等保测评的流程详解

作为网络安全等级保护测评的一种补充和验证，渗透测试能够对等保测评的风险判定和结论形成提供强有力的支撑。

今天围绕渗透测试的方法、使用的工具、实施流程和结果等方面，阐述了渗透测试在网络安全等级保护测评中的应用以及对等级保护测评结论的影响，为等级保护中的渗透测试实施和的应用提供了参考。

01 网络安全概述

自1994年颁布《*人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行安全等级保护以来，等级保护工作经过了近25年的发展历程，成为了我国网络安全保护的重要举措之一。

而与之伴随的则是网络安全与信息技术的飞速发展带来的层出不穷的新漏洞与攻击手段。

为应对这些新的挑战与要求，在等级保护测评过程中合理应用渗透测试手段，成了及时发现系统存在的安全风险、验证网络安全等级保护基本要求的防护能力、落实网络安全法对于网络的安全防护要求的一个重要举措。

02 渗透测试概述

渗透测试指由测试人员通过模拟的真实攻击手段，结合掌握的漏洞信息、攻击方法、攻击策略等，对目标系统采用工具和人工的方式进行分析和利用的过程。

在这个过程中，测试人员会灵活运用所掌握的方式，以发现通过单一工具测试、漏洞扫描等自动化检测手段难以检测到的、可以被利用的"系统脆弱性"，因此对于工具测试是一种更全面和更准确的补充。

同时又由于渗透测试通常是基于授权的黑盒或灰盒测试，因此又具有危害低的特点。

03 渗透测试流程

网络安全等级保护过程中的渗透测试与传统的渗透测试有一定的区别，在项目实施过程中，渗透测试往往伴随着等级保护测评现场测评阶段开展，以对等级保护测评的测评结果进行补充。
测试人员对于被测系统的系统构成、网络运营者信息、管理人员信息、安全防护措施等都有一定程度的了解，还能够获得被测系统的特定，因此网络安全等级保护测评过程中的渗透测试更像是一种介于灰盒和白盒之间的渗透测试。
那么等级保护测评可以分为如下几个步骤：

1、现场授权在等级保护测评的准备阶段，测评项目组会连同等级保护现场测评组，向被测单位申请渗透测试的授权，以确定在此次项目实施的过程中是否开展渗透测试工作，若不开展则要求被测单位出具《自愿放弃验测试声明》；

2、信息收集在对被测系统开展测试工作之前，通过收集等级保护测评相关信息、公开信息查询等方式，对被测系统的网络构成、资产构成等信息进行收集和整理，以便后续开展渗透测试；

3、测试实施根据前期收集到的信息和授权书中约定的时间，正式开展渗透测试，包含了人工测试和工具测试，可以从等级保护方案中约定的不同接入点进行渗透测试，作为工具测试的补充和验证；

4、风险分析根据测试过程中发现的系统弱点以及利用的难易程度进行风险分析，并与等级保护相关测评项关联起来，对等级保护测评进行一定程度地补充；

5、报告编制整理前期的工作内容，编制《渗透测试报告》。

04 等级保护测评中渗透测试实施

| 测评准备阶段

渗透测试人员应在项目经理的带领下，根据调研阶段收集到的系统构成、业务流程、测试需求等信息，进行渗透测试的相关工具、脚本和策略的准备，并且同被测系统运维人员协商，做好测试和评估前的备份等准备工作。
| 方案编制阶段
渗透测试人员应当与测评人员相互协调，确定渗透测试工作的实施策略、测试深度、开展时间以及周期，配合测评人员共同完成现场测评工作的原始记录收集以及渗透测试结果形成。
| 现场测评阶段
在现场测评阶段，渗透测试人员根据前期约定好的测试时间、测试策略以及测试深度等开展渗透测试工作。
| 报告编制阶段
渗透测试完成后，测试人员根据测试结果进行风险分析，总结渗透测试过程、结果与修复方案，并编制《渗透测试报告》，交由等级保护测评人员作为等级保护测评结果和风险分析的参考与补充，进而得出较终的等级保护测评结论。
| 风险规避
因为渗透测试是一种模拟的行为，因此可能带来的风险有如下几点：

1、对被测网站及造成异常运行或停机的可能；

2、被测网站务器的数据处理速度可能会减慢；

3、网络的处理能力和传输速度可能会减慢；

4、可能会产生少部分测试数据。为较大程度规避上述风险，可以采取以下规避措施：

4.1 渗透测试实施前，制订测试方案与策略，经过双方协商和确认后签订测试授权，并提前做好被测系统备份工作以及应急处置的准备工作；

4.2 渗透测试期间，选择合适的测试时间，并安排运维实时监控网站运行情况，及时对出现的异常问题进行记录和处置，尽可能减少渗透测试对正常业务运行造成的影响；

4.3 对于攻击策略，应当尽量选择危害性较小的操作，只验证漏洞的存在或只进行非危害性利用，而不对文件、数据和原有配置进行操作，同时尽量避免采用DDoS等对被测系统带来大压力的测试方法；

4.4 渗透测试实施后，测试人员确认清理测试数据及残留后门程序等，并确认网站运行恢复正常，与被测系统运维人员确认后签署测试结束确认单。

05 渗透测试对等级测评结论的影响

渗透测试作为等级保护测评的一种补充，在验证工具测试结果的同时，与上述关联测评项结合，通过网络安全等级保护测评方法中的"测试"，进一步确定相关测评项的测评结果以及对应的风险分析，从而影响被测系统较终的风险分析结果。

06 结论

渗透测试作为等级保护测评的一种验证机制和补充，在等级保护工作当中起了非常重要的作用。
明确渗透测试在等保测评中的应用方法以及对测评结论的影响，能帮助测评人员更好地确定被测系统的风险项与测评结论，进而更好地帮助网络运营者提升自身的网络安全建设水平。
本文通过对等级保护测评各个阶段中渗透测试实施方式的阐述，希望能对渗透测试在网络安全等级保护测评中的应用提供参考。