宣傳國家網(wǎng)絡(luò)安全等級保護政策及網(wǎng)絡(luò)安全相關(guān)法律法規(guī),，分享最新行業(yè)動態(tài),、前沿知識,，致力搭建全國性交流平臺,。

　　“網(wǎng)絡(luò)安全的本質(zhì)是攻防對抗,，對抗的本質(zhì)在攻防兩端能力較量”,，在網(wǎng)絡(luò)空間中,，網(wǎng)絡(luò)安全問題就像‘幽靈’一樣,，常常是來自未知威脅,。滲透測試作為一種通過模擬使用黑客的技術(shù)和方法,，挖掘目標(biāo)系統(tǒng)的安全漏洞，取得系統(tǒng)的控制權(quán),，訪問系統(tǒng)的機密數(shù)據(jù),，并發(fā)現(xiàn)可能影響業(yè)務(wù)持續(xù)運作安全隱患的一種安全測試和評估方式，對提前感知網(wǎng)絡(luò)和信息系統(tǒng)可能存在的漏洞,、風(fēng)險或威脅有著重要的作用,。

　　網(wǎng)絡(luò)安全等級保護作為國家的一項基本制度，網(wǎng)絡(luò)運營者開展等級測評工作是檢驗網(wǎng)絡(luò)和信息系統(tǒng)的網(wǎng)絡(luò)安全防護能力,，發(fā)現(xiàn)網(wǎng)絡(luò)和信息系統(tǒng)可能存在的安全風(fēng)險以及規(guī)避網(wǎng)絡(luò)安全風(fēng)險被威脅利用的可能性,。在開展等級測評工作時，“訪談”,、“核查”等測評方法得到的符合性測評結(jié)果具有一定的主觀不確定性,，而工具測試（滲透測試和漏洞掃描）是發(fā)現(xiàn)和驗證網(wǎng)絡(luò)信息系統(tǒng)安全風(fēng)險的重要手段，且能夠?qū)Ψ闲詸z查結(jié)果進行有力補充,。

　　根據(jù)網(wǎng)絡(luò)安全等級保護制度相關(guān)要求,，網(wǎng)絡(luò)安全保護等級為第三級以上（含第三級）的信息系統(tǒng)，在進行等級測評時必須實施滲透測試,，那么究竟該如何在等級測評工作中開展?jié)B透測試工作,，又該如何規(guī)范化等級測評過程中的滲透測試行為？

　　一,、滲透測試的必要性

　　滲透測試是檢測,、評估網(wǎng)絡(luò)和信息系統(tǒng)安全能力的有效方法，可以直觀地讓網(wǎng)絡(luò)運營者了解其所管理（運營）的網(wǎng)絡(luò)和信息系統(tǒng)面臨哪些安全問題,。此外,，滲透測試還可以彌補其他評估方法的不足，發(fā)現(xiàn)深層次,、較復(fù)雜的網(wǎng)絡(luò)安全問題,。在開展網(wǎng)絡(luò)安全等級保護測評過程中，滲透測試的主要功能有：

　　● 滲透測試可有效檢測網(wǎng)絡(luò)和信息系統(tǒng)已采取安全措施是否真實有效，安全策略和安全狀態(tài)是否達到網(wǎng)絡(luò)運營者的預(yù)期,，是否能有效阻擋可能存在的威脅,；

　　● 滲透測試可直觀反映出網(wǎng)絡(luò)和信息系統(tǒng)中存在的安全漏洞，有助于網(wǎng)絡(luò)運營者進行針對性地修復(fù)控制,，提前降低或規(guī)避安全漏洞被利用地風(fēng)險,；

　　● 實現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全影響因素的全面評估，驗證“符合性”評估結(jié)論的準(zhǔn)確性,，增加等級測評結(jié)果的可信度,；

　　● 滲透測試的結(jié)果可作為內(nèi)部安全意識培訓(xùn)的案例，在對相關(guān)的接口人員進行安全教育時使用,。

　　滲透測試幫助網(wǎng)絡(luò)運營者更好地檢驗經(jīng)過安全防護后的網(wǎng)絡(luò)和信息系統(tǒng)是否真正的達到了預(yù)期安全防護目標(biāo),、遵循了安全策略、符合安全合規(guī)的要求,。滲透測試作為“以測驗防”的有效手段,，為網(wǎng)絡(luò)運營者提供了有效的安全防護思路，變被動防護為主動防護,，可驗證落實等級保護制度所建立的“安全技術(shù)”+“安全管理”體系的有效性與合理性,，助力網(wǎng)絡(luò)運營者健全安全建設(shè)體系。

