綜合安全測試粗探

詹治中

[摘要]在簡要介紹和討論安全測試在當今的安全形勢下的作用，通過幾個側面來說明綜合安全測試的作用及產生的影響。

[關鍵詞]安全測試漏洞風險

中圖分類號：TP3文獻標識碼：A文章編號：1671-7597(2009)0610087-02

一、前言

本論文概述了綜合安全測試作為定位和漏洞評起到的作用，綜合性安全測試作為一種綜合性檢測方式已經逐漸被公認。對當前安全系統所面臨的日益加劇的安全和潛在的問題一以及主動進行的綜合安全測試將成為漏洞評估中最重要的因素進行了說明。

二、信息安全面臨的問題

在目前數字化網絡化的時代里，安全問題越來越成為大家矚目的重點。不同類型的攻擊，惡意軟件與黑客聯盟的攻擊一直以來都是危機的主要問題之一，在目前來自政府和各類機構對安全調控需要的日益增長，已經導致越來越多的單位和機構要定期對自身的技術漏洞和安全防御機制進行評估。多年以來，各個方面都進行了大量的資金的投入，力求通過建立信息系統的防御，特別是在一系列基于網絡底層協議和終端的設施上面的加強來達到安全的目的。但事實卻清楚地表明，安全保護工作仍然令許多單位和組織疲于奔命，他們的信息和資源依舊為外部的風險入侵，業務中斷和數據丟失等問題所困擾著。

而且種種跡象表明，隨著計算機及網絡的發展在接下來的時間里我們將看到更具危害的安全威脅在信息系統中出現。隨著計算機網絡的日益普及，越來越多越來越先進的服務器的出現同樣為這情況提供了基礎，成為用來攻擊最新反病毒技術的工具，同時也為這些攻擊躲避入侵檢測系統提供了環境與條件。

就目前而言，特定群體與最終用戶也開始成為被威脅和攻擊的目標，通過社會工程學或假冒相關的郵件等手段吸引最終用戶點擊仿造正規網站的頁面手段從而獲取相關的個人隱私信息的“網絡釣魚”也正在成為目前的信息系統安全中的新的危害。

對于這些問題已經有些國家已經提出了相應的應對策略，包括最初美國國會在1996年通過了相關諸如支付卡行業的數據安全標準(Payment Card Industry3 Data Security Standard—PCI DSS)以及健康保險流通與責任法案(Health Insurance Portability and Accountability Act—HIPAA)，盡管美國的這些辦法有起到一定的作用，但是這些嚴格的信息標準也無法徹底避免信息系統會遭受被攻擊從而造成數據流失的危害。

這讓我們覺察到我們正面對著一個多樣化的環境，面臨的信息系統安全問題比以往更加復雜和嚴峻，信息方面正面臨著比以往任何時候都更復雜的潛在安全問題，

三、目前安全機制的主要問題

盡管幾十年來在信息系統安全方面的產品相當豐富，從傳統的單機方面的防護軟件、網絡方面的防護軟件系統，到新型的數據丟失防護工具技術(Data Loss Prevention-DLP)，現實情況是，許多單位組織或者個人仍然很容易受到攻擊和信息泄漏。

相關的數據已證明，許多領軍的安全廠商已經認識到最常用的桌面和網絡防病毒系統正在被大量的形式多樣存在不同的針對性攻擊所包圍，并且像DLP這類技術還不夠成熟無法成功應用到企業。

同時現在的單位往往都有建立相關的安全機制措施，但在實際工作中，實際工作人員與管理人員間的彼此溝通仍在結構上存在問題，例如為了提升網絡安全進行統一的網絡性能方面的維護、各個用戶終端應用軟件的統一升級、以及對工作人員進行軟件應用培訓上，都存在著不連續與脫節。另一方面我們目前使用的信息系統安全體系都存在這一個普遍的問題，那就是傳統防御機制甚至一些新的安全管理和漏洞掃描解決的方案都會在運行中產生大量的記錄數據，而這些數據往往需要通過大量的計算任務來處理，對所在服務器造成巨大的負擔，在提升了安全的同時卻降低了系統的效率及穩定程度。

