宣傳國家網(wǎng)絡(luò)安全等級保護政策及網(wǎng)絡(luò)安全相關(guān)法律法規(guī)，分享最新行業(yè)動態(tài)、前沿知識，致力搭建全國性交流平臺。

　　“網(wǎng)絡(luò)安全的本質(zhì)是攻防對抗，對抗的本質(zhì)在攻防兩端能力較量”，在網(wǎng)絡(luò)空間中，網(wǎng)絡(luò)安全問題就像‘幽靈’一樣，常常是來自未知威脅。滲透測試作為一種通過模擬使用黑客的技術(shù)和方法，挖掘目標(biāo)系統(tǒng)的安全漏洞，取得系統(tǒng)的控制權(quán)，訪問系統(tǒng)的機密數(shù)據(jù)，并發(fā)現(xiàn)可能影響業(yè)務(wù)持續(xù)運作安全隱患的一種安全測試和評估方式，對提前感知網(wǎng)絡(luò)和信息系統(tǒng)可能存在的漏洞、風(fēng)險或威脅有著重要的作用。

　　網(wǎng)絡(luò)安全等級保護作為國家的一項基本制度，網(wǎng)絡(luò)運營者開展等級測評工作是檢驗網(wǎng)絡(luò)和信息系統(tǒng)的網(wǎng)絡(luò)安全防護能力，發(fā)現(xiàn)網(wǎng)絡(luò)和信息系統(tǒng)可能存在的安全風(fēng)險以及規(guī)避網(wǎng)絡(luò)安全風(fēng)險被威脅利用的可能性。在開展等級測評工作時，“訪談”、“核查”等測評方法得到的符合性測評結(jié)果具有一定的主觀不確定性，而工具測試（滲透測試和漏洞掃描）是發(fā)現(xiàn)和驗證網(wǎng)絡(luò)信息系統(tǒng)安全風(fēng)險的重要手段，且能夠?qū)Ψ闲詸z查結(jié)果進行有力補充。

　　根據(jù)網(wǎng)絡(luò)安全等級保護制度相關(guān)要求，網(wǎng)絡(luò)安全保護等級為第三級以上（含第三級）的信息系統(tǒng)，在進行等級測評時必須實施滲透測試，那么究竟該如何在等級測評工作中開展?jié)B透測試工作，又該如何規(guī)范化等級測評過程中的滲透測試行為？

　　一、滲透測試的必要性

　　滲透測試是檢測、評估網(wǎng)絡(luò)和信息系統(tǒng)安全能力的有效方法，可以直觀地讓網(wǎng)絡(luò)運營者了解其所管理（運營）的網(wǎng)絡(luò)和信息系統(tǒng)面臨哪些安全問題。此外，滲透測試還可以彌補其他評估方法的不足，發(fā)現(xiàn)深層次、較復(fù)雜的網(wǎng)絡(luò)安全問題。在開展網(wǎng)絡(luò)安全等級保護測評過程中，滲透測試的主要功能有：

　　● 滲透測試可有效檢測網(wǎng)絡(luò)和信息系統(tǒng)已采取安全措施是否真實有效，安全策略和安全狀態(tài)是否達到網(wǎng)絡(luò)運營者的預(yù)期，是否能有效阻擋可能存在的威脅；

　　● 滲透測試可直觀反映出網(wǎng)絡(luò)和信息系統(tǒng)中存在的安全漏洞，有助于網(wǎng)絡(luò)運營者進行針對性地修復(fù)控制，提前降低或規(guī)避安全漏洞被利用地風(fēng)險；

　　● 實現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全影響因素的全面評估，驗證“符合性”評估結(jié)論的準(zhǔn)確性，增加等級測評結(jié)果的可信度；

　　● 滲透測試的結(jié)果可作為內(nèi)部安全意識培訓(xùn)的案例，在對相關(guān)的接口人員進行安全教育時使用。

　　滲透測試幫助網(wǎng)絡(luò)運營者更好地檢驗經(jīng)過安全防護后的網(wǎng)絡(luò)和信息系統(tǒng)是否真正的達到了預(yù)期安全防護目標(biāo)、遵循了安全策略、符合安全合規(guī)的要求。滲透測試作為“以測驗防”的有效手段，為網(wǎng)絡(luò)運營者提供了有效的安全防護思路，變被動防護為主動防護，可驗證落實等級保護制度所建立的“安全技術(shù)”+“安全管理”體系的有效性與合理性，助力網(wǎng)絡(luò)運營者健全安全建設(shè)體系。

