浅谈网络安全等级保护的渗透测试流程

渗透测试是网络信息系统安全评估的重要手段，其能在准确把控信息系统抵御网络入侵能力的基础上，规避网络风险，实现信息安全保证。

网络安全等级保护的渗透测试流程分别是测试准备、信息探测、测试实施、报告编制是网络安全等级保护渗透测试的四个基本流程。网络安全管理中，只有规范化的进行这四个层面的全面控制，才能有效的提升渗透测试的准确性，确保网络系统应用安全与质量。

1.  渗透测试准备阶段控制

前期准备过程中，获取测试目标所在单位的书面授权是测试人员准备的首要内容。当获取书面授权后，可根据具体的测试对象进行方法设计，做好测试人员、事件、工具和范围的合理规划，同时规范化的进行测试方案编制，并与网络系统所述单位进行沟通，确保测试过程切实可行和风险最小。 最后，和目标单位建立渗透测试联动管控小组，准备进行网络系统测试全过程的监督管理，进而为网络系统渗透测试奠定良好基础。

2.  网络系统的信息探测

网络信息系统开始渗透测试时，应在网络安全法等文件的支持下，对信息系统的相关信息进行收集。通常情况下，商业或者开源的安全评估工具是网络系统信息收集的主要方式，同时其收集的对象包含 Webinspect、APP-scan、Nessus、Nmap 等内容。当测试人员获取这些信息后，应结合其实际情况，对目标系统端口、服务、 IP、DNS、OS 等信息进行整理，为下一节段的测试做好准备。

3. 网络系统渗透测试实施

渗透测试实施是网络系统安全等级检查的核心环节。 该阶段，测试人员会在前期分析结果的基础上，进行网络渗透策略编制，然后利用攻击代码、研究机制等方式，对网络系统的内网和外网进行检测。就内网检测而言，避开以防火墙为代表的安全防护措施是渗透测试的主要目的；该环节如能成功，则测试人员可以获得一定操作权限，并在已控制服务器的支持下，对其它目标进行渗透测试，最终结合实际的测试结果对网络系统所述单位内网的安全性进行评估。而在外网检查中，其测试流程与内网测试具有相似性，所不同的是，其对信息系统的检测主要是在互联网设备的支撑下完成的。

4. 渗透测试报告编制

为实现渗透测试检测结果的清晰化显示，当网络安全等级渗透测试完成后，测试人员应进行渗透策测试报告的严格编制。通常，渗透测试报告包含了测试结果、漏洞结果评估和整改建议三个方面。 需注意的是，测试结果、和漏洞结果评估的过程需具有充分、全面、准确；同时整改意见要具有一定的科学性和可行性，继而更好的满足等级保护要求，确保被测试系统安全、 稳定运行。