滲透測試在網(wǎng)絡安全等保測評中的運用

劉俊

（山東新潮信息技術有限公司青島分公司 山東省青島市 266000）

全國網(wǎng)絡安全與信息化工作會議于2018年召開，會議中習近平總書記提出網(wǎng)絡安全的重要性，并且針對網(wǎng)絡安全管理工作提出多項指示。由此可見，互聯(lián)網(wǎng)與計算機技術的安全穩(wěn)定發(fā)展，已經成為促進國家社會穩(wěn)定發(fā)展的重要范疇。在針對計算機網(wǎng)絡的運行安全質量進行研究時，要從多方面入手，并且不斷強化計算機的病毒防御能力，這樣才能對計算機使用者的數(shù)據(jù)信息提供穩(wěn)定保障，促進社會經濟的和諧穩(wěn)定發(fā)展。滲透測試技術作為當前計算機病毒檢測技術的重要組成部分，通過對計算機系統(tǒng)展開多層次、全方位以及立體化的評估，可以使網(wǎng)絡信息的安全性得到大幅度提升，并且在網(wǎng)絡安全等級保護評測工作中也具有重要作用。因此，文章針對滲透測試技術在網(wǎng)絡安全等保測評中的實際應用情況展開分析，對促進滲透測試技術的應用效率具有良好意義。

1 滲透測試技術的原理及實施流程

1.1 滲透測試技術的原理

滲透測試技術指的是以業(yè)界公布的安全漏洞信息針對計算機網(wǎng)絡的運行安全程度進行檢測，同時還要根據(jù)安全等級評定標準，對計算機開展全方位安全評測，這樣可以明確計算機網(wǎng)絡在運行過程中的應用風險，提前制定相應的防治技術。在采用滲透測試技術時，全部要素主要包括網(wǎng)絡系統(tǒng)的主機、系統(tǒng)運行環(huán)境以及數(shù)據(jù)庫等，在滲透測試時，還要堅持兩個基本要求，也就是滲透測試的授權工作與測試監(jiān)督工作，一方面要保證滲透測試工作的合法性與合理性，另一方面要針對滲透測試工作的執(zhí)行過程進行實時監(jiān)控，這樣才能保證滲透測試結果的準確性與可行性，從而使網(wǎng)絡安全等級評測結果更加準確。

1.2 滲透測試技術的實施流程

針對計算機網(wǎng)絡系統(tǒng)進行滲透測試，其流程就是模擬入侵者攻擊的整個過程，通過采用各類網(wǎng)絡攻擊方式對計算機的安全防護體系進行沖擊，以此來綜合判斷計算機網(wǎng)絡系統(tǒng)當前的安全程度。因此，在進行網(wǎng)絡滲透測試時，具體流程如下：

（1）收集信息，針對當前互聯(lián)網(wǎng)中的病毒信息與木馬程序進行收集，并且根據(jù)攻擊程度對各類計算機網(wǎng)絡入侵技術進行分類；

（2）對目標網(wǎng)絡的運行地址進行掃描，結合收集到的入侵進攻手段進行掃描，并且根據(jù)計算機網(wǎng)絡系統(tǒng)可能存在的漏洞隱患進行優(yōu)先測試；

（3）針對計算機網(wǎng)絡系統(tǒng)進行不同種類與不同程度的攻擊測試，如果有遠程端口等重大漏洞則直接控制目標系統(tǒng)，如果有WEB 服務則采取注入的形式尋找防御對策。

（4）針對滲透測試檢測結果進行呈現(xiàn)，在該環(huán)節(jié)中要以測定結果為依據(jù)，其包括的內容主要涉及漏洞結果、測試結果以及評估結果，因此為保證檢測結果的全面性與準確性，需要在滲透測試工作中引進先進的檢測技術，并且對計算機網(wǎng)絡的運行信息進行全面分析，這樣才能使安全等級評定結果更具可行性。

1.3 滲透測試技術的主要使用工具

在采用滲透測試技術時，還要檢測工具進行確認，當前滲透檢測的工具主要包括網(wǎng)絡應用工具、故障診斷工具以及安全掃描工具等，上述工具在可控性方面與安全性方面都具有良好的安全保障。

2 滲透測試技術在網(wǎng)絡安全等保評測工作中的應用價值

2016年美國東海岸地區(qū)遭受了分布式拒絕服務的攻擊，期間導致美國大多數(shù)計算機網(wǎng)絡系統(tǒng)都陷入癱瘓狀態(tài)，并且引發(fā)大量使用者的身份信息被盜取，進而造成無法避免的經濟損失。此外，2017年爆發(fā)的Wanna Crt 病毒，對全球將近150 多個國家都造成不同程度的網(wǎng)絡安全打擊，從而引發(fā)交通、教育、能源、醫(yī)療等行業(yè)的發(fā)展受到嚴重阻礙，這也看出互聯(lián)網(wǎng)安全問題已經愈加重要。尤其是當前互聯(lián)網(wǎng)計算機技術已經成為社會經濟發(fā)展的主要部分，當計算機網(wǎng)絡產生安全問題時，便會直接危害到社會穩(wěn)定與國民利益。

