宣傳國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)政策及網(wǎng)絡(luò)安全相關(guān)法律法規(guī)，分享最新行業(yè)動(dòng)態(tài)、前沿知識(shí)，致力搭建全國(guó)性交流平臺(tái)。

　　“網(wǎng)絡(luò)安全的本質(zhì)是攻防對(duì)抗，對(duì)抗的本質(zhì)在攻防兩端能力較量”，在網(wǎng)絡(luò)空間中，網(wǎng)絡(luò)安全問(wèn)題就像‘幽靈’一樣，常常是來(lái)自未知威脅。滲透測(cè)試作為一種通過(guò)模擬使用黑客的技術(shù)和方法，挖掘目標(biāo)系統(tǒng)的安全漏洞，取得系統(tǒng)的控制權(quán)，訪問(wèn)系統(tǒng)的機(jī)密數(shù)據(jù)，并發(fā)現(xiàn)可能影響業(yè)務(wù)持續(xù)運(yùn)作安全隱患的一種安全測(cè)試和評(píng)估方式，對(duì)提前感知網(wǎng)絡(luò)和信息系統(tǒng)可能存在的漏洞、風(fēng)險(xiǎn)或威脅有著重要的作用。

　　網(wǎng)絡(luò)安全等級(jí)保護(hù)作為國(guó)家的一項(xiàng)基本制度，網(wǎng)絡(luò)運(yùn)營(yíng)者開(kāi)展等級(jí)測(cè)評(píng)工作是檢驗(yàn)網(wǎng)絡(luò)和信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力，發(fā)現(xiàn)網(wǎng)絡(luò)和信息系統(tǒng)可能存在的安全風(fēng)險(xiǎn)以及規(guī)避網(wǎng)絡(luò)安全風(fēng)險(xiǎn)被威脅利用的可能性。在開(kāi)展等級(jí)測(cè)評(píng)工作時(shí)，“訪談”、“核查”等測(cè)評(píng)方法得到的符合性測(cè)評(píng)結(jié)果具有一定的主觀不確定性，而工具測(cè)試（滲透測(cè)試和漏洞掃描）是發(fā)現(xiàn)和驗(yàn)證網(wǎng)絡(luò)信息系統(tǒng)安全風(fēng)險(xiǎn)的重要手段，且能夠?qū)Ψ闲詸z查結(jié)果進(jìn)行有力補(bǔ)充。

　　根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度相關(guān)要求，網(wǎng)絡(luò)安全保護(hù)等級(jí)為第三級(jí)以上（含第三級(jí)）的信息系統(tǒng)，在進(jìn)行等級(jí)測(cè)評(píng)時(shí)必須實(shí)施滲透測(cè)試，那么究竟該如何在等級(jí)測(cè)評(píng)工作中開(kāi)展?jié)B透測(cè)試工作，又該如何規(guī)范化等級(jí)測(cè)評(píng)過(guò)程中的滲透測(cè)試行為？

　　一、滲透測(cè)試的必要性

　　滲透測(cè)試是檢測(cè)、評(píng)估網(wǎng)絡(luò)和信息系統(tǒng)安全能力的有效方法，可以直觀地讓網(wǎng)絡(luò)運(yùn)營(yíng)者了解其所管理（運(yùn)營(yíng)）的網(wǎng)絡(luò)和信息系統(tǒng)面臨哪些安全問(wèn)題。此外，滲透測(cè)試還可以彌補(bǔ)其他評(píng)估方法的不足，發(fā)現(xiàn)深層次、較復(fù)雜的網(wǎng)絡(luò)安全問(wèn)題。在開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程中，滲透測(cè)試的主要功能有：

　　● 滲透測(cè)試可有效檢測(cè)網(wǎng)絡(luò)和信息系統(tǒng)已采取安全措施是否真實(shí)有效，安全策略和安全狀態(tài)是否達(dá)到網(wǎng)絡(luò)運(yùn)營(yíng)者的預(yù)期，是否能有效阻擋可能存在的威脅；

