渗透测试在网络安全等保测评中的运用

1 渗透测试

1.1 渗透测试原理

渗透测试是为了验证网络防御质量，按照相关设计规划而提出的一种方法，其是一种合法的系统攻击行为，通过模拟网络攻击行为来评估网络系统的安全性。渗透测试的基本目的是为了识别出网络系统的缺陷和漏洞，渗透原理是在识别测评目标系统后，结合可用的信息并采取各种方式来实现验证要求。渗透测试的目标系统可以是提供信息的系统，也可以是只具备基本信息的系统。渗透测试

帮助信息系统评定系统是否容易受到攻击、网络安全防护措施是否可靠、存在何种安全问题，进而使网络系统的负责人对网络系统进行修复，提升网络安全防护质量。

1.2 渗透测试步骤

渗透测试是一个系统化的过程，需要逐步完成对网络安全等级保护的测试。第一步是进行规划和准备，根据信息系统的要求，测试人员要明确渗透测试的目标，是全方位测评还是具有针对性检测。第二步要收集相关信息，测试人员往往只会被告知测试的 IP 地址，一些有用的信息还需向客户或系统负责人询问。第三步进行初步操作，连接网络、主机、端口等。第四步对信息系统进行分析评估，

结合前期收集的信息，采取各种方式尝试攻击信息系统，这时需要测试人员判断渗透测试目标是否正确、在测试后发现漏洞的概率。第五步则是关键的攻击入侵环节，发现安全漏洞。第六步则是对渗透测试工作进行总结讨论，评估潜在风险漏洞的安全风险等级，再根据测试过程、分析漏洞并提出修复漏洞的建议[1]。

1.3 渗透测试方法

渗透测试的测试方法主要根据获取信息量和攻击渠道进行划分。获取的信息量需要根据客户的要求进行处理，零知识测试就是在进行评估测试前几乎没有信息，只有一定范围内的 url 和 IP 地址，这需要测试人员逐步探索可用的信息内容，并注重不要攻击 IP 地址范围外的系统。部分信息或全部信息主要是进行针对性的渗透测试，测试人员只需要检验何种方式能有效入侵系统漏洞即可。而攻击渠道分为内部和外部，大多数渗透测试都是从外部进行的，这也是因为信息系统主要受到的攻击就是来源于外部，内部测试则需要测试人员提前了解信息系统的基本构成和具体细节，这样才能花费较少的时间来找出漏洞。渗透测试所使用的工具包括网络工具、诊断工具、系统应用工具、安全扫描工具等，这些工具在安全性和可靠性方面有着较高要求。

2 渗透测试在网络安全等级保护测评中的运作方式

按照《网络安全等级保护测评过程指南》的规定，测评实施有渗透测试在网络安全等保测评中的运用不同的强度要求，三级以上系统需要进行应用系统完整性和保密性要求的协议分析，还需通过内外部渗透测试评定被测系统的脆弱性。渗透测试常见的运作方式主要有远程渗透和现场渗透两种。远程渗透也就是黑盒测试，在距离接入点区域较远的网络中模拟外部人员通过互联网攻击被测系统；现场渗透测试则是针对系统内部网络拓扑，根据应用和测试要求采用不同接入点进行渗透测试。

3 渗透测试在网络安全等级保护测评中的应用

3.1 渗透测试流程

渗透测试的主要工作可分层四个阶段，即准备阶段、探测阶段、实施阶段和报告阶段，为了确保渗透测试在网络安全等级保护测评中的有效性，需要严格依照安全相关规范标准进行。准备阶段包括授权文件确认和监督管理计划的确立，都是渗透测试开展的基础性工作。客户以及相关部门进行书面授权后才能以测试目标开展相关测试计划方案的设计，规划人员、设备。如果未经过授权便提前开展工作则会违反相关法律法规，需要测试人员多加注意。监督管理则是要确保渗透测试工作的可行性和安全性，避免因渗透测试工作致使信息系统出现其他安全问题，也需同时成立管控小组，对渗透测试前后全过程进行控制。探测阶段的工作主要与测试人员了解到的信息内容有关。若客户提供大量有关信息系统的资料则基本可以跳过此步骤直接明确入侵方式，不过大多数情况下外界攻击并不清楚信息系统的信息，需要渗透测试模拟收集、分析信息的过程，在获取到一定量信息后便可以对系统的服务、端口进行分析，为后续测试攻击提供帮助。实施阶段根据上述结果对信息系统进行渗透，并在渗透测试过程中对系统内外运行安全和系统本身编制情况进行监测。由于实施过程会受到信息自身防护系统的反馈影响。

