◆刘俊

（山东新潮信息技术有限公司青岛分公司山东 266000）

进行网络测试的主要目的为，找出网络环境中存在的弱点和缺点，综合自身经验和先进技术对问题进行完善，预防出现黑客攻击和系统崩溃等情况。网络渗透技术和黑客使用的攻击手段之间有着一定的相似性，主要通过扫描、攻击、测试以及功能拓展等方式进行功能展示，和网络攻击技术之间存在的主要差异为，渗透测试过程中不会对系统正常业务开展造成影响，使用的攻击方式也不会破坏系统内部结构。若是可以合理应用网络渗透技术，就能找出网络系统存在的多种问题，帮助工作人员更好了解系统运行状态，预防不法分子对网络进行恶意攻击。另外，网络渗透技术应用也是网络安全未来发展的主要方向，更是确保信息传输安全和网络环境安全的一项非常重要的手段。

1 网络渗透测试的主要类型

目前使用较为广泛的网络渗透测试类型主要分为三种形式，分别为白盒测试、黑盒测试以及灰盒测试，这三种不同的测试方式都有着不同的性质和特点，本文针对这三种测试类型进行了依次介绍。

首先是白盒测试。这种测试类型主要应用于测试进行的准备阶段，其具有的主要优势为能够获取大量的、准确的数据信息，其中主要包括了应用列表、网络协议、网络地址以及拓展扑图等。在获取这些重要信息之后，测试人员可以充分利用信息进行网络状态排查，保障了测试的准确性，并且在测试进行过程中，相关的工作人员之间还能进行互动和交流，使用模拟工作人员的方式实现网络交互测试，防止出现重要信息泄露等情况发生。

其次为黑盒测试。黑盒测试主要模拟了黑客攻击行为，在使用这种测试模式过程中，不需要对测试目标的实际情况进行了解，通过常规测试方式就能完成准确的系统测试，使用这种方式更加具有实际性和完善性，非常贴近现实，利用模拟攻击更好预防不法分子的攻击。

最后是灰盒测试。在使用灰盒测试模式时，需要对目标进行不同程度的了解，使用这种测试模式的主要目的为，对内部员工的行为进行模拟，找出不法入侵者的特点，确保信息安全工作质量，逐渐提升工作人员的能力，有效预防了系统漏洞。

2 渗透测试实施流程

在进行渗透测试过程中主要分为四个不同的阶段，分别为渗透计划制定数据收集目标、测试和攻击实施方案、风险测试分析以及报告生成等。

2.1 制定完善的渗透测试方法

在渗透开展的准备阶段需要制定完善的计划和方案，设计和方案中主要包含了渗透测试具体范围、工作开展的具体目标、开展的具体时间、渗透测试具体方案、测试过程中使用的工具、风险预防措施等。在进行测试方案制定过程中需要使用软件扫描工具，确保系统问题始终处于可控的状态，使用工具之前需要保障工具的安全性。若是在渗透测试过程中出现目标不明确等情况，需要确保使用的方案和实际状态之间具有相同性，还需要得到完善的保密措施支持。渗透测试中人员分配必须明确，对于大量渗透资料也需要严格保存，测试完成之后需要将数据资料反馈给被测试方，保障整个测试过程中的安全性和保密性。另外，一定要让被测方得知渗透测试过程中的所有细节，管理人员需要控制所有测试环节，完成测试过程中所有部门之间的数据沟通，测试目标和测试过程都要得到被测方的认可。

2.2 目标系统信息收集分析

在一般情况下信息收集方案主要包含了系统性能探测、端口扫描、漏洞分析以及地址扫描等。远程扫描过程中需要使用到地址扫描，远程控制探测程序，漏洞扫描和端口扫描也可以通过远程操控方式进行，合理完成主机扫描和系统内部扫描。在外部网络中一定要合理应用系统探测和地址扫描，确定具体收集目标之后选择合适的主机系统。对于网络外部漏洞也需要进行查找和扫描，在黑客角度分析问题，在确定具体测试范围之后建立更加完善的端口，这样才能确保提供网络服务的质量，找出了系统中和端口中存在的问题，对于后期数据收集也创造了良好基础。另外，在网络内部环境中，需要利用白盒测试模式进行端口扫描，由内到外测试主机端口，找出网络服务和实施过程存在的问题，保障不出现用户信息泄漏和外部黑客探测等情况发生。

2.3 攻击实施

在完成信息分析之后，攻击主要存在两种不同的可能性。第一种为目标系统存在较大的安全问题，渗透测试过程中攻击和目标控制之间有着直接联系。第二种是目标系统不存在安全问题，在这种环境下进行攻击可以得到更多的使用权限，只需要使用普通用户的权限就能达到数据收集目标，逐渐增加获取用户权利的目的为找到更多提升系统性能的机会。还需要使用全方位的数据收集、分析方式，保障交易过程的质量。

