刘俊

（山东新潮信息技术有限公司青岛分公司 山东省青岛市 266000）

全国网络安全与信息化工作会议于2018年召开，会议中习近平总书记提出网络安全的重要性，并且针对网络安全管理工作提出多项指示。由此可见，互联网与计算机技术的安全稳定发展，已经成为促进国家社会稳定发展的重要范畴。在针对计算机网络的运行安全质量进行研究时，要从多方面入手，并且不断强化计算机的病毒防御能力，这样才能对计算机使用者的数据信息提供稳定保障，促进社会经济的和谐稳定发展。渗透测试技术作为当前计算机病毒检测技术的重要组成部分，通过对计算机系统展开多层次、全方位以及立体化的评估，可以使网络信息的安全性得到大幅度提升，并且在网络安全等级保护评测工作中也具有重要作用。因此，文章针对渗透测试技术在网络安全等保测评中的实际应用情况展开分析，对促进渗透测试技术的应用效率具有良好意义。

1 渗透测试技术的原理及实施流程

1.1 渗透测试技术的原理

渗透测试技术指的是以业界公布的安全漏洞信息针对计算机网络的运行安全程度进行检测，同时还要根据安全等级评定标准，对计算机开展全方位安全评测，这样可以明确计算机网络在运行过程中的应用风险，提前制定相应的防治技术。在采用渗透测试技术时，全部要素主要包括网络系统的主机、系统运行环境以及数据库等，在渗透测试时，还要坚持两个基本要求，也就是渗透测试的授权工作与测试监督工作，一方面要保证渗透测试工作的合法性与合理性，另一方面要针对渗透测试工作的执行过程进行实时监控，这样才能保证渗透测试结果的准确性与可行性，从而使网络安全等级评测结果更加准确。

1.2 渗透测试技术的实施流程

针对计算机网络系统进行渗透测试，其流程就是模拟入侵者攻击的整个过程，通过采用各类网络攻击方式对计算机的安全防护体系进行冲击，以此来综合判断计算机网络系统当前的安全程度。因此，在进行网络渗透测试时，具体流程如下：

（1）收集信息，针对当前互联网中的病毒信息与木马程序进行收集，并且根据攻击程度对各类计算机网络入侵技术进行分类；

（2）对目标网络的运行地址进行扫描，结合收集到的入侵进攻手段进行扫描，并且根据计算机网络系统可能存在的漏洞隐患进行优先测试；

（3）针对计算机网络系统进行不同种类与不同程度的攻击测试，如果有远程端口等重大漏洞则直接控制目标系统，如果有WEB 服务则采取注入的形式寻找防御对策。

（4）针对渗透测试检测结果进行呈现，在该环节中要以测定结果为依据，其包括的内容主要涉及漏洞结果、测试结果以及评估结果，因此为保证检测结果的全面性与准确性，需要在渗透测试工作中引进先进的检测技术，并且对计算机网络的运行信息进行全面分析，这样才能使安全等级评定结果更具可行性。

1.3 渗透测试技术的主要使用工具

在采用渗透测试技术时，还要检测工具进行确认，当前渗透检测的工具主要包括网络应用工具、故障诊断工具以及安全扫描工具等，上述工具在可控性方面与安全性方面都具有良好的安全保障。

2 渗透测试技术在网络安全等保评测工作中的应用价值

2016年美国东海岸地区遭受了分布式拒绝服务的攻击，期间导致美国大多数计算机网络系统都陷入瘫痪状态，并且引发大量使用者的身份信息被盗取，进而造成无法避免的经济损失。此外，2017年爆发的Wanna Crt 病毒，对全球将近150 多个国家都造成不同程度的网络安全打击，从而引发交通、教育、能源、医疗等行业的发展受到严重阻碍，这也看出互联网安全问题已经愈加重要。尤其是当前互联网计算机技术已经成为社会经济发展的主要部分，当计算机网络产生安全问题时，便会直接危害到社会稳定与国民利益。

我国于2017年6月出台的《中华人民共和国网络安全法》中，针对国家网络安全问题进行规范，在该管理条例中，为有效针对计算机网络安全问题进行防治，将网络信息系统划分为多个等级，并且针对各等级提出差异性的防御能力要求与非法入侵检测能力要求。为响应网络安全信息等级评测工作的顺利开展，渗透测试技术的应用范围越来越广泛，并且在网络安全等级评测工作中具有以下优势：

（1）渗透测试技术可以对网络安全进行全面评估，并且找出计算机网络中的潜在漏洞；

（2）从等级保护评测结果来看，渗透测试技术可以对网络系统安全影响进行综合评估，在信息时代中具备良好的应用前景。

3 渗透测试技术在网络安全等保评测工作中的具体实施过程

3.1 根据网络安全评测需求制定测试方案

在应用渗透测试技术对计算机网络进行安全等级检测时，首先要对计算机的运行情况进行分析，并且结合网络安全评测工作的要求制定相应的测试方案，为后续工作提供准确可行的参考依据。具体为在前期要建立渗透测试工作小组，在获得授权后，针对实际业务情况与系统安全规模展开综合分析，在方案中要体现出渗透测试目标、内容、方式以及应用工具等。此外，针对网络安全等级保护评测展开测试可能会产生相应的安全风险问题，因此还要提前针对各类风险问题制定防治措施，以此来保证渗透测试工作的顺利开展，为计算机系统的运行提供保障。