　　二、滲透測試流程

　　滲透測試的流程主要包括前期準(zhǔn)備、實施測試、復(fù)測實施以及測試結(jié)果匯總四個階段。

　　第一階段，滲透測試前期準(zhǔn)備階段。

　　該階段主要目的是為保證滲透測試順利實施而采取的準(zhǔn)備性工作，工作內(nèi)容包括滲透測試技術(shù)溝通、確定測試時間與測試對象、簽署授權(quán)書并提交測試人員IP及相關(guān)信息等。這一階段，簽訂授權(quán)書是重中之重，只有在獲得被測對象運營者的書面授權(quán)后，才能開始著手編制規(guī)范的測試方案。測試人員才能夠利用提交的IP對約定的測試的對象在規(guī)定的測試時間內(nèi)進行測試工作。此外，監(jiān)督管理也是在這一階段的一項重要內(nèi)容。在展開此項工作時，可與相關(guān)單位進行溝通，以對測試過程的可行性與風(fēng)險性保持最小。同時，還可通過建立聯(lián)動管控小組，以實施全過程監(jiān)督。

　　第二階段，測試階段實施。

　　本階段首先進行信息探測收集，在進行信息探測時，滲透測試人員利用各種信息來源與搜集技術(shù)方法，嘗試獲取更多關(guān)于目標(biāo)測試對象的網(wǎng)絡(luò)拓撲、系統(tǒng)配置與安全防護措施等信息。情報搜集是否充分對后續(xù)滲透測試工作開展的成敗具有決定性的作用。在完成信息收集和分析后，滲透測試人員開展?jié)B透測試活動，在這一環(huán)節(jié)中，滲透測試人員需要利用他們所挖掘到的目標(biāo)系統(tǒng)安全漏洞，來入侵系統(tǒng)當(dāng)中，獲得訪問控制權(quán)。當(dāng)然，在網(wǎng)絡(luò)安全等級測評工作中，是在已獲取部分信息的前提下進行滲透測試，并在利用發(fā)現(xiàn)的漏洞時，證明其可被利用即可，輸出并提交相關(guān)報告給網(wǎng)絡(luò)運營者。

　　第三階段，復(fù)測實施階段。

　　針對上一階段測試發(fā)現(xiàn)的安全問題在整改完成后進行二次測試，驗證前次發(fā)現(xiàn)的安全問題所采取的安全整改措施是否有效。在完成本階段滲透測試工作后，需提交復(fù)測報告，并對報告內(nèi)容進行有效溝通，確認滲透測試結(jié)果。

　　第四階段，測試結(jié)果匯總階段。

　　本階段是檢測結(jié)果呈現(xiàn)階段，在這一階段，需嚴格以測試結(jié)果為依據(jù)，對測試報告進行規(guī)范編制，其包括的內(nèi)容主要涉及測試結(jié)果、漏洞結(jié)果評估以及整改建議。該階段需注意的是測試人員需將結(jié)果準(zhǔn)確且全面地呈現(xiàn)出來。對于滲透測試發(fā)現(xiàn)的問題進行科學(xué)、合理的分析，結(jié)合網(wǎng)絡(luò)安全等級保護的要求，提出有效可執(zhí)行的整改建議，保證被測試的系統(tǒng)可以穩(wěn)定且安全地運行。

　　三、滲透測試中行為規(guī)范化

　　在開展網(wǎng)絡(luò)安全等級保護工作時，滲透測試作為第三級及以上網(wǎng)絡(luò)和信息系統(tǒng)必須開展的活動，滲透測試人員在開展測試工作時，應(yīng)了解相關(guān)法律法規(guī)要求，規(guī)范化自我行為。

　　《網(wǎng)絡(luò)安全法》第二十七條 規(guī)定：

　　任何個人和組織不得從事非法侵入他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動；不得提供專門用于從事侵入網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能及防護措施、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全活動的程序、工具；明知他人從事危害網(wǎng)絡(luò)安全的活動的，不得為其提供技術(shù)支持、廣告推廣、支付結(jié)算等幫助。

