渗透测试流程、标准及相关法律法规汇总

网络安全已经成为国家安全战略的重要组成部分，安全测试也成为软件安全开发生命周期中必不可少的阶段。渗透测试是以攻击者的视角对应用系统进行针对性的安全测试，通过主动发现应用系统的安全隐患和漏洞而减少风险。 

目前国内外最认同的渗透测试标准是PTES（Penetration Testing Execution Standard）渗透测试执行标准。该标准将渗透测试分为七个阶段，分别是前期交互、信息搜集、威胁建模、漏洞分析、渗透攻击、后渗透攻击、渗透报告。

前期交互环节主要是与被渗透方进行深入的沟通，确认渗透测试的目标、范围、条件限制以及服务细节等，拿到可以合法渗透的渗透测试授权。

接下来是渗透测试过程中至关重要的一个环节：信息收集，渗透测试人员收集到的信息越多、越全面，对之后的渗透测试越有利。渗透测试人员可以通过使用开源情报（OSINT）、Google Hacking、资产测绘平台（如Sumap、Shodan、Fofa等）、资产扫描工具（如Goby、资产灯塔等）进行信息收集。除此之外，还可以通过外围信息、服务器信息、网络信息、业务信息等渠道进行信息收集。

信息收集完毕后，需要对收集到的信息进行整理和分析，制定出渗透攻击方案，这个过程就是威胁建模环节。

结合攻击方案及已知的信息，进行漏洞分析，挖掘当前渗透测试项目中可以用的已知漏洞来获取对应存在漏洞的服务器的访问权限。漏洞分析阶段结束之后，就可以开始渗透攻击阶段了，利用已经编写好的测试脚本和攻击手法对目标服务器进行渗透攻击。

当渗透攻击全部完毕后，就到了后渗透攻击环节，该环节需要根据被渗透方的安全防御特点、业务管理模式、资产保护流程等识别出被渗透方的核心设备及对被渗透方最有价值的信息及资产，最终规划出能够对客户组织造成最大化影响的攻击途径及方式。

结束渗透攻击和后渗透攻击后，就到了最后一个环节，渗透测试报告的撰写环节。报告中需涵盖：目标关键情报信息、渗透测试出的漏洞详情、成功渗透的攻击过程、造成业务影响的攻击途径，并从安全维护方的角度告知被渗透组织或企业其在安全防御体系中存在的薄弱点及风险，并给予专业的修复和改善建议。

接下来我们再一起来看一下与渗透测试相关的政策法规有哪些：

网络安全法律法规：

《中华人民共和国网络安全法》第二十七条

《中华人民共和国刑法》第二百八十五条

《中华人民共和国保守国家秘密法》

《中华人民共和国国家安全法》

《中华人民共和国计算机信息系统安全保护条例》

政策标准：

《关于加强国家网络安全标准化工作的若干意见》

《网络产品和服务安全审查办法》

《信息安全技术 网络安全等级保护基本要求》

《网络安全等级保护条例》

《网络安全审查办法》

这些法律标准不仅明确了我们在渗透测试过程中可以做哪些操作，也规定了不能做的一些操作，通过对这些法律法规的学习，可以更好地保障我们自身工作的合法性。后面的文章会继续为大家介绍渗透测试常用的平台和工具，欢迎大家继续关注。