當今，從防火墻、入侵檢測／預防系統(intrusion detection／prevention systems-IDS／IPS)，到新興的安全事件／信息管理系統(securityevent／information management—SEM／SIM)都遍布我們的工作當中，這些防范的機制讓那些相關安全防范的人員可以詳細地了解到系統目前的安全狀態，其中包括被黑客攻擊的相關記錄。雖然隨著這些應用的發展，大多數的安全負責人員都會通過運用篩選技術來提高系統的效率，但是對于一個單位的來說，對于安全上面的投入所產生的效益是無法進行相應的估計和衡量的，而且在這一方面實際出現的情況往往需要安全管理人員在進行安全工作室也需利用到其他的工具，這些工具對于安全系統來說不會帶來安全上的加權。這些情況一直在向我們說明這么一個問題，安全系統的有效性與相關的投資也需要有一個有效的測試評估手段。

四、安全測試的范圍

進行綜合性的安全測試的目的就是對于目前安全所面臨的問題，進行綜合的測試從而能更加全面地對總體的安全狀態進行評估。

正如日常運行中的系統都必須進行定期進行檢查，以確保在一定的時間內和相關信息系統沒有問題保持其運行的穩定，現有的安全設備也逐漸越來越多地進行頻繁的審查，防止可能存在的漏洞或者安全隱患。在這一系列的測試與檢查中，一種更加綜合性的安全測試正悄然而生，以用來幫組相關的安全人員對相關的安全系統及安全策略進行評估，以便相關的人員了解自己信息系統的存在哪些可以利用的優勢性能或者不足。

為了達到全面的測試檢測效果，在目前這類型的安全測試中，先由系統架構師對整個總體的系統進行分析驗證，從基礎框架開始對整個系統進行測試，查找被測系統的不足或者潛在的各種問題，并針對不同的相關功能進行具體性質的安全檢測；最后再投入試運行在運行過程中找出潛在的問題與不足。現今許多的軟件開發商也已開始在自己的產品中整合上軟件的自我測試功能，以幫助客戶確保其軟件系統運作正常。但這一情況存在著一定的片面性，因為大部分這些測試通常旨在確保用戶在產品能在完成最基礎的功能的情況下順利運行而已，而不是積極尋求全方位的進行測試，大多數并沒有對于潛在安全風險進行相關的測試工作。

在這個問題上，很多的安全人員與專家們認識到，進行獨立的技術測試，能最全面和客觀地檢測到潛在的風險。

目前流行的用來最普遍的進行安全檢測及進行定期系統自我檢查的獨立檢測方式有如下三種：

1．源代碼分析檢測針對軟件開發的底層代碼進行相應的檢測；

2．漏洞掃描檢測針對網絡基礎設備或者相關的網絡應用程序進行相關的漏洞掃描，以便查明在其網絡的應用上是否配置不當存在漏洞或者潛在的威脅；

3．安全性測試系統模擬真實的使用環境，以最真實地暴露系統安全弱點，并對軟件的安全功能及安全政策的有效性進行測試分析，并制定相

應的防災應對機制以減輕相應的軟件安全問題。

根據近一階段發表的報告6，相當多的機構開始對自身的系統環境進行更積極主動的評測，特別是漏洞測試方面。將測試所獲得的信息結合以往的數據，通過制定安全事件處理優先級的方式來降低安全系統的運行風險，從而提高安全系統的性能，以及滿足外部評審的要求。許多安全測試系統的支持者，包括許多大型的安全機構都聲稱，他們目前使用的技術已經使他們具備對安全事件的操作定位能力8，對于相關的安全問題，能夠進行有效的標記和進行處理優先級的劃分。相應的未能主動進行安全測試的公司其商務上的合作伙伴及客戶會逐漸認識到其存在技術上的落伍。

IT行業分析師，安全審計和相關的業者都將采用公認的漏洞評估與檢測能力樣本對系統進行評估，并針對現實中所采集到的實時指標做出在不同安全等級要求的可視圖表報告。

比如說，作為PCI DSS標準的一部分(需要所有商業貸款或信用卡交易提供可靠的電子數據安全性)，從事這方面業務的銀行部門都被要求進行在系統和應用上進行此類的測試6(包括以上列舉的三種檢測方式)以降低信息泄露的風險。

