渗透测试在网络安全等级保护测评中的应用

渗透测试在网络安全等级保护测评中的应用

张媛 谭宽 蒋莹

云南电网有限责任公司红河供电局

摘要：本文首要介绍了渗透测试理论，并针对其在网络安全等级保护测评中的应用重要性进行了阐述，希望能加强人们对渗透测试的认知。同时，在上述基础上，进一步展示了渗透测试的具体实施过程与风险应对措施，以期为渗透测试在网络安全等级保护测评中的有效应用，带来参考建议。

关键词：渗透测试；网络安全；等级；保护测评；应用

引言：随着现代信息技术不断发展，网络安全等级保护测评工作重要性日渐突出。但是，常受多种因素影响，导致其效率相对低下，直接影响测试结果，威胁网络安全。在网络安全等级保护测评中，渗透测试可通过立体化、多层次评估，全面保障网络信息安全性。

一、渗透测试理论概述

何为渗透测试，主要指参照业界公布的安全漏洞信息及参数，应用攻击者及黑客思维方法，发挥手工方式优势或自动化设备优势，全方位探测网络信息中的各种要素，发现系统控制中的薄弱环节，从而针对其进行有效的管理与控制。在渗透测试时，应坚持“测试授权”及“测试监督”这两个基本要求。其中，测试授权主要指测试人员的所有测试过程，都要处于被监督被管理的状态。在具体执行渗透测试工作时，应立足上述要求，全面探测系统薄弱环节，并检验其有效性，以避免后续出现渗透操作问题，全面提升系统应用的规范性与安全性。有关渗透测试的流程，涵盖诸多探测信息及执行测试内容，具体如流程图1所示。其中，测试准备需要得到单位授权的书面认可，在这之后才能参加渗透测试，与单位具体人员、测试方法、时间安排等内容相互挂钩，针对潜在测试风险展开全面分析，最终获得单位认可，在信息探测时，参照测试范围，针对系统信息加以采集，选择开源评估工具及商业评估工具，全面整理DNS信息及IP信息，以便为后期全面性渗透测试提供便利。

图1 渗透测试流程图

二、渗透测试应用于网络安全等级保护测评中的必要性

早在2017年，便发生了“Wanna Cry”勒索病毒，针对全球上百个国家医疗行业、教育行业等都带来了重大影响。由此一来，人们格外关注网络安全，并针对这方面内容产生了深刻认知。我国在2017年6月，颁布《网络安全法》，全面规范了国家网络安全管理。在相关法律文件中，将不同的网络信息系统划分成了不同的等级，并提高了非法入侵检测能力、恶意攻击能力与防御能力。在网络安全控制时，网络安全等级保护测评极其重要，将渗透测试应用于保护测评时，便可针对阶安全属性进行评估，发现系统中存在的漏洞，从而针对漏洞进行修复及控制。此外，在应用渗透测试时，还会针对影响系统安全的要素做出评估，不断提升等级保护能力。总之，生活在信息化社会，加强网络安全等级保护时全面应用渗透测试，已经成为了大势所趋。

三、渗透测试在网络安全等级保护测评中的实施过程

在这次研究时，将渗透测试应用在某单位三级系统测试中，说明渗透系统在网络安全等级保护测评中的具体实施过程，在渗透测试实验时，主要针对用户WEB系统进行测试。

（一）制定方案

在正式测试前期，与某单位共同创建了“渗透测试小组”，取得授权后，参照系统规模和具体的业务情况拟定渗透测试方案，在该方案中主要包含测试计划工具及方法，并且预测了渗透测试时极有可能会产生的风险，做出了风险规避方案^[1]。

（二）信息搜集

在搜集信息之际，需要共同使用不同的系统及工具，如MMAP与扫描工具等。在应用扫描工具时，系统和开放139端口、80端口、445端口等，结合扫描结果，作出深入性分析，针对系统层面及WEB层面做出详细剖析。在分析后，发现系统存在一定漏洞，如文件共享漏洞，远程接入漏洞等，这便为日后制定行之有效的处理方案奠定了基石。