2.4 进行风险分析和生成测试报告

在完成测试之后，需要对得到的渗透分析数据进行再次分析，识别存在的问题和风险，在综合实际需求制定解决方案，评估被测网络实际的状态。另外，需要将评估之后的数据报告提交给被测方，测试报告中需要明确风险结论和风险问题，找出系统问题形成的主要原因，只有这样才能确保出现的问题得以解决[1]。

3 网络渗透测试方法

3.1 用例管理

进行渗透测试过程中使用的大部分测试方法都具有一定相似性，为了不断增加渗透测试精准度和效率，需要合理使用测试用例管理。但是需要注意的是渗透测试用例管理会受到多种因素影响，分别为：（1）安全漏洞；对系统已知漏洞实施良好标识，在一般情况下系统渗透测试都是针对已知漏洞进行测试，所以经常出现溢出安全区的情况；（2）应用类型：在应用类型不同的情况下，需要对使用的类型进行标识，这样才能对系统存在的漏洞进行区分；（3）测试目标：测试目标主要在使用在测试的初始阶段，需要按照目标实施良好标识，使用不同的测试案例存在着不同的安全需求，所以身份验证也需要注入不同的因素，预防出现多种攻击行为，验证访问措施过程中需要使用到目录和遍历，防止出现缓冲溢出等攻击；（4）攻击属性：攻击属性会对测试用例造成直接影响，其中包括了执行时间、供给效率、执行方案以及难易程度等。在确定具体的管理属性之后，还需要进行测试用例集中管理。

在网络渗透测试进行过程中，工作人员需要将渗透测试用例应用到样本库中，使用本体形式进行用例描述，使用计算机对案例进行自动化检查。管理人员需要按照管理属性进行测试管理，在考虑实际需求的情况下选择良好的应用类型，确定测试目的之后选择良好的测试例集，保障测试计划的实际性和完善性，使用这种管理构架也能完成项目部门和人员之间的沟通，测试人员与计算机之间的渗透测试用例共享及复用。

3.2 渗透测试中的风险控制

在渗透测试开展过程中模拟了外部攻击者的行为，在这种情况下很容易对系统正常运行造成影响，为了减少对系统运行造成的影响，所以需要合理控制测试风险。渗透测试风险具体的表现为：高强度扫描增加了网络流量，主机资源也会被逐渐占用，造成系统异常等情况发生。还需要进行区域口令测试，不能违反安全测试要求，预防出现用户账户锁定等情况发生。在测试过程中由于系统具有一定复杂性，所以系统测试过程中也会出现多种变化，造成业务异常情况经常发生，对于用户信息也无法进行确定和保障，为了逐渐降低网络测试过程中出现风险的概率，需要注意以下几个方面的问题。测试过程中需要对环境进行严格把握，在关键部分实施系统测试，预防出现损坏系统等情况发生。为了降低抑制主机和网络等情况发生，需要合理安排业务时间和业务量，确保业务进行和实际需求相符合。确保渗透测试不能发生异常情况，测试执行还需要按照要求做好准备工作，这样才能保障系统异常情况及时恢复。若是系统不具有良好的风险处理能力，那么就要及时进行系统镜像测试，扫描相关的控制策略，不能影响网络环境的日常运行。严格按照要求和流程进行操作，对于工作过程中也需要仔细记录，最终总结制作成工作报告。

3.3 杀毒软件

病毒是威胁计算机网络安全最主要的因素，针对病毒入侵问题，相关人员研发了众多杀毒软件对病毒进行识别、侦测或删除，减少病毒入侵给计算机网络使用造成的威胁。当前市面上的杀毒软件多种多样，用户在安装杀毒软件时一定要确保安装的软件是正规的，否则杀毒软件可能就变成病毒对计算机造成威胁。当接受一些来源不明确的文件时一定要先进行病毒查杀，同时由于病毒的种类在不断丰富，所以用户在安装了相应的杀毒软件后要进行及时更新。

4 结论

综上所述，本文首先针对网络测试流程、方法进行了研究和分析，其中主要包含了灰盒测试、白盒测试以及黑盒测试等，在综合实际需求的情况下讨论了网络渗透流程测试的具体方案，本文最终提出了具体的设计流程，通过研究设计流程具有实际性，让渗透测试有章可依。之后提出了良好的管理框架，总结了渗透测试中的风险控制方法，尽最大可能降低了对目标网络的干扰。