高校學生信息服務系統滲透測試研究

葛琳琳，張威

（遼寧石油化工大學遼寧　撫順　113001）

?

高校學生信息服務系統滲透測試研究

葛琳琳，張威

（遼寧石油化工大學遼寧撫順113001）

摘要：高校學生信息服務系統為高校整體信息化建設帶來了很大的便利，但系統的信息化安全問題受到很大的關注，網絡和信息安全問題已經成為急需解決的問題，特別是Web安全問題，已成為高校學生信息服務系統安全瓶頸。本文根據高校學生信息服務系統的特點，論述了針對高校學生信息服務系統的滲透入侵測試服務的步驟，詳述了對高校學生信息服務系統在不影響正常運行的情況下，具體進行滲透入侵測試實施過程和完成后的效果評估。

關鍵詞：信息服務系統；滲透測試；信息收集；效果評估

隨著學校規模的不斷擴大，學生數量急劇增加，有關學生的各種信息量也成倍增長。面對龐大的信息量，需要一個高校學生信息服務系統來提高學生管理工作及信息傳輸的效率。通過該系統，提高學生管理效率，節約管理成本，加快信息傳播的速度及透明度，增強學生管理的安全性。從而滿足學校領導、教育管理單位、學生管理人員、教師和學生的不同層次和不同方面的需要，為學校將來的整體信息化建設提供必要的支持。然而，高校學生信息服務系統給使用者帶來極大的便利的同時，不可避免地會遇到一些新情況、新問題。比如，系統的信息安全、保密技術問題；信息的訪問形式與安全控制問題；這些都是對高校學生信息服務系統的人為的攻擊（例如高校學生信息泄漏、竊取、數據篡改、數據刪添和計算機病毒等），特別高等學校是高技術人群集中的場所。所以，為了確保高校學生信息服務系統的真實性和完整性，需要對高校學生信息服務系統進行不定期的滲透入侵測試來進行安全檢測。

1　高校學生信息服務系統滲透測試的步驟

滲透入侵測試是一種全新的安全防護思路，將安全防護從傳統的被動防護轉換成了主動防護。對高校學生信息服務系統進行滲透入侵測試是從第3方角度對學生信息服務系統的安全性進行檢查，能夠讓學生信息服務系統的管理者了解系統中安全漏洞可以被利用的情況。高校學生信息服務系統滲透測試的步驟如圖1所示。

圖1　高校學生信息服務系統滲透測試步驟

1）立項：由高校學生信息服務系統安全保障部門提出滲透入侵測試服務需求，招標或議標，確定服務提供商；

2）授權：由高校學生信息服務系統的領導與滲透入侵測試服務提供商簽訂滲透入侵測試服務授權書，允許滲透入侵測試服務提供商在規定的時間段內，對高校學生信息服務系統的協議目標進行滲透入侵測試的相關活動；

3）目標：明確對高校學生信息服務系統滲透入侵測試服務的具體目標、希望的滲透入侵測試的結果等級，確定具體的滲透入侵測試方式，滲透入侵測試服務的有效時間段，對滲透入侵測試可能對系統運行帶來的影響進行評估，并制定相應的應急方案；評估滲透入侵測試服務的工作量與技術難度；

4）合同：由高校學生信息服務系統的領導與滲透入侵測試服務提供商簽訂滲透服務的商務合同；

5）準備：準備滲透入侵測試所需的目標信息，選擇合適的滲透入侵測試場所，準備滲透入侵測試所需的各種工具（滲透服務中使用的所有攻擊類工具，全部由滲透入侵測試服務提供商自己配備，由專業的滲透入侵測試工作人員操作，不銷售、不拷貝給其他人員，包括用戶方）；

6）滲透：具體的滲透入侵測試工作，一般是隱蔽的，高校學生信息服務系統工作人員不增加比平時維護更多的關注；

7）總結：滲透入侵測試時間到期，或滲透入侵測試提前成功，評估滲透入侵測試結果，編寫滲透入侵測試總結報告，給出系統整改建議報告，在滲透入侵測試過程中要嚴格遵守授權的時間，提前結束、延期、中斷后繼續等變化，都需要高校學生信息服務系統安全保障部門書面授權；