3.2 攻击场景设计

由于当前网络信息环境较为复杂，较为普通的攻击环境难以有效发现信息系统的安全隐患。因此，需要设计特定的攻击场景来检验在理想状态下信息系统渗透测试的情况。例如将场景设定为云计算环境，将访问路径设定为互联网外部攻击，测试人员通过外部网络攻击用户云服务网络系统，也就是外部网络攻击企业网络的一种情景。这时的模拟攻击测试需要测试人员从外部网络进入应用层、平台层和基础结构层后才能侵入内部网络，验证网络系统在不同层面的防护效果。或者是外部攻击通过获取目标服务系统的非授权访问攻击，测试人员可以直接对基础架构层进行攻击，省去了通过前面层级的步骤。又或者已经获得访问权限，直接攻击目标管理系统。

3.3 实施测试

在信息收集完成后，实际的渗透测试较为复杂，需要深入分析实施阶段的具体应用情况。结合信息系统的实际情况和系统特点，选择适宜的方法进行测定。首先制定渗透策略，服务系统的控制权限能否获取是渗透测试策略的重要分歧点，如果不能获取就需要按部就班进行入侵攻击，而能够获取服务系统的控制权限则可以进行多方面的测试。例如扫描漏洞、服务漏洞、建立用户、远程桌面等

方式都可以成为渗透途径，其中远程访问权限较低时，可以采用提权后建立用户的渗透方法。然后，渗透实施过程中要同时运用漏洞工具将扫描出的漏洞进行编号，并记录漏洞性质。漏洞检测工具可以交由 MVC 框架中的 model 软件来形成漏洞检测模块，model 软件还可以直接将相关数据导入到数据库中，为后续安全漏洞修复提供帮助。而渗透测试则可以借助这些漏洞进行远程过程调用（RPC），服务系统接到 RPC 请求后，就会允许远程执行代码，使渗透测试进一步深入。

3.4 测试结果影响

渗透测试的结果基本决定了网络安全等级保护测评的结论，不过相关测试结果与等级保护制度中的测评项还需进行调整，来将渗透测试结果与测评项结合。例如在 Web 业务系统中，SQL 漏洞、文件上传漏洞是业务系统本身具有的缺陷，渗透测试所得到的结果与等级保护测评项中对数据有效性检验不完善和对已知漏洞修复不及时相互对应，在检测报告中可以直接得出结论。而渗透测试结果中还存有间接性影响。

4 结论

网络安全等级保护测评中运用渗透测试是我国网络安全提倡的方法，可以有效提升系统漏洞检测的准确性，还能够实现全方位、多样性的评估检测，为网络安全等级保护提供有力支撑。通过分析渗透测试在网络安全等级保护测评中的应用，证明了渗透测试可以及时发现安全漏洞，为安全防护提供建议，有效地保障网络安全。

参考文献

[1]顾云,史正林.Web 渗透测试原理和常见方法研究[J].电脑编程技巧与维护,2021(05):152-154.

[2]高立军，姜可.基于等保 2.0 的网络和信息安全保障体系研究[J].产业科技创新,2020,2(26):93-94.

[3]刘智广.渗透测试在网络安全等级保护测评中实施过程及风险[J].电子技术与软件工程,2020(09):250-251.

[4]王世轶,吴江,张辉.渗透测试在网络安全等级保护测评中的应用[J].计算机应用与软件,2018,35(11):190-193.