网络安全等级保护的渗透测试

实际检测中测试人员会站在网络攻击者的角度，然后在工具及手工方式的支撑下，对网络信息进行全要素分析；网络系统主机、网络环境、应用过程、数据库等都是其检测的主要内容。通过分析这些测试要素的检测结果，测试人员可以有效的发现网络系统运行中的薄弱环节，并进行控制管理。 

网络安全等级保护渗透测试中，测试授权和测试监督是渗透测试的两个基本要求；即测试人员的所有检测行为必须由用户进行书面授权，同时进行测试全过程的监督管理。从检查过程来看，渗透测试授权和监督的根本目的在于系统性、全面性、真实性的发现信息系统中的薄弱环节，并对系统的可用性进行验证，同时防止后续渗透操作的发生；以此来保证网络信息系统应用的安全性、规范性。 

网络安全等级保护的渗透测试流程包括测试准备、信息探测、测试实施、报告编制是网络安全等级保护渗透测试的四个基本流程。网络安全管理中，只有规范化的进行这四个层面的全面控制，才能有效的提升渗透测试的准确性，确保网络系统应用安全与质量。

1、渗透测试准备阶段控制

前期准备过程中，获取测试目标所在单位的书面授权是测试人员准备的首要内容。当获取书面授权后，可根据具体的测试对象进行方法设计，做好测试人员、事件、工具和范围的合理规划，同时规范化的进行测试方案编制，并与网络系统所述单位进行沟通，确保测试过程切实可行和风险最小。 最后，和目标单位建立渗透测试联动管控小组，准备进行网络系统测试全过程的监督管理，进而为网络系统渗透测试奠定良好基础。

2、网络系统的信息探测 

网络信息系统开始渗透测试时，应在相关文件的支持下，对信息系统的相关信息进行收集。通常情况下，商业或者开源的安全评估工具是网络系统信息收集的主要方式，同时其收集的对象包含 Webinspect、APP-scan、Nessus、Nmap 等内容。当测试人员获取这些信息后，应结合其实际情况，对目标系统端口、服务、 IP、DNS、OS 等信息进行整理，为下一节段的测试做好准备。 

3、网络系统渗透测试实施 

渗透测试实施是网络系统安全等级检查的核心环节。 该阶段，测试人员会在前期分析结果的基础上，进行网络渗透策略编制，然后利用攻击代码、研究机制等方式，对网络系统的内网和外网进行检测。就内网检测而言，避开以防火墙为代表的安全防护措施是渗透测试的主要目的；该环节如能成功，则测试人员可以获得一定操作权限，并在已控制服务器的支持下，对其它目标进行渗透测试，最终结合实际的测试结果对网络系统所述单位内网的安全性进行评估。而在外网检查中，其测试流程与内网测试具有相似性，所不同的是，其对信息系统的检测主要是在互联网设备的支撑下完成的。

4、渗透测试报告编制 

为实现渗透测试检测结果的清晰化显示，当网络安全等级渗透测试完成后，测试人员应进行渗透策测试报告的严格编制。通常，渗透测试报告包含了测试结果、漏洞结果评估和整改建议三个方面。 需注意的是，测试结果、和漏洞结果评估的过程需具有充分、全面、准确；同时整改意见要具有一定的科学性和可行性，继而更好的满足等级保护要求，确保被测试系统安全、稳定运行。