自1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》以来，经过近25年的发展，经历了试点、管理措施、1.0标准，标准修订，2标准修订.0标准等过程已成为我国网络安全保护的重要措施之一[1]。伴随着网络安全和信息技术的快速发展，新的漏洞和攻击手段层出不穷。为了应对这些新的挑战和要求，渗透测试手段在等级保护评价过程中的合理应用，已成为及时发现系统安全风险、验证网络安全等级保护基本要求的保护能力、落实网络安全法对网络安全要求的重要举措。

1渗透试验概述

1.1渗透试验概述

渗透测试主要是通过模拟黑客的真实攻击手段，结合漏洞信息、攻击方法、攻击策略等，对目标系统的脆弱性进行分析和利用的过程[2]。在这个过程中，测试人员将灵活地使用他们掌握的各种方法，以发现通过单个工具测试、漏洞扫描和其他自动检测手段难以检测和使用的方法“系统脆弱性”因此，工具测试是一种更全面、更准确的补充[3]。同时，由于渗透测试通常是基于授权的黑盒或灰盒测试，因此具有低危害的特点。

1.2渗透试验过程

网络安全等级保护评价过程中的渗透测试不同于传统的渗透测试。在项目实施过程中，渗透测试往往伴随着等级保护评价现场评价阶段，以补充等级保护评价的评价结果。同时，由于等级保护评价项目的特点，测试人员对被测系统的系统组成、网络运营商信息、管理人员信息、安全防护措施有一定的了解，也可以获得被测系统的特定账户，因此网络安全等级保护评价过程中的渗透测试更像是灰盒与白盒之间的渗透测试[4]。因此，在现场评价阶段的前提下，等级保护评价过程中的渗透测试往往与等级保护评价过程相结合，可分为以下步骤：（1）现场授权在等级保护评价的评价准备阶段，评价项目组将与等级保护现场评价小组一起，向被测单位申请渗透测试授权，确定在项目实施过程中是否进行渗透测试工作。不进行的，要求被测单位出具《自愿放弃验证测试声明》。（2）在测试被测系统前，收集和整理被测系统的网络构成、资产构成等信息，通过收集等级保护和评估相关信息、公开信息查询等方式进行后续渗透测试。（3）根据前期收集的信息和授权书约定的时间，正式进行渗透试验，包括人工试验和工具试验，可从等级保护方案约定的不同接入点进行渗透试验，作为工具试验的补充和验证。（4）风险分析根据测试过程中发现的系统弱点和使用难度进行风险分析，并与等级保护相关评价项目相关，在一定程度上补充等级保护评价。(5)编制前期工作内容，编制《渗透测试报告》。

渗透测试在2级保护评价中实施

对于网络安全等级保护中的渗透试验，由于在评估初期掌握了被测系统的资产、运行和业务运行，基本采用灰盒试验进行渗透试验。

2.1评价准备阶段

在评估准备阶段，渗透测试人员应在项目经理的领导下，根据系统组成、业务流程、测试需求等信息，准备渗透测试相关工具、脚本和策略，与测试系统操作和维护人员协商，做好测试和评估前的备份准备工作。在渗透测试中，常用的工具主要包括如表1所示的几类。

2.2方案编制阶段

在等级保护评价项目方案编制阶段，渗透测试人员应与评价人员协调，确定渗透测试工作的实施策略、测试深度、时间和周期，配合评价人员完成现场评价工作的原始记录收集和渗透测试结果的形成。

2.3现场评价阶段

在现场评价阶段，渗透测试人员根据初步约定的测试时间、测试策略和测试深度进行渗透测试，通常采用图1步[5]。

2.4.报告编制阶段

渗透测试完成后，测试人员根据测试结果进行风险分析，总结渗透测试过程、结果和修复方案，编制渗透测试报告，作为水平保护评价结果和风险分析的参考和补充，得出最终水平保护评价结论。

2.5风险规避

由于渗透测试是一种模拟黑客的行为，可能带来的风险有：（1）被测网站和服务器的异常运行或停机；（2）被测网站和服务器的数据处理速度可能减慢；（3）网络处理能力和传输速度可能减慢；（4）可能产生少量的测试数据。为最大限度地规避上述风险，可采取以下规避措施：（1）渗透试验实施前，制定试验方案和策略，经双方协商确认后签署试验授权，提前准备试验系统备份和应急响应；（2）渗透试验期间，选择合适的试验时间，安排运维人员实时监控网站运行情况，及时记录和处理异常问题，尽量减少渗透试验对正常业务运行的影响；（3）对于攻击策略，尽量选择危害较小的操作，只验证漏洞的存在或非危害性利用，不操作文件、数据和原始配置，尽量避免DDoS（4）渗透测试实施后，测试人员确认清理测试数据和残留后门程序，确认网站运行恢复正常，与测试系统运维人员签署测试结束确认表。

2.6渗透试验对等级评价结论的影响

渗透测试作为等级保护评价的补充，在验证工具测试结果的同时，结合上述相关评价项目，结合网络安全等级保护评价方法“测试”进一步确定相关评价项目的评价结果和相应的风险分析，从而影响被测系统的最终风险分析结果。例如，通过渗透测试，发现被测系统服务器存在CVE-2017-0143“永恒之蓝”在安全计算环境评映被测系统服务器在安全计算环境评价中，“应关闭不必要的系统服务，默认共享和高风险端口”，“应能发现可能存在的已知漏洞，经过充分的测试和评估，及时修复漏洞”，“能够检测到入侵重要节点的行为，并在发生严重入侵时提供报警”三个评价项目不符合或部分符合[6]，给系统带来高风险，直接影响最终评价结论“差”。

3结语

渗透测试作为等级保护评价的验证机制和补充，在等级保护工作中发挥着非常重要的作用。明确渗透测试在等级保护评价中的应用方法和对评价结论的影响，可以帮助评价人员更好地确定被测系统的风险项目和评价结论，进而更好地帮助网络运营商提高自身的网络安全建设水平。通过阐述等级保护评价各阶段渗透测试的实施方法，希望能为渗透测试在网络安全等级保护评价中的应用提供参考。