　　● 滲透測(cè)試可直觀反映出網(wǎng)絡(luò)和信息系統(tǒng)中存在的安全漏洞，有助于網(wǎng)絡(luò)運(yùn)營(yíng)者進(jìn)行針對(duì)性地修復(fù)控制，提前降低或規(guī)避安全漏洞被利用地風(fēng)險(xiǎn)；

　　● 實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全影響因素的全面評(píng)估，驗(yàn)證“符合性”評(píng)估結(jié)論的準(zhǔn)確性，增加等級(jí)測(cè)評(píng)結(jié)果的可信度；

　　● 滲透測(cè)試的結(jié)果可作為內(nèi)部安全意識(shí)培訓(xùn)的案例，在對(duì)相關(guān)的接口人員進(jìn)行安全教育時(shí)使用。

　　滲透測(cè)試幫助網(wǎng)絡(luò)運(yùn)營(yíng)者更好地檢驗(yàn)經(jīng)過(guò)安全防護(hù)后的網(wǎng)絡(luò)和信息系統(tǒng)是否真正的達(dá)到了預(yù)期安全防護(hù)目標(biāo)、遵循了安全策略、符合安全合規(guī)的要求。滲透測(cè)試作為“以測(cè)驗(yàn)防”的有效手段，為網(wǎng)絡(luò)運(yùn)營(yíng)者提供了有效的安全防護(hù)思路，變被動(dòng)防護(hù)為主動(dòng)防護(hù)，可驗(yàn)證落實(shí)等級(jí)保護(hù)制度所建立的“安全技術(shù)”+“安全管理”體系的有效性與合理性，助力網(wǎng)絡(luò)運(yùn)營(yíng)者健全安全建設(shè)體系。

　　二、滲透測(cè)試流程

　　滲透測(cè)試的流程主要包括前期準(zhǔn)備、實(shí)施測(cè)試、復(fù)測(cè)實(shí)施以及測(cè)試結(jié)果匯總四個(gè)階段。

　　第一階段，滲透測(cè)試前期準(zhǔn)備階段。

　　該階段主要目的是為保證滲透測(cè)試順利實(shí)施而采取的準(zhǔn)備性工作，工作內(nèi)容包括滲透測(cè)試技術(shù)溝通、確定測(cè)試時(shí)間與測(cè)試對(duì)象、簽署授權(quán)書(shū)并提交測(cè)試人員IP及相關(guān)信息等。這一階段，簽訂授權(quán)書(shū)是重中之重，只有在獲得被測(cè)對(duì)象運(yùn)營(yíng)者的書(shū)面授權(quán)后，才能開(kāi)始著手編制規(guī)范的測(cè)試方案。測(cè)試人員才能夠利用提交的IP對(duì)約定的測(cè)試的對(duì)象在規(guī)定的測(cè)試時(shí)間內(nèi)進(jìn)行測(cè)試工作。此外，監(jiān)督管理也是在這一階段的一項(xiàng)重要內(nèi)容。在展開(kāi)此項(xiàng)工作時(shí)，可與相關(guān)單位進(jìn)行溝通，以對(duì)測(cè)試過(guò)程的可行性與風(fēng)險(xiǎn)性保持最小。同時(shí)，還可通過(guò)建立聯(lián)動(dòng)管控小組，以實(shí)施全過(guò)程監(jiān)督。

　　第二階段，測(cè)試階段實(shí)施。

　　本階段首先進(jìn)行信息探測(cè)收集，在進(jìn)行信息探測(cè)時(shí)，滲透測(cè)試人員利用各種信息來(lái)源與搜集技術(shù)方法，嘗試獲取更多關(guān)于目標(biāo)測(cè)試對(duì)象的網(wǎng)絡(luò)拓?fù)?、系統(tǒng)配置與安全防護(hù)措施等信息。情報(bào)搜集是否充分對(duì)后續(xù)滲透測(cè)試工作開(kāi)展的成敗具有決定性的作用。在完成信息收集和分析后，滲透測(cè)試人員開(kāi)展?jié)B透測(cè)試活動(dòng)，在這一環(huán)節(jié)中，滲透測(cè)試人員需要利用他們所挖掘到的目標(biāo)系統(tǒng)安全漏洞，來(lái)入侵系統(tǒng)當(dāng)中，獲得訪問(wèn)控制權(quán)。當(dāng)然，在網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)工作中，是在已獲取部分信息的前提下進(jìn)行滲透測(cè)試，并在利用發(fā)現(xiàn)的漏洞時(shí)，證明其可被利用即可，輸出并提交相關(guān)報(bào)告給網(wǎng)絡(luò)運(yùn)營(yíng)者。