目前許多機構都有每年聘請外部顧問常駐，或者進行兩年一度的安全測試，然而許多的專家都開始認為進行主動的自我評估是最理想的方式9：一來可以經常性地進行來保障安全工作的有效；二來，日常的測評的記錄也能夠為每年一度的測評工作作出補充。對應的測試系統還可以依照不同的評測標準為機構提供相關的參考，這方面已開始接近許多專業服務公司提供的信息分析服務內容了。并且這項技術是在眾多專家對于漏洞分析的長期工作總結出的最有效方法的基礎上建立起來的，能夠從數據方面檢測相關的安全工作是否達到原來預期的目標。

不難看出，基于以上的種種原因，所有這些采用的安全測試技術的跡象都表明，越來越成為當今普遍的檢測方式；而且就目前的效果而言，這正在迅速成為漏洞評估的最基本最有效的方法。更甚一步，安全測試系統工作范圍十分廣泛，將安全測試系統整合進其它領域似乎也是十分合乎情理的，或者說安全測試可以很容易地與其他類似的技術進行結合。在不久的未來也許這類檢測機制就能夠按照使用者的需要在不同領域不同系統的要求下對系統進行自我檢測，而相關的檢測機構也可以不用專門為了某個安全系統進行定制測試內容而在那個領域進行主動深入的了解分析。

五、對綜合測試的結論及展望

綜合測試為組織在安全方面的檢測能力提供保證，能使他們快速準確地找出系統中存在的弱點與不足，讓被檢測的單位可以根據檢測報告進行有針對性的安全工作，使得安全工作方面在人力與財力做到有的放矢。而且在用戶終端、網絡，所進行的綜合的，多層次的測試為最終用戶和企業提供全面，集中的方法來進行安全管理。

與只參與軟件開發過程的源代碼分析工具或是提供組織長期列出潛在的弱點的漏洞掃描工作不同的是，全面的安全測試軟件解決方案的可以協助用戶對重大風險中的數據進行操作，使用戶能在第一時間內對嚴重的問題做出反應。

目前許多平臺進行評估的方式是讓各種安全機構在系統不同的部分進行獨立的漏洞檢測，如針對Web應用程序的漏洞檢查就是個很好的例子說明這點。但只有綜合性的安全測試則是一種綜合性的安全檢查評估方式，它從底層設備乃至最終的用戶安全策略開始抓起，反復對可能存在風險的問題進行檢測，并對出現的問題做出適當的補救和反應。

許多的漏洞檢測機構在完成工作后會提供一份關于漏洞的解決報告，相關的單位機構可以根據相應的內容對存在的問題進行解決改善。可以看到的是這項內容已于作為一個具體的要求寫入PCI DSS標準的第11.3節10。

除了這些具體的要求，漏洞檢測系統也有助于從某些方面增加組織安全制度的可執行性，讓相應的防御機制和安全政策能更加廣泛地得到貫徹與執行，這也使得綜合測試越來越成為安全技術領域所推崇的做法。在復雜的威脅面前，嚴格遵守法規和生產過度信息的傳統的安全系統已漸漸不能適應需要，許多單位將考慮應該如何將加強安全工作組織人員進行安全作為安全工作的重點，這顯然靠一個安全軟件是遠遠做不到的。

此外，無論是在目前或未來的時間里安全防范人員，執行業者還是業務線管理人員都在努力積極地尋找著有助于他們降低潛在的安全問題的方法，以提高他們在信息方面的安全程度。目前由于安全方面的原因，行業在信息系統上提出了越來越多的需求，隨著第三方調查機構對于入侵與數據丟失的調查的深入與增多，全面系統地進行安全測試也正在成為被各個機構部門普遍接受并認為是高效且負責的做法

全面安全測試方案提供了能夠通過的最有效方法檢查出被測機構系統中存在的最關鍵的漏洞，從而降低經營風險，并確保系統的安全策略能有效地發揮作用。

安全工作的最迫切的目的就是，盡最大可能保護他們的工作和敏感的數據，而要做到這些就必須解決以下的重要問題，包括：

1．我們應牢牢把握對我們來說重要的風險和漏洞存在的情況，及時對這些潛在的問題做出相應的檢查與評估；

2．避免成為攻擊的目標，做好針對攻擊進行檢測的工作：

3保障現有的安全機制有效地運作，能直觀地對作出分析與判斷；

4．單位里的工作人員遵照單位制定的安全策略進行工作，對于安全策略中存在的不足進行改進，保證相應的貫徹執行。

這里所提出的這些問題，獨立的綜合性安全測試將提高系統的安全程度與反映速度，可以說主動進行綜合性安全測試的時代即將到來。