　　在《網(wǎng)絡(luò)安全法》 第六十三條規(guī)定違反本法第二十七條規(guī)定，承擔(dān)下列責(zé)任：

　　1、行政責(zé)任：尚不構(gòu)成犯罪的，由公安機關(guān)沒收違法所得，處五日以下拘留，可以并處一萬元以上十萬元以下罰款；情節(jié)較重的，處五日以上十五日以下拘留，可以并處五萬元以上五十萬元以下罰款。

　　2、單位有前款規(guī)定行為的，由公安機關(guān)沒收違法所得，處十萬元以上五十萬元以下罰款，并對其直接負責(zé)的主管人員和其他責(zé)任人員依照前款規(guī)定處罰。

　　3、禁入規(guī)則：受到治安管理處罰的人員，五年內(nèi)不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工作；受到刑事處罰的人員，終身不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工作。

　　基于網(wǎng)絡(luò)安全法律法規(guī)的相關(guān)要求，為規(guī)范化滲透測試人員行為，應(yīng)注意下列事宜：

　　● 開展?jié)B透測試必須在經(jīng)授權(quán)的情形下，利用約定的人員信息（如IP、人員真實身份）開始滲透測試工作；

　　● 滲透測試時間必須在客戶授權(quán)的時間內(nèi)，且測試對象必須是客戶授權(quán)范圍內(nèi)的；

　　● 在滲透測試過程中，杜絕因“好奇心”或“操作不當(dāng)”竊取或篡改客戶數(shù)據(jù)；

　　● 對于滲透測試中發(fā)現(xiàn)的客戶系統(tǒng)漏洞，應(yīng)該及時聯(lián)系客戶修復(fù)，切勿對外公布；

　　● 開展?jié)B透測試過程中，切勿將帶有惡意代碼的程序?qū)δ繕?biāo)系統(tǒng)進行“試探性”攻擊；

　　● 對于開展?jié)B透測試所獲取的信息應(yīng)遵循《保密法》及相關(guān)保密約定，禁止非法泄露任何獲取到的信息；

　　● 在滲透測試結(jié)束后，對工作中獲取的信息進行及時歸檔、清除，防止因操作不當(dāng)導(dǎo)致信息非法泄露。

　　在開展等級測評工作中，一定程度上，測試工具及方法的使用會對網(wǎng)絡(luò)系統(tǒng)的運行造成一定影響，加大設(shè)備運行的風(fēng)險性。因此，在滲透測試過程中，應(yīng)注重滲透風(fēng)險的有效評估和規(guī)避，而不應(yīng)“系統(tǒng)存在高風(fēng)險漏洞”而放棄滲透測試。

　　滲透測試中風(fēng)險控制的方法有：

　　● 應(yīng)確保滲透測試的評審方案獲得雙方認可，確保網(wǎng)絡(luò)安全等級測試的合法性；

　　● 測試過程中應(yīng)注重測試時間和范圍的嚴格控制，同時測試人員應(yīng)和被測單位建立高效化的溝通機制，避免滲透測試對目標(biāo)單位的業(yè)務(wù)開展造成影響；

　　● 為避免測試潛在風(fēng)險發(fā)生，應(yīng)減少核心業(yè)務(wù)系統(tǒng)的滲透測試數(shù)量，避免發(fā)生業(yè)務(wù)系統(tǒng)損傷，可在部署環(huán)境一致或類似的系統(tǒng)中開展?jié)B透測試工作。

　　“焉知攻，未知防”，滲透測試作為檢驗網(wǎng)絡(luò)信息系統(tǒng)安全防護能力有效性的重要手段，同時也便于網(wǎng)絡(luò)運營者了解攻擊者可能發(fā)起的攻擊路徑（可能被利用地風(fēng)險）。在開展網(wǎng)絡(luò)安全等級工作中，滲透測試具有重要的意義，可有效地強化網(wǎng)絡(luò)和信息系統(tǒng)基礎(chǔ)安全防護能力，盡可能地規(guī)避安全風(fēng)險，同時可助力網(wǎng)絡(luò)運營者實現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)“零事故”，但在開展?jié)B透測試過程中，各參與方應(yīng)積極規(guī)范化自我行為，確保滲透測試工作順利進行，發(fā)揮其應(yīng)有的價值。