　　第三階段，復(fù)測(cè)實(shí)施階段。

　　針對(duì)上一階段測(cè)試發(fā)現(xiàn)的安全問(wèn)題在整改完成后進(jìn)行二次測(cè)試，驗(yàn)證前次發(fā)現(xiàn)的安全問(wèn)題所采取的安全整改措施是否有效。在完成本階段滲透測(cè)試工作后，需提交復(fù)測(cè)報(bào)告，并對(duì)報(bào)告內(nèi)容進(jìn)行有效溝通，確認(rèn)滲透測(cè)試結(jié)果。

　　第四階段，測(cè)試結(jié)果匯總階段。

　　本階段是檢測(cè)結(jié)果呈現(xiàn)階段，在這一階段，需嚴(yán)格以測(cè)試結(jié)果為依據(jù)，對(duì)測(cè)試報(bào)告進(jìn)行規(guī)范編制，其包括的內(nèi)容主要涉及測(cè)試結(jié)果、漏洞結(jié)果評(píng)估以及整改建議。該階段需注意的是測(cè)試人員需將結(jié)果準(zhǔn)確且全面地呈現(xiàn)出來(lái)。對(duì)于滲透測(cè)試發(fā)現(xiàn)的問(wèn)題進(jìn)行科學(xué)、合理的分析，結(jié)合網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求，提出有效可執(zhí)行的整改建議，保證被測(cè)試的系統(tǒng)可以穩(wěn)定且安全地運(yùn)行。

　　三、滲透測(cè)試中行為規(guī)范化

　　在開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)工作時(shí)，滲透測(cè)試作為第三級(jí)及以上網(wǎng)絡(luò)和信息系統(tǒng)必須開(kāi)展的活動(dòng)，滲透測(cè)試人員在開(kāi)展測(cè)試工作時(shí)，應(yīng)了解相關(guān)法律法規(guī)要求，規(guī)范化自我行為。

　　《網(wǎng)絡(luò)安全法》第二十七條 規(guī)定：

　　任何個(gè)人和組織不得從事非法侵入他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動(dòng)；不得提供專門(mén)用于從事侵入網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能及防護(hù)措施、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全活動(dòng)的程序、工具；明知他人從事危害網(wǎng)絡(luò)安全的活動(dòng)的，不得為其提供技術(shù)支持、廣告推廣、支付結(jié)算等幫助。

　　在《網(wǎng)絡(luò)安全法》 第六十三條規(guī)定違反本法第二十七條規(guī)定，承擔(dān)下列責(zé)任：

　　1、行政責(zé)任：尚不構(gòu)成犯罪的，由公安機(jī)關(guān)沒(méi)收違法所得，處五日以下拘留，可以并處一萬(wàn)元以上十萬(wàn)元以下罰款；情節(jié)較重的，處五日以上十五日以下拘留，可以并處五萬(wàn)元以上五十萬(wàn)元以下罰款。

　　2、單位有前款規(guī)定行為的，由公安機(jī)關(guān)沒(méi)收違法所得，處十萬(wàn)元以上五十萬(wàn)元以下罰款，并對(duì)其直接負(fù)責(zé)的主管人員和其他責(zé)任人員依照前款規(guī)定處罰。

　　3、禁入規(guī)則：受到治安管理處罰的人員，五年內(nèi)不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營(yíng)關(guān)鍵崗位的工作；受到刑事處罰的人員，終身不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營(yíng)關(guān)鍵崗位的工作。

　　基于網(wǎng)絡(luò)安全法律法規(guī)的相關(guān)要求，為規(guī)范化滲透測(cè)試人員行為，應(yīng)注意下列事宜：

　　● 開(kāi)展?jié)B透測(cè)試必須在經(jīng)授權(quán)的情形下，利用約定的人員信息（如IP、人員真實(shí)身份）開(kāi)始滲透測(cè)試工作；