（三）实施测试

在结合上述测试工作的基础上，检查安全漏洞内容，结合具体情况和系统特征，再次确认漏洞，并拟定测试方案。针对测试时出现的高危漏洞，还需要验证其可用性。例如，某单位系统进行渗透测试时，发现存在“文件共享漏洞”，在具体实施测试时，便可按照下面四个步骤进行：①制定渗透策略，在这一步骤中需要获取服务器控制权，并规范实施途径，具体实施途径为扫描漏洞、服务漏洞、利用漏洞，进行远程的Shell获取。如果远程Shell获取权限偏低，则应努力提权，并创建用户。②使用漏洞工具明确扫描出来的漏洞，并针对其展开编号，明确漏洞性质为“文件共享服务漏洞”。③获取Shell控制界面，严格执行具体命令，查看用户及用户组内容^[2]。④创建后门账户，获得用户许可。⑸就应该制定完善的风险应对策略了，坚持以口令破解测试为核心内容，将风险等级列为中等风险，并预估其可能对网络性能带来的影响，从而设置控制方法，有效抑制风险。

（四）输出报告

在结束渗透测试工作后，应全面整理与总结测试工作内容与相关成果，参照测试时出现的风险及安全漏洞，进一步明确测试系统内存在的问题，并通过书面形式表达问题。与此同时，面对测试存在的各种问题时，应提出有效的整改建议，这才是输出渗透测试报告的重点所在

^[3]。

四、网络安全等级保护测评中渗透测试应用风险的应对策略

在应用渗透测试时，应注重风险控制，有关风险控制的关键内容，包含测试合法性、测试时间风险以及其他风险，应针对具体风险提出有效的应对措施，从而达到降低风险的效果。

①在测试合法性这一风险时，应注重评审方案，通过制定测试方案及签署委托书等，获得双方的同意与认可，从而增强合法性。

②在时间风险应对方面，需要结合具体情况，选择业务量偏低的时间或者是夜晚时间段进行测试，从而减少测试对业务生产带来的不利影响。

③需要科学选择攻击策略，针对一些实时性偏高、要求偏高的核心业务，如DDOS类等，则不宜深入测试。换言之，在精选攻击策略之际，就应进行科学推测，并注重分析结果，，以便选择最佳的策略^[4]。

④在系统备份以及系统恢复工作阶段，需要做好完整的备份工作，以确保在问题出现之际，能及时修复问题，恢复核心业务数据。为此，就需要针对备份系统做出渗透测试。

⑤要不断完善应急策略，在具体渗透测试时，针对被测系统进行响应，如果出现缓慢响应及中断响应等状况，就应及时停止，并加强故障处置，在处理后得到授权了，才可继续进行测试。

⑥为了有效降低沟通风险，则可通过创建关系人联络表等方式，针对测试中出现的问题进行高效沟通。

结束语：综上所述，在网络安全等级保护测试时，全面应用渗透测试，不只是自身系统提出的要求，同时也极其符合国家安全需求。在应用渗透测试后，可有效弥补传统测试方法的效率低及偏差大等问题，并且能进一步提高传统测试方法精准度。此外，渗透测试还能全面性、立体化、多维度评估，这极其符合网络安全等级保护测试中的具体要求。参照渗透测试报告，便可采取适宜措施，积极控制网络风险，全面保障网络安全。

参考文献：

[1]陈跃辉.渗透测试在网络安全等级保护测评中的应用探讨[J].网络安全和信息化,2021(07):36-38.

[2]李劲雄.网络安全等级保护测评中渗透测试的应用[J].网络安全技术与应用,2021(03):9-11.

[3]刘智广.渗透测试在网络安全等级保护测评中实施过程及风险[J].电子技术与软件工程,2020(09):250-251.

[4]陈旭壮.浅谈渗透测试在网络安全等级保护测评中的应用[J].中国新通信,2020,22(05):103-104.