小組，準(zhǔn)備進(jìn)行網(wǎng)絡(luò)系統(tǒng)測試全過程的監(jiān)督管理，進(jìn)而為網(wǎng)絡(luò)系統(tǒng)滲透測試奠定良好基礎(chǔ)。

（2）網(wǎng)絡(luò)系統(tǒng)的信息探測網(wǎng)絡(luò)信息系統(tǒng)開始滲透測試時，應(yīng)在《中華人民共和國網(wǎng)絡(luò)安全法》等文件的支持下，對信息系統(tǒng)的相關(guān)信息進(jìn)行收集。通常情況下，商業(yè)或者開源的安全評估工具是網(wǎng)絡(luò)系統(tǒng)信息收集的主要方式，同時其收集的對象包含Webinspect、APP-scan、Nessus、Nmap 等內(nèi)容。當(dāng)測試人員獲取這些信息后，應(yīng)結(jié)合其實際情況，對目標(biāo)系統(tǒng)端口、服務(wù)、IP、DNS、OS 等信息進(jìn)行整理，為下一節(jié)段的測試做好準(zhǔn)備。

（3）網(wǎng)絡(luò)系統(tǒng)滲透測試實施滲透測試實施是網(wǎng)絡(luò)系統(tǒng)安全等級檢查的核心環(huán)節(jié)。該階段，測試人員會在前期分析結(jié)果的基礎(chǔ)上，進(jìn)行網(wǎng)絡(luò)滲透策略編制，然后利用攻擊代碼、研究機制等方式，對網(wǎng)絡(luò)系統(tǒng)的內(nèi)網(wǎng)和外網(wǎng)進(jìn)行檢測。就內(nèi)網(wǎng)檢測而言，避開以防火墻為代表的安全防護(hù)措施是滲透測試的主要目的；該環(huán)節(jié)如能成功，則測試人員可以獲得一定操作權(quán)限，并在已控制服務(wù)器的支持下，對其它目標(biāo)進(jìn)行滲透測試，最終結(jié)合實際的測試結(jié)果對網(wǎng)絡(luò)系統(tǒng)所述單位內(nèi)網(wǎng)的安全性進(jìn)行評估。而在外網(wǎng)檢查中，其測試流程與內(nèi)網(wǎng)測試具有相似性，所不同的是，其對信息系統(tǒng)的檢測主要是在互聯(lián)網(wǎng)設(shè)備的支撐下完成的[9]。

（4）滲透測試報告編制為實現(xiàn)滲透測試檢測結(jié)果的清晰化顯示，當(dāng)網(wǎng)絡(luò)安全等級滲透測試完成后，測試人員應(yīng)進(jìn)行滲透策測試報告的嚴(yán)格編制。通常，滲透測試報告包含了測試結(jié)果、漏洞結(jié)果評估和整改建議三個方面。需注意的是，測試結(jié)果、和漏洞結(jié)果評估的過程需具有充分、全面、準(zhǔn)確；同時整改意見要具有一定的科學(xué)性和可行性，繼而更好的滿足等級保護(hù)要求，確保被測試系統(tǒng)安全、穩(wěn)定運行。

6 滲透測試過程中的風(fēng)險控制策略

現(xiàn)階段，滲透測試在網(wǎng)絡(luò)安全等級保護(hù)測評中的應(yīng)用愈發(fā)廣泛，并且測試過程的設(shè)備使用也逐漸多樣。就系統(tǒng)自有工具而言，其包含了ping、ftp、telnet、echo 等多個類型；而非系統(tǒng)自有的其他工具包含了nmap、nc、Nessus、Burpsuit 等工具。在一定程度上，測試工具及方法的使用會對網(wǎng)絡(luò)系統(tǒng)的運行造成一定影響，加大設(shè)備運行的風(fēng)險性。故而在滲透測試過程中，應(yīng)注重滲透風(fēng)險的有效評估和規(guī)避。滲透測試風(fēng)險控制內(nèi)容具體包括：其一，應(yīng)確保滲透測試的評審方案獲得雙方認(rèn)可，確保網(wǎng)絡(luò)安全等級測試的合法性。其二，測試過程中應(yīng)注重測試時間和范圍的嚴(yán)格控制，同時測試人員應(yīng)和被測單位建立高效化的溝通機制，避免滲透測試對目標(biāo)單位的業(yè)務(wù)開展造成影響。其三，通常，為避免測試潛在風(fēng)險發(fā)生，應(yīng)減少核心業(yè)務(wù)系統(tǒng)的滲透測試數(shù)量，避免發(fā)生業(yè)務(wù)系統(tǒng)損傷[10]。

7 結(jié)語

該組網(wǎng)絡(luò)系統(tǒng)的滲透測試模擬黑客成功取得伺服器的最高控制權(quán)，以及取得后端資料庫數(shù)據(jù)資料系統(tǒng)層面的漏洞，主要是由于軟件開發(fā)過程的缺陷，一般需要密切追蹤軟件供應(yīng)商的保安警報，及時更新系統(tǒng)修補程式。實踐過程中只有充分認(rèn)識到網(wǎng)絡(luò)安全等級保護(hù)中滲透測試的必要性，并在掌握其測試原理的基礎(chǔ)行，規(guī)范化的進(jìn)行測試過程管理，并做好測試風(fēng)險防控，才能利于提升滲透測試的應(yīng)用水平，實現(xiàn)國家信息網(wǎng)絡(luò)安全的有效保證。因此，建議用戶建立漏洞預(yù)警和更新機制，定期掃描日常安全維護(hù)中的關(guān)鍵系統(tǒng)漏洞，并根據(jù)安全保證更新補丁，在級別保護(hù)程序中實施滲透測試，及時發(fā)現(xiàn)信息系統(tǒng)的安全風(fēng)險，采取良好的預(yù)防措施，更好地滿足級別保護(hù)的要求，以確保被測信息系統(tǒng)的安全和穩(wěn)定運行。