关于网络渗透测试流程及方法的探讨

王鹏翩 林星辰

摘要：随着社会对网络安全的重视程度不断加深，应当对网络渗透测试流程及方法进行探讨。基于此，本文分析了网络渗透测试分类，包括白盒测试、黑盒测试和灰盒测试，讨论了网络渗透测试流程，包括制定方案、收集信息并分析和生成报告，对网络渗透测试方法进行探究，包括用例管理和风险控制，为相关人员的研究提供帮助。

关键词：网络渗透测试；渗透测试流程；白盒测试；黑盒测试；灰盒测试

中图分类号：TP309.3 文献标识码：A 文章编号：1007-9416（2018）08-0177-01

网络渗透测试是一项有效的网络安全测试，应用多种方式实现对网络的渗透，在测试中找寻网络中的脆弱点，了解网络安全状况，为维护良好的网络环境提供帮助。在对网络系统的管理中，应当对其安全保护程度进行测试，这就需要应用网络渗透测试实现对系统的检测，直观的面对网络中所存在的漏洞与问题，提升网络安全水平，推动我国网络技术的进步与发展。

1 网络渗透测试分类

第一，白盒测试。在进行该测试前，在目标系统中可以获取到足够的初始信息，包括拓扑图、应用列表、网络协议和网络地址段等。测试人员利用这些初始信息对网络内部进行探查，为了让测试更加完善，可以在测试的过程中与企业的员工进行交流互动，通过模拟管理人员的交互实施网络渗透测试，避免出现重要信息泄露的事件。

第二，黑盒测试。黑盒测试是对网络攻击者的模拟，在该测试模式下，测试人员不了解目标系统的具体情况，仅凭经验与感觉对网络系统测试，这种方式更加贴切网络攻击的具体情况。经由黑盒测试，用户能够更加直观的了解到系统的真实安全情况和应对外界攻击的能力。

2 网络渗透测试流程

2.1 制定方案

制定方案是网络渗透测试在一开始就应该做的，也是网络渗透测试的基础。例如，A企业对内部网络实施网络渗透测试，但是在测试的过程中由于测试方的失误导致数据流出，由于没有签订保密协议，给企业带来了重大的损失。该案例表明在制定方案时就要对保密协议进行确定，让所有参与人员对此严格保密，并且测试的相关数据与信息不应该留给测试方，而是应该交由被测方，保护被测方的利益。被测方有权利知道测试的所有流程与细节，所有测试应当在被测方充分了解的基础上进行，为了划清这方面的责任，可以选用书面协议的方式，让被测方与测试方签订协议，被测方同意测试后才可进行后续操作[1]。

2.2 收集信息并分析

在按照制定的方案实施网络渗透测试时，需要对网络系统中的信息进行收集，保证对数据信息分析的全面性和完整性。信息收集可以应用多种方法，包括端口扫描、地址扫描、操作系统探测、漏洞扫描等，从多个角度收集系统信息，提升网络渗透测试的效率与质量。由于主机分为远程主机和本地主机，在实际的收集过程中，远程主机以操作系统探测和地址扫描为主，本地主机以漏洞扫描和端口扫描为主，在不同的方法下完成信息的收集，作为信息分析的基础。收集到完善的系统信息后，应当对收集到的信息进行分析，不断的收集信息，不断的提升权限，以此对系统遭受攻击的可能性进行分析。

2.3 生成报告

在网络渗透测试结束后，应当根据收集到的信息进行分析并生成报告，为整个网络渗透测试实施总结。对收集到的数据信息进行进一步的分析，识别被测网络系统可能受到的威胁，了解被测网络系统的脆弱性，结合已有的控制措施，在分析与研究中得到总结性的结论，为生成报告奠定基础。生成报告的过程也是对整个网络系统的安全性进行评估的过程，确定被测网络系统的风险程度，并围绕此给出较为明确的结論，让被测方明白网络系统出现风险的原因[2]。

3 网络渗透测试方法

3.1 用例管理

除了网络渗透测试流程，还应当了解网络渗透测试方法，这是为了在正常流程的基础上提升网络渗透测试的效率，用例管理就是其中一种。在实际的测试过程中，使用计算机进行自动化检查，避免时间上的浪费[3]。在管理员的角度，其可以在管理属性的基础上来管理测试用例。在测试人员的角度，其可以对测试用例集进行选择，选择的依据包括网络渗透测试项目应用类型、网络渗透测试目标和网络渗透测试人员等，实现对测试计划的有效制定。这样的用例管理框架可以提升网络渗透测试的效率与质量，实现渗透测试用例共享和渗透测试用例复用。

3.2 风险控制

在实施网络渗透测试的过程中，由于是让测试人员模拟攻击者对网络系统安全进行测试，就有可能导致网络系统在测试中收到损坏，这就是网络渗透测试的风险体现，需要对其进行控制，消除可能产生的消极影响，提升网络渗透测试的安全程度。例如，A企业在接受网络渗透测试时，在高强度的扫描中，让其主机资源占用突然增大，超出了其承载能力，导致整个系统出现异常。需要测试方着重注意风险控制，尽量避免使用会对系统造成损害的工具，测试时间选择业务量较小的时段，并对测试的过程进行详细记录。

4 结语

综上所述，网络渗透测试是具有先进性的网络安全测试方法，对被测网络实施最直接的安全水平检验，维护网络环境的稳定与安全。了解网络渗透测试的分类和流程，制定网络渗透测试方案，实现对网络中信息的有效收集，在此基础上分析收集到的信息，找寻网络系统的风险与弱点并生成具有全面性的测试报告，并对其用例管理和风险控制的方法进行探究。

参考文献

[1]武杰.智能化网络渗透测试系统的设计与研究[D].长春工业大学，2018.

[2]瞿亚萍.计算机网络渗透测试研究[J].武汉船舶职业技术学院学报，2015，14（06）：40-43.

[3]赵文哲.网络渗透测试综合实验平台技术研究与实现[D].国防科学技术大学，2014.