我國于2017年6月出臺的《中華人民共和國網(wǎng)絡安全法》中，針對國家網(wǎng)絡安全問題進行規(guī)范，在該管理條例中，為有效針對計算機網(wǎng)絡安全問題進行防治，將網(wǎng)絡信息系統(tǒng)劃分為多個等級，并且針對各等級提出差異性的防御能力要求與非法入侵檢測能力要求。為響應網(wǎng)絡安全信息等級評測工作的順利開展，滲透測試技術的應用范圍越來越廣泛，并且在網(wǎng)絡安全等級評測工作中具有以下優(yōu)勢：

（1）滲透測試技術可以對網(wǎng)絡安全進行全面評估，并且找出計算機網(wǎng)絡中的潛在漏洞；

（2）從等級保護評測結果來看，滲透測試技術可以對網(wǎng)絡系統(tǒng)安全影響進行綜合評估，在信息時代中具備良好的應用前景。

3 滲透測試技術在網(wǎng)絡安全等保評測工作中的具體實施過程

3.1 根據(jù)網(wǎng)絡安全評測需求制定測試方案

在應用滲透測試技術對計算機網(wǎng)絡進行安全等級檢測時，首先要對計算機的運行情況進行分析，并且結合網(wǎng)絡安全評測工作的要求制定相應的測試方案，為后續(xù)工作提供準確可行的參考依據(jù)。具體為在前期要建立滲透測試工作小組，在獲得授權后，針對實際業(yè)務情況與系統(tǒng)安全規(guī)模展開綜合分析，在方案中要體現(xiàn)出滲透測試目標、內容、方式以及應用工具等。此外，針對網(wǎng)絡安全等級保護評測展開測試可能會產生相應的安全風險問題，因此還要提前針對各類風險問題制定防治措施，以此來保證滲透測試工作的順利開展，為計算機系統(tǒng)的運行提供保障。

3.2 全面采集網(wǎng)絡安全等保測評相關信息

在滲透測試方案明確后，要根據(jù)方案實施規(guī)定對網(wǎng)絡安全等保測評相關信息進行收集與分類管理，通過利用各類操作系統(tǒng)與查找工具，并且在計算機系統(tǒng)掃描工具的幫助下，對計算機當前的運行狀態(tài)進行分析，并且針對計算機網(wǎng)絡中可能存在的安全隱患展開更深層次的分析，例如系統(tǒng)運行層面分析、Web 層面分析等，根據(jù)分析結果進行匯總處理。此外，當計算機系統(tǒng)存在SQL 注入漏洞、遠程接入病毒以及運行故障時，全面采集環(huán)節(jié)要準確分析計算機系統(tǒng)的運行隱患與故障內容，并且針對該環(huán)節(jié)的風險問題制定防治措施，以此來保證數(shù)據(jù)采集環(huán)節(jié)的順利進行。

3.3 科學開展網(wǎng)絡安全等保測評中的滲透檢測技術

結合上述計算機網(wǎng)絡安全測試工作，為準確獲得安全漏洞信息，需要根據(jù)計算機網(wǎng)絡的運行數(shù)據(jù)信息展開安全等保評測，再次對發(fā)現(xiàn)的高危漏洞進行確認，并且針對漏洞問題制定解決策略。對于測試中發(fā)現(xiàn)的嚴重漏洞，可以對其直接利用，以對其可用性展開驗證。例如，當滲透測試技術在系統(tǒng)展開檢測時，發(fā)現(xiàn)系統(tǒng)文件存在共享漏洞，這時可以按照以下步驟執(zhí)行檢測工作：

（1）根據(jù)漏洞類型制定滲透策略，在此環(huán)節(jié)中要對計算機系統(tǒng)的服務權限進行確定，以此來排除不同權限對應的病毒問題，通過對滲透測試途徑進行規(guī)范管理，例如對服務漏洞、掃描漏洞、利用流動、用戶信息分析、遠程控制分析等環(huán)節(jié)進行整合在，這樣可以使?jié)B透測試方案更具可行性。

（2）利用漏洞測試工具對漏洞進行掃描確認，并且對不同種類的漏洞問題進行編號，當遠程Shell 的權限較低時，可以及時判定漏洞問題的性質，這樣便可以判定漏洞允許執(zhí)行遠程操控代碼，計算機安全保護系統(tǒng)可以對其進行評級。

（3）利用漏洞進行數(shù)據(jù)溢出實驗，通過與Shell 控制界面構建聯(lián)系，可以針對遠程操作端與客戶端進行查看，并且建立相應的后門賬戶，期間可以采用口令破解的方式獲取到用戶許可，這樣可以對未知漏洞問題進行評測，并且根據(jù)安全等保評測等級對其進行劃分。