　　● 滲透測(cè)試時(shí)間必須在客戶授權(quán)的時(shí)間內(nèi)，且測(cè)試對(duì)象必須是客戶授權(quán)范圍內(nèi)的；

　　● 在滲透測(cè)試過(guò)程中，杜絕因“好奇心”或“操作不當(dāng)”竊取或篡改客戶數(shù)據(jù)；

　　● 對(duì)于滲透測(cè)試中發(fā)現(xiàn)的客戶系統(tǒng)漏洞，應(yīng)該及時(shí)聯(lián)系客戶修復(fù)，切勿對(duì)外公布；

　　● 開(kāi)展?jié)B透測(cè)試過(guò)程中，切勿將帶有惡意代碼的程序?qū)δ繕?biāo)系統(tǒng)進(jìn)行“試探性”攻擊；

　　● 對(duì)于開(kāi)展?jié)B透測(cè)試所獲取的信息應(yīng)遵循《保密法》及相關(guān)保密約定，禁止非法泄露任何獲取到的信息；

　　● 在滲透測(cè)試結(jié)束后，對(duì)工作中獲取的信息進(jìn)行及時(shí)歸檔、清除，防止因操作不當(dāng)導(dǎo)致信息非法泄露。

　　在開(kāi)展等級(jí)測(cè)評(píng)工作中，一定程度上，測(cè)試工具及方法的使用會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行造成一定影響，加大設(shè)備運(yùn)行的風(fēng)險(xiǎn)性。因此，在滲透測(cè)試過(guò)程中，應(yīng)注重滲透風(fēng)險(xiǎn)的有效評(píng)估和規(guī)避，而不應(yīng)“系統(tǒng)存在高風(fēng)險(xiǎn)漏洞”而放棄滲透測(cè)試。

　　滲透測(cè)試中風(fēng)險(xiǎn)控制的方法有：

　　● 應(yīng)確保滲透測(cè)試的評(píng)審方案獲得雙方認(rèn)可，確保網(wǎng)絡(luò)安全等級(jí)測(cè)試的合法性；

　　● 測(cè)試過(guò)程中應(yīng)注重測(cè)試時(shí)間和范圍的嚴(yán)格控制，同時(shí)測(cè)試人員應(yīng)和被測(cè)單位建立高效化的溝通機(jī)制，避免滲透測(cè)試對(duì)目標(biāo)單位的業(yè)務(wù)開(kāi)展造成影響；

　　● 為避免測(cè)試潛在風(fēng)險(xiǎn)發(fā)生，應(yīng)減少核心業(yè)務(wù)系統(tǒng)的滲透測(cè)試數(shù)量，避免發(fā)生業(yè)務(wù)系統(tǒng)損傷，可在部署環(huán)境一致或類似的系統(tǒng)中開(kāi)展?jié)B透測(cè)試工作。

　　“焉知攻，未知防”，滲透測(cè)試作為檢驗(yàn)網(wǎng)絡(luò)信息系統(tǒng)安全防護(hù)能力有效性的重要手段，同時(shí)也便于網(wǎng)絡(luò)運(yùn)營(yíng)者了解攻擊者可能發(fā)起的攻擊路徑（可能被利用地風(fēng)險(xiǎn)）。在開(kāi)展網(wǎng)絡(luò)安全等級(jí)工作中，滲透測(cè)試具有重要的意義，可有效地強(qiáng)化網(wǎng)絡(luò)和信息系統(tǒng)基礎(chǔ)安全防護(hù)能力，盡可能地規(guī)避安全風(fēng)險(xiǎn)，同時(shí)可助力網(wǎng)絡(luò)運(yùn)營(yíng)者實(shí)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)“零事故”，但在開(kāi)展?jié)B透測(cè)試過(guò)程中，各參與方應(yīng)積極規(guī)范化自我行為，確保滲透測(cè)試工作順利進(jìn)行，發(fā)揮其應(yīng)有的價(jià)值。