3.2 全面采集网络安全等保测评相关信息

在渗透测试方案明确后，要根据方案实施规定对网络安全等保测评相关信息进行收集与分类管理，通过利用各类操作系统与查找工具，并且在计算机系统扫描工具的帮助下，对计算机当前的运行状态进行分析，并且针对计算机网络中可能存在的安全隐患展开更深层次的分析，例如系统运行层面分析、Web 层面分析等，根据分析结果进行汇总处理。此外，当计算机系统存在SQL 注入漏洞、远程接入病毒以及运行故障时，全面采集环节要准确分析计算机系统的运行隐患与故障内容，并且针对该环节的风险问题制定防治措施，以此来保证数据采集环节的顺利进行。

3.3 科学开展网络安全等保测评中的渗透检测技术

结合上述计算机网络安全测试工作，为准确获得安全漏洞信息，需要根据计算机网络的运行数据信息展开安全等保评测，再次对发现的高危漏洞进行确认，并且针对漏洞问题制定解决策略。对于测试中发现的严重漏洞，可以对其直接利用，以对其可用性展开验证。例如，当渗透测试技术在系统展开检测时，发现系统文件存在共享漏洞，这时可以按照以下步骤执行检测工作：

（1）根据漏洞类型制定渗透策略，在此环节中要对计算机系统的服务权限进行确定，以此来排除不同权限对应的病毒问题，通过对渗透测试途径进行规范管理，例如对服务漏洞、扫描漏洞、利用流动、用户信息分析、远程控制分析等环节进行整合在，这样可以使渗透测试方案更具可行性。

（2）利用漏洞测试工具对漏洞进行扫描确认，并且对不同种类的漏洞问题进行编号，当远程Shell 的权限较低时，可以及时判定漏洞问题的性质，这样便可以判定漏洞允许执行远程操控代码，计算机安全保护系统可以对其进行评级。

（3）利用漏洞进行数据溢出实验，通过与Shell 控制界面构建联系，可以针对远程操作端与客户端进行查看，并且建立相应的后门账户，期间可以采用口令破解的方式获取到用户许可，这样可以对未知漏洞问题进行评测，并且根据安全等保评测等级对其进行划分。

3.4 结合检测结果制定准确可行的网络安全测评报告

在计算机网络的安全等保测评完成后，渗透测试工作还要结合检测结果制定可行的网络安全测评报告，并且根据测试中发现的安全流动与风险问题对系统存在的潜在隐患问题进行标注。此外，输出报告中还要对计算机网络中的现存安全问题提出解决措施与整改意见，从而为计算机网络安全等保测评工作画上圆满句号，可以帮助计算机使用者更加准确了解到计算机网络的所有运行故障与隐患，提升计算机网络的安全运行质量。

4 网络安全等保测评中渗透测试技术的应用风险及应对措施

4.1 渗透测试内容

在开展计算机网络安全等保测评工作时，由于作业规模与作业量较大，因此在不同环节也会产生相应的应用风险。因此，渗透测试技术还要针对各类风险问题制定防治措施。首先是渗透测试内容中的潜在风险问题，例如在测试计算机网络的合法性时，可以从评审方案入手，并且结合计算机实际运行情况展开阶段性的测试。然而，当渗透测试时间选择不当时，就会对计算机网络的办公能力造成直接影响，并且渗透测试的主攻内容也会趋于瘫痪状态，无法为正常的计算机办公提供准确的数据支持。因此，为降低渗透测试工作的潜在风险，应该根据计算机网络的应用情况选择合理的测试内容，这样提前对相关人员进行沟通，避免不必要的工作影响。

4.2 时间问题

在开展计算机网络安全等保测评工作时，渗透测试工作的时间选择不当会导致一定的安全风险与系统崩溃，届时计算机系统无法为办公人员提供有效的帮助，并且还存在硬件损坏等无法估量的经济风险。因此，在开展渗透测试工作时，不仅要针对检测工作的合格性进行研究，同时还要减少渗透测试过程中对信息系统安全造成的各类影响。例如可以借助设备IP 对测试时间进行确定，限定测试IP 段的方式进行渗透测试作业。这样可以降低网络安全评测与企业正常办公之间的交叉影响，同时规避渗透测试引发的各类网络风险。

4.3 数据安全问题

渗透测试在实际作业中对于系统内部数据的安全性，也会造成一定的影响。因此在实际发展中进行渗透测试作业，被测试单位必须落实有效的数据备份操作，避免因测试中系统崩溃造成的攻击数据录入，产生的数据覆盖现象，以此规避被测试单位在实际测试作业中的数据风险。同时，合理的推进渗透测试作业的实施，保证网络安全等保评测方案中的各项措施可以顺利实施，这样才能确保渗透测试作业的实施质量与效率，为企业计算机网络系统的安全稳定运行提供合理保障。

5 结论

综上所述，渗透测试技术在网络安全等保测评工作中的应用越来越广泛，通过对计算机网络的运行安全状态进行全方位的检测，不仅能够对计算机网络中的潜在病毒与木马进行检测，同时还可以对计算机的安全防御能力进行评测，这样可以为使用者使用更加准确的计算机网络系统安全报告。本文以计算机网络的安全等级保护测评工作为切入点，针对渗透测试技术的实际应用情况进行研究。首先阐述渗透测试技术的原理与实施流程，其次对渗透测试原理在网络安全等保测评中的作用价值进行分析，再次对网络安全等保测评中渗透测试技术的执行流程进行总结，具体为根据网络安全评测需求制定测试方案，全面采集网络安全等保测评相关信息，科学开展网络安全等保测评中的渗透检测技术，结合检测结果制定准确可行的网络安全测评报告。这样才能进一步提升渗透测试技术在网络安全等保测评中的应用质量，为计算机网络系统的安全运行提供保障。