8）匯報：滲透入侵測試服務提供商把滲透的過程與結果、建議向高校學生信息服務系統安全保障部門匯報，可以展示滲透的有關結果截圖，或直接查看系統狀態；

9）清理：恢復高校學生信息服務系統修改過的目標配置，恢復修改過的數據與文件，徹底清除現場使用過的滲透工具拷貝；

10）結束：滲透入侵測試服務結束。滲透入侵測試服務提供商交回所有涉及高校學生信息服務系統的資料，并承諾對滲透入侵測試過程中得知的用戶敏感信息保密，不向第3方擴散。

2　高校學生信息服務系統滲透測試的實施

由滲透入侵測試服務提供商向高校學生信息服務系統安全保障部門主管提出申請，申請開始進行滲透測試，并落實學生信息服務系統安全保障部門需要配合的工作。

1）高校學生信息服務系統信息收集

高校學生信息服務系統安全評估的第一步是最大程度地收集目標系統的信息，這同樣也是滲透測試的關鍵性步驟。信息的收集和分析伴隨著滲透測試的每一個步驟。實現信息收集有很多種方法，例如：使用搜索引擎、掃描器或發送特殊構造的HTTP請求等，這些手段都可以使服務器端的應用程序返回一些錯誤信息或系統運行環境的信息，通過分析這些信息，可以為后期的滲透測試工作提供很大幫助，如：減小了滲透測試的范圍，加強了針對性；工作簡潔高效，避免做無關滲透測試；提高滲透測試效率，減少不必要的麻煩。

信息收集工作包括5類：Web服務器和應用程序指紋探測、后臺應用程序發掘、爬網和Goog1jng、錯誤代碼挖掘、應用程序配置管理測試。

2）滲透測試實施

通過對高校學生信息服務系統的信息收集，可以簡單的描繪出目標系統的網絡結構，如高校學生信息服務系統網絡所在區域，IP地址分布，VPN接入地址等。對于高校學生信息服務系統進行專業滲透測試特別要注意一些比較偏門的HOST名稱地址，如一些backup開頭或者temp開關的域名很可能就是一臺備份服務器，其安全性很可能做的不夠。

從獲取的地址列表中進行系統判斷，了解高校學生信息服務系統組織架構及操作系統使用情況。最常用的方法的是目標所有IP網段掃描和端口/服務信息收集。

3）通常按以下幾個級別進行逐層的滲透測試

①漏洞掃描

這一步主要針對具體系統目標進行。對于前面的信息收集，已經得到了高校學生信息服務系統的IP地址分布及對應的域名，并且已經通過一些分析過濾出少許的幾個攻擊目標，這時，就可以針對它們進行有針對性的漏洞掃描。

②漏洞利用

有時候通過服務/應用掃描后，可以跳過漏洞掃描部分，直接到漏洞利用。因為很多情況下根據目標服務/應用的版本就可以到一些安全網站上獲取針對該目標系統的漏洞利用代碼；如果沒有可利用的代碼，也可以嘗試在GOOGLE上搜索“應用名稱exp1ojt”、“應用名稱vu1nerabj1jty”等關鍵字。

Web安全測試主要圍繞幾塊進行：

Informatjon Gatherjng：也就是一般的信息泄漏，包括異常情況下的路徑泄漏、文件歸檔查找等。

Busjness 1ogjc testjng：業務邏輯處理攻擊，很多情況下用于進行業務繞過或者欺騙等。

Authentjcatjon Testjng：有無驗證碼、有無次數限制等，總之就是看能不能暴力破解或者說容不容易通過認證，比較直接的就是“默認口令”或者弱口令了。

Sessjon Management Testjng：會話管理攻擊在COOKIE攜帶認證信息時最有效。

Data Va1jdatjon Testjng：數據驗證最好理解了，就是SQL Injectjon和Cross Sjte Scrjpt等。

③權限提升

在前面的一些工作中，已經得到了一些控制權限，但是對于進一步攻擊來說卻還是不夠。例如：你可能很容易的能夠獲取Orac1e數據庫的訪問權限，或者是得到了UNIX（AIX，HPUX，SUNOS）的一個基本賬號權限，但是當進行進一步的滲透測試的時候，會發現沒有足夠的權限打開一些密碼存儲文件、沒有辦法安裝一個SNIFFER、甚至沒有權限執行一些很基本的命令。這時候就需要進行權限提升了。

目前一些系統對于補丁管理存在很大問題，或許根本就沒有想過對一些服務器或者應用進行補丁更新，或者是延時更新。這時候就是可以利用這些不及時的補丁進行滲透。

④密碼破解

有時候，高校學生信息服務系統任何方面的配置都是無懈可擊的，但是并不是說就完全沒辦法進入。最簡單的說，一個缺少密碼完全策略的論證系統就等于安裝了一個不能關閉的防盜門。很多情況下，一些安全技術研究人員對此不屑一顧，但是無數次的安全事故結果證明，往往破壞力最大的攻擊起源于最小的弱點，例如弱口令、目錄列表、SQL注入繞過論證等。