　　二,、滲透測試流程

　　滲透測試的流程主要包括前期準(zhǔn)備,、實施測試、復(fù)測實施以及測試結(jié)果匯總四個階段,。

　　第一階段,，滲透測試前期準(zhǔn)備階段。

　　該階段主要目的是為保證滲透測試順利實施而采取的準(zhǔn)備性工作,，工作內(nèi)容包括滲透測試技術(shù)溝通,、確定測試時間與測試對象、簽署授權(quán)書并提交測試人員IP及相關(guān)信息等,。這一階段,，簽訂授權(quán)書是重中之重，只有在獲得被測對象運營者的書面授權(quán)后,，才能開始著手編制規(guī)范的測試方案,。測試人員才能夠利用提交的IP對約定的測試的對象在規(guī)定的測試時間內(nèi)進行測試工作。此外,，監(jiān)督管理也是在這一階段的一項重要內(nèi)容。在展開此項工作時,，可與相關(guān)單位進行溝通,，以對測試過程的可行性與風(fēng)險性保持最小。同時，還可通過建立聯(lián)動管控小組,，以實施全過程監(jiān)督,。

　　第二階段，測試階段實施,。

　　本階段首先進行信息探測收集,，在進行信息探測時，滲透測試人員利用各種信息來源與搜集技術(shù)方法,，嘗試獲取更多關(guān)于目標(biāo)測試對象的網(wǎng)絡(luò)拓撲,、系統(tǒng)配置與安全防護措施等信息。情報搜集是否充分對后續(xù)滲透測試工作開展的成敗具有決定性的作用,。在完成信息收集和分析后,，滲透測試人員開展?jié)B透測試活動，在這一環(huán)節(jié)中,，滲透測試人員需要利用他們所挖掘到的目標(biāo)系統(tǒng)安全漏洞,，來入侵系統(tǒng)當(dāng)中，獲得訪問控制權(quán),。當(dāng)然,，在網(wǎng)絡(luò)安全等級測評工作中，是在已獲取部分信息的前提下進行滲透測試,，并在利用發(fā)現(xiàn)的漏洞時,，證明其可被利用即可，輸出并提交相關(guān)報告給網(wǎng)絡(luò)運營者,。

　　第三階段,，復(fù)測實施階段。

　　針對上一階段測試發(fā)現(xiàn)的安全問題在整改完成后進行二次測試,，驗證前次發(fā)現(xiàn)的安全問題所采取的安全整改措施是否有效,。在完成本階段滲透測試工作后，需提交復(fù)測報告,，并對報告內(nèi)容進行有效溝通,，確認(rèn)滲透測試結(jié)果。

　　第四階段,，測試結(jié)果匯總階段,。

　　本階段是檢測結(jié)果呈現(xiàn)階段，在這一階段,，需嚴(yán)格以測試結(jié)果為依據(jù),，對測試報告進行規(guī)范編制，其包括的內(nèi)容主要涉及測試結(jié)果,、漏洞結(jié)果評估以及整改建議,。該階段需注意的是測試人員需將結(jié)果準(zhǔn)確且全面地呈現(xiàn)出來。對于滲透測試發(fā)現(xiàn)的問題進行科學(xué)、合理的分析,，結(jié)合網(wǎng)絡(luò)安全等級保護的要求,，提出有效可執(zhí)行的整改建議，保證被測試的系統(tǒng)可以穩(wěn)定且安全地運行,。

　　三,、滲透測試中行為規(guī)范化

　　在開展網(wǎng)絡(luò)安全等級保護工作時，滲透測試作為第三級及以上網(wǎng)絡(luò)和信息系統(tǒng)必須開展的活動,，滲透測試人員在開展測試工作時,，應(yīng)了解相關(guān)法律法規(guī)要求，規(guī)范化自我行為,。

　　《網(wǎng)絡(luò)安全法》第二十七條 規(guī)定：

　　任何個人和組織不得從事非法侵入他人網(wǎng)絡(luò),、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動,；不得提供專門用于從事侵入網(wǎng)絡(luò),、干擾網(wǎng)絡(luò)正常功能及防護措施、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全活動的程序,、工具,；明知他人從事危害網(wǎng)絡(luò)安全的活動的，不得為其提供技術(shù)支持,、廣告推廣,、支付結(jié)算等幫助。

