国产 一极视频,国产精品 日韩无码 大秀视频,亚洲第一天堂m网站,精品久久久久中文字幕加勒比

自1994年國務院頒布《中華人民共和國計算機信息系統安全保護條例》規定計算機信息系統實行安全等級保護以來，等級保護工作經過了近25年的發展歷程，成為了我國網絡安全保護的重要舉措之一。

而與之伴隨的則是網絡安全與信息技術的飛速發展帶來的層出不窮的新漏洞與攻擊手段。

為應對這些新的挑戰與要求，在等級保護測評過程中合理應用滲透測試手段，成了及時發現系統存在的安全風險、驗證網絡安全等級保護基本要求的防護能力、落實網絡安全法對于網絡的安全防護要求的一個重要舉措。

滲透測試指由測試人員通過模擬黑客的真實攻擊手段，結合掌握的漏洞信息、攻擊方法、攻擊策略等，對目標系統采用工具和人工的方式進行分析和利用的過程。

在這個過程中，測試人員會靈活運用所掌握的方式，以發現通過單一工具測試、漏洞掃描等自動化檢測手段難以檢測到的、可以被利用的"系統脆弱性"，因此對于工具測試是一種更全面和更準確的補充。

同時又由于滲透測試通常是基于授權的黑盒或灰盒測試，因此又具有危害低的特點。

網絡安全等級保護過程中的滲透測試與傳統的滲透測試有一定的區別，在項目實施過程中，滲透測試往往伴隨著等級保護測評現場測評階段開展，以對等級保護測評的測評結果進行補充。

測試人員對于被測系統的系統構成、網絡運營者信息、管理人員信息、安全防護措施等都有一定程度的了解，還能夠獲得被測系統的特定賬號，因此網絡安全等級保護測評過程中的滲透測試更像是一種介于灰盒和白盒之間的滲透測試。

那么等級保護測評可以分為如下幾個步驟：

1、現場授權在等級保護測評的準備階段，測評項目組會連同等級保護現場測評組，向被測單位申請滲透測試的授權，以確定在此次項目實施的過程中是否開展滲透測試工作，若不開展則要求被測單位出具《自愿放棄驗證測試聲明》；

2、信息收集在對被測系統開展測試工作之前，通過收集等級保護測評相關信息、公開信息查詢等方式，對被測系統的網絡構成、資產構成等信息進行收集和整理，以便后續開展滲透測試；

3、測試實施根據前期收集到的信息和授權書中約定的時間，正式開展滲透測試，包含了人工測試和工具測試，可以從等級保護方案中約定的不同接入點進行滲透測試，作為工具測試的補充和驗證；

4、風險分析根據測試過程中發現的系統弱點以及利用的難易程度進行風險分析，并與等級保護相關測評項關聯起來，對等級保護測評進行一定程度地補充；

5、報告編制整理前期的工作內容，編制《滲透測試報告》。

滲透測試人員應在項目經理的帶領下，根據調研階段收集到的系統構成、業務流程、測試需求等信息，進行滲透測試的相關工具、腳本和策略的準備，并且同被測系統運維人員協商，做好測試和評估前的備份等準備工作。

滲透測試人員應當與測評人員相互協調，確定滲透測試工作的實施策略、測試深度、開展時間以及周期，配合測評人員共同完成現場測評工作的原始記錄收集以及滲透測試結果形成。

在現場測評階段，滲透測試人員根據前期約定好的測試時間、測試策略以及測試深度等開展滲透測試工作。

滲透測試完成后，測試人員根據測試結果進行風險分析，總結滲透測試過程、結果與修復方案，并編制《滲透測試報告》，交由等級保護測評人員作為等級保護測評結果和風險分析的參考與補充，進而得出最終的等級保護測評結論。

因為滲透測試是一種模擬黑客的行為，因此可能帶來的風險有如下幾點：

1、對被測網站及服務器造成異常運行或停機的可能；

2、被測網站和服務器的數據處理速度可能會減慢；

3、網絡的處理能力和傳輸速度可能會減慢；

4、可能會產生少部分測試數據。為最大程度規避上述風險，可以采取以下規避措施：

滲透測試作為等級保護測評的一種補充，在驗證工具測試結果的同時，與上述關聯測評項結合，通過網絡安全等級保護測評方法中的"測試"，進一步確定相關測評項的測評結果以及對應的風險分析，從而影響被測系統最終的風險分析結果。

滲透測試作為等級保護測評的一種驗證機制和補充，在等級保護工作當中起了非常重要的作用。

明確滲透測試在等保測評中的應用方法以及對測評結論的影響，能幫助測評人員更好地確定被測系統的風險項與測評結論，進而更好地幫助網絡運營者提升自身的網絡安全建設水平。

本文通過對等級保護測評各個階段中滲透測試實施方式的闡述，希望能對滲透測試在網絡安全等級保護測評中的應用提供參考。