3.4 結合檢測結果制定準確可行的網(wǎng)絡安全測評報告

在計算機網(wǎng)絡的安全等保測評完成后，滲透測試工作還要結合檢測結果制定可行的網(wǎng)絡安全測評報告，并且根據(jù)測試中發(fā)現(xiàn)的安全流動與風險問題對系統(tǒng)存在的潛在隱患問題進行標注。此外，輸出報告中還要對計算機網(wǎng)絡中的現(xiàn)存安全問題提出解決措施與整改意見，從而為計算機網(wǎng)絡安全等保測評工作畫上圓滿句號，可以幫助計算機使用者更加準確了解到計算機網(wǎng)絡的所有運行故障與隱患，提升計算機網(wǎng)絡的安全運行質量。

4 網(wǎng)絡安全等保測評中滲透測試技術的應用風險及應對措施

4.1 滲透測試內容

在開展計算機網(wǎng)絡安全等保測評工作時，由于作業(yè)規(guī)模與作業(yè)量較大，因此在不同環(huán)節(jié)也會產生相應的應用風險。因此，滲透測試技術還要針對各類風險問題制定防治措施。首先是滲透測試內容中的潛在風險問題，例如在測試計算機網(wǎng)絡的合法性時，可以從評審方案入手，并且結合計算機實際運行情況展開階段性的測試。然而，當滲透測試時間選擇不當時，就會對計算機網(wǎng)絡的辦公能力造成直接影響，并且滲透測試的主攻內容也會趨于癱瘓狀態(tài)，無法為正常的計算機辦公提供準確的數(shù)據(jù)支持。因此，為降低滲透測試工作的潛在風險，應該根據(jù)計算機網(wǎng)絡的應用情況選擇合理的測試內容，這樣提前對相關人員進行溝通，避免不必要的工作影響。

4.2 時間問題

在開展計算機網(wǎng)絡安全等保測評工作時，滲透測試工作的時間選擇不當會導致一定的安全風險與系統(tǒng)崩潰，屆時計算機系統(tǒng)無法為辦公人員提供有效的幫助，并且還存在硬件損壞等無法估量的經濟風險。因此，在開展?jié)B透測試工作時，不僅要針對檢測工作的合格性進行研究，同時還要減少滲透測試過程中對信息系統(tǒng)安全造成的各類影響。例如可以借助設備IP 對測試時間進行確定，限定測試IP 段的方式進行滲透測試作業(yè)。這樣可以降低網(wǎng)絡安全評測與企業(yè)正常辦公之間的交叉影響，同時規(guī)避滲透測試引發(fā)的各類網(wǎng)絡風險。

4.3 數(shù)據(jù)安全問題

滲透測試在實際作業(yè)中對于系統(tǒng)內部數(shù)據(jù)的安全性，也會造成一定的影響。因此在實際發(fā)展中進行滲透測試作業(yè)，被測試單位必須落實有效的數(shù)據(jù)備份操作，避免因測試中系統(tǒng)崩潰造成的攻擊數(shù)據(jù)錄入，產生的數(shù)據(jù)覆蓋現(xiàn)象，以此規(guī)避被測試單位在實際測試作業(yè)中的數(shù)據(jù)風險。同時，合理的推進滲透測試作業(yè)的實施，保證網(wǎng)絡安全等保評測方案中的各項措施可以順利實施，這樣才能確保滲透測試作業(yè)的實施質量與效率，為企業(yè)計算機網(wǎng)絡系統(tǒng)的安全穩(wěn)定運行提供合理保障。

5 結論

綜上所述，滲透測試技術在網(wǎng)絡安全等保測評工作中的應用越來越廣泛，通過對計算機網(wǎng)絡的運行安全狀態(tài)進行全方位的檢測，不僅能夠對計算機網(wǎng)絡中的潛在病毒與木馬進行檢測，同時還可以對計算機的安全防御能力進行評測，這樣可以為使用者使用更加準確的計算機網(wǎng)絡系統(tǒng)安全報告。本文以計算機網(wǎng)絡的安全等級保護測評工作為切入點，針對滲透測試技術的實際應用情況進行研究。首先闡述滲透測試技術的原理與實施流程，其次對滲透測試原理在網(wǎng)絡安全等保測評中的作用價值進行分析，再次對網(wǎng)絡安全等保測評中滲透測試技術的執(zhí)行流程進行總結，具體為根據(jù)網(wǎng)絡安全評測需求制定測試方案，全面采集網(wǎng)絡安全等保測評相關信息，科學開展網(wǎng)絡安全等保測評中的滲透檢測技術，結合檢測結果制定準確可行的網(wǎng)絡安全測評報告。這樣才能進一步提升滲透測試技術在網(wǎng)絡安全等保測評中的應用質量，為計算機網(wǎng)絡系統(tǒng)的安全運行提供保障。