　　在《網(wǎng)絡(luò)安全法》 第六十三條規(guī)定違反本法第二十七條規(guī)定,，承擔(dān)下列責(zé)任：

　　1,、行政責(zé)任：尚不構(gòu)成犯罪的，由公安機關(guān)沒收違法所得,，處五日以下拘留,，可以并處一萬元以上十萬元以下罰款；情節(jié)較重的,，處五日以上十五日以下拘留,，可以并處五萬元以上五十萬元以下罰款。

　　2,、單位有前款規(guī)定行為的,，由公安機關(guān)沒收違法所得，處十萬元以上五十萬元以下罰款,，并對其直接負責(zé)的主管人員和其他責(zé)任人員依照前款規(guī)定處罰,。

　　3、禁入規(guī)則：受到治安管理處罰的人員,，五年內(nèi)不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工作,；受到刑事處罰的人員,，終身不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工作。

　　基于網(wǎng)絡(luò)安全法律法規(guī)的相關(guān)要求,，為規(guī)范化滲透測試人員行為，應(yīng)注意下列事宜：

　　● 開展?jié)B透測試必須在經(jīng)授權(quán)的情形下,，利用約定的人員信息（如IP,、人員真實身份）開始滲透測試工作；

　　● 滲透測試時間必須在客戶授權(quán)的時間內(nèi),，且測試對象必須是客戶授權(quán)范圍內(nèi)的,；

　　● 在滲透測試過程中，杜絕因“好奇心”或“操作不當(dāng)”竊取或篡改客戶數(shù)據(jù),；

　　● 對于滲透測試中發(fā)現(xiàn)的客戶系統(tǒng)漏洞,，應(yīng)該及時聯(lián)系客戶修復(fù)，切勿對外公布,；

　　● 開展?jié)B透測試過程中,，切勿將帶有惡意代碼的程序?qū)δ繕?biāo)系統(tǒng)進行“試探性”攻擊；

　　● 對于開展?jié)B透測試所獲取的信息應(yīng)遵循《保密法》及相關(guān)保密約定,，禁止非法泄露任何獲取到的信息,；

　　● 在滲透測試結(jié)束后，對工作中獲取的信息進行及時歸檔,、清除,，防止因操作不當(dāng)導(dǎo)致信息非法泄露。

　　在開展等級測評工作中,，一定程度上,，測試工具及方法的使用會對網(wǎng)絡(luò)系統(tǒng)的運行造成一定影響，加大設(shè)備運行的風(fēng)險性,。因此,，在滲透測試過程中，應(yīng)注重滲透風(fēng)險的有效評估和規(guī)避,，而不應(yīng)“系統(tǒng)存在高風(fēng)險漏洞”而放棄滲透測試,。

　　滲透測試中風(fēng)險控制的方法有：

　　● 應(yīng)確保滲透測試的評審方案獲得雙方認(rèn)可，確保網(wǎng)絡(luò)安全等級測試的合法性,；

　　● 測試過程中應(yīng)注重測試時間和范圍的嚴(yán)格控制,，同時測試人員應(yīng)和被測單位建立高效化的溝通機制，避免滲透測試對目標(biāo)單位的業(yè)務(wù)開展造成影響,；

　　● 為避免測試潛在風(fēng)險發(fā)生,，應(yīng)減少核心業(yè)務(wù)系統(tǒng)的滲透測試數(shù)量，避免發(fā)生業(yè)務(wù)系統(tǒng)損傷,，可在部署環(huán)境一致或類似的系統(tǒng)中開展?jié)B透測試工作,。

　　“焉知攻,，未知防”，滲透測試作為檢驗網(wǎng)絡(luò)信息系統(tǒng)安全防護能力有效性的重要手段,，同時也便于網(wǎng)絡(luò)運營者了解攻擊者可能發(fā)起的攻擊路徑（可能被利用地風(fēng)險）,。在開展網(wǎng)絡(luò)安全等級工作中，滲透測試具有重要的意義,，可有效地強化網(wǎng)絡(luò)和信息系統(tǒng)基礎(chǔ)安全防護能力,，盡可能地規(guī)避安全風(fēng)險，同時可助力網(wǎng)絡(luò)運營者實現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)“零事故”,，但在開展?jié)B透測試過程中,，各參與方應(yīng)積極規(guī)范化自我行為，確保滲透測試工作順利進行,，發(fā)揮其應(yīng)有的價值,。