關于網絡滲透測試流程及方法的探討

王鵬翩 林星辰

摘要：隨著社會對網絡安全的重視程度不斷加深，應當對網絡滲透測試流程及方法進行探討?；诖?，本文分析了網絡滲透測試分類，包括白盒測試、黑盒測試和灰盒測試，討論了網絡滲透測試流程，包括制定方案、收集信息并分析和生成報告，對網絡滲透測試方法進行探究，包括用例管理和風險控制，為相關人員的研究提供幫助。

關鍵詞：網絡滲透測試；滲透測試流程；白盒測試；黑盒測試；灰盒測試

中圖分類號：TP309.3 文獻標識碼：A 文章編號：1007-9416（2018）08-0177-01

網絡滲透測試是一項有效的網絡安全測試，應用多種方式實現對網絡的滲透，在測試中找尋網絡中的脆弱點，了解網絡安全狀況，為維護良好的網絡環境提供幫助。在對網絡系統的管理中，應當對其安全保護程度進行測試，這就需要應用網絡滲透測試實現對系統的檢測，直觀的面對網絡中所存在的漏洞與問題，提升網絡安全水平，推動我國網絡技術的進步與發展。

1 網絡滲透測試分類

第一，白盒測試。在進行該測試前，在目標系統中可以獲取到足夠的初始信息，包括拓撲圖、應用列表、網絡協議和網絡地址段等。測試人員利用這些初始信息對網絡內部進行探查，為了讓測試更加完善，可以在測試的過程中與企業的員工進行交流互動，通過模擬管理人員的交互實施網絡滲透測試，避免出現重要信息泄露的事件。

第二，黑盒測試。黑盒測試是對網絡攻擊者的模擬，在該測試模式下，測試人員不了解目標系統的具體情況，僅憑經驗與感覺對網絡系統測試，這種方式更加貼切網絡攻擊的具體情況。經由黑盒測試，用戶能夠更加直觀的了解到系統的真實安全情況和應對外界攻擊的能力。

2 網絡滲透測試流程

2.1 制定方案

制定方案是網絡滲透測試在一開始就應該做的，也是網絡滲透測試的基礎。例如，A企業對內部網絡實施網絡滲透測試，但是在測試的過程中由于測試方的失誤導致數據流出，由于沒有簽訂保密協議，給企業帶來了重大的損失。該案例表明在制定方案時就要對保密協議進行確定，讓所有參與人員對此嚴格保密，并且測試的相關數據與信息不應該留給測試方，而是應該交由被測方，保護被測方的利益。被測方有權利知道測試的所有流程與細節，所有測試應當在被測方充分了解的基礎上進行，為了劃清這方面的責任，可以選用書面協議的方式，讓被測方與測試方簽訂協議，被測方同意測試后才可進行后續操作[1]。

2.2 收集信息并分析

在按照制定的方案實施網絡滲透測試時，需要對網絡系統中的信息進行收集，保證對數據信息分析的全面性和完整性。信息收集可以應用多種方法，包括端口掃描、地址掃描、操作系統探測、漏洞掃描等，從多個角度收集系統信息，提升網絡滲透測試的效率與質量。由于主機分為遠程主機和本地主機，在實際的收集過程中，遠程主機以操作系統探測和地址掃描為主，本地主機以漏洞掃描和端口掃描為主，在不同的方法下完成信息的收集，作為信息分析的基礎。收集到完善的系統信息后，應當對收集到的信息進行分析，不斷的收集信息，不斷的提升權限，以此對系統遭受攻擊的可能性進行分析。

2.3 生成報告

在網絡滲透測試結束后，應當根據收集到的信息進行分析并生成報告，為整個網絡滲透測試實施總結。對收集到的數據信息進行進一步的分析，識別被測網絡系統可能受到的威脅，了解被測網絡系統的脆弱性，結合已有的控制措施，在分析與研究中得到總結性的結論，為生成報告奠定基礎。生成報告的過程也是對整個網絡系統的安全性進行評估的過程，確定被測網絡系統的風險程度，并圍繞此給出較為明確的結論，讓被測方明白網絡系統出現風險的原因[2]。

3 網絡滲透測試方法

3.1 用例管理

除了網絡滲透測試流程，還應當了解網絡滲透測試方法，這是為了在正常流程的基礎上提升網絡滲透測試的效率，用例管理就是其中一種。在實際的測試過程中，使用計算機進行自動化檢查，避免時間上的浪費[3]。在管理員的角度，其可以在管理屬性的基礎上來管理測試用例。在測試人員的角度，其可以對測試用例集進行選擇，選擇的依據包括網絡滲透測試項目應用類型、網絡滲透測試目標和網絡滲透測試人員等，實現對測試計劃的有效制定。這樣的用例管理框架可以提升網絡滲透測試的效率與質量，實現滲透測試用例共享和滲透測試用例復用。

3.2 風險控制

在實施網絡滲透測試的過程中，由于是讓測試人員模擬攻擊者對網絡系統安全進行測試，就有可能導致網絡系統在測試中收到損壞，這就是網絡滲透測試的風險體現，需要對其進行控制，消除可能產生的消極影響，提升網絡滲透測試的安全程度。例如，A企業在接受網絡滲透測試時，在高強度的掃描中，讓其主機資源占用突然增大，超出了其承載能力，導致整個系統出現異常。需要測試方著重注意風險控制，盡量避免使用會對系統造成損害的工具，測試時間選擇業務量較小的時段，并對測試的過程進行詳細記錄。

4 結語

綜上所述，網絡滲透測試是具有先進性的網絡安全測試方法，對被測網絡實施最直接的安全水平檢驗，維護網絡環境的穩定與安全。了解網絡滲透測試的分類和流程，制定網絡滲透測試方案，實現對網絡中信息的有效收集，在此基礎上分析收集到的信息，找尋網絡系統的風險與弱點并生成具有全面性的測試報告，并對其用例管理和風險控制的方法進行探究。

參考文獻

[1]武杰.智能化網絡滲透測試系統的設計與研究[D].長春工業大學，2018.

[2]瞿亞萍.計算機網絡滲透測試研究[J].武漢船舶職業技術學院學報，2015，14（06）：40-43.

[3]趙文哲.網絡滲透測試綜合實驗平臺技術研究與實現[D].國防科學技術大學，2014.