3　高校學生數字化檔案服務系統滲透測試的效果評估

對高校學生數字化檔案服務系統進行滲透入侵測試服務的交付結果應該是“可以理解的”，作為滲透入侵測試服務的最終結果，可以通過下面4種服務目標來驗證滲透的效果：

1）竊取到高校學生數字化檔案服務系統內的特定、敏感或有價值的信息；

2）修改了高校學生數字化檔案服務系統內的特定、敏感或有價值的信息；

3）建立了遠程控制高校學生數字化檔案服務系統的后門通道；

4）成功潛伏在高校學生數字化檔案服務系統內沒有被發現。

滲透入侵測試作為系統安全檢測服務，并不是在規定的時間內都可以完成預定的滲透入侵測試任務，為了可以衡量滲透入侵測試服務的質量，根據滲透入侵測試的實現程度把滲透入侵測試服務的效果如下分級，如表1所示。

表1　滲透入侵測試服務效果級別

滲透效果的取得與限定的滲透服務時間長度有很重要的關系，尤其是模擬APT攻擊的滲透，需要躲避用戶信息安全防護體系的種種監控，不驚擾被滲透的目標人，一般不能直接掃描或暴力破解，采用慢掃描、誘騙等方式逐步滲透，有時時間可以長達幾個月，因此，要達到第4級滲透效果一般很難，若是用戶簽訂長期的滲透服務合同，或許可以獲得滿意的效果。

4　結束語

高校學生檔案數字化檔案服務系統能夠不斷地改善和提高檔案服務部門的服務質量和效率，但在高等學校高技術人群聚集的單位，需要對學生的數字化檔案的安全性和完整性有完善的保障措施和保障體系，以確保高校學生的數字化檔案的真實性和可用性。所以，對于高校學生數字化檔案服務系統必須要進行不定期的滲透入侵測試，能夠準確的發現系統的漏洞并及時補救。

參考文獻：

［1］宋超臣，王希忠，黃俊強，等.Web滲透測試流程研究［J］.電子設計工程.2014，22（17）：165-167.

［2］張威，葛琳琳.一種抗幾何失真的非對稱圖像水印算法的設計［J］.遼寧石油化工大學學報：自然科學版，2014（34），6：71-73.

［3］葛琳琳，張威.數字化檔案IP網網絡設計方法的研究與應用［J］.遼寧石油化工大學學報：自然科學版，2015，35（1）：62-66.

［4］張博，李偉華.Phjshjng攻擊行為及其防御模型研究［J］.計算機工程.2006，32（14）：125-127.

［5］王強，蔡皖東，姚燁.基于滲透測試的跨站腳本漏洞檢測方法研究［J］.計算機技術與發展，2013，23（3）：147-151.

［6］葛琳琳，張威，李平，等.高校黨校數字化檔案安全等級保護策略［J］.蘭臺世界，2015，469（4）：86-87.

Research on the Penetratlon test of lnformatlon servlce system for unlverslty students

GE Ljn-1jn，ZHANG Wej
（Liaoning Shihua University，Fushun 113001，China）

Abstract:Unjversjty student jnformatjon servjce system has brought a 1ot of convenjence for the constructjon of the who1e jnformatjon system，but the system's jnformatjon securjty has been a great concern. The network and jnformatjon securjty has become a prob1em to be so1ved urgent1y，especja11y the Web securjty has become the bott1eneck of Unjversjty student jnformatjon servjce system. In thjs paper accorded to the characterjstjcs of unjversjty students' jnformatjon servjce system，thjs paper djscussed the jntrusjon steps of penetratjon testjng servjces for unjversjty students' jnformatjon servjce system，detaj1ed the on unjversjty students' jnformatjon servjce system penetratjon jnvasjon test jmp1ementatjon process and after the comp1etjon of the eva1uatjon under does not affect the norma1 operatjon.

Key words:jnformatjon servjce system；penetratjon test；jnformatjon co11ectjon；effect eva1uatjon

中圖分類號：TN918

文獻標識碼：A

文章編號：1674-6236（2016）07-0154-03

收稿日期：2015-07-15稿件編號：201507115

基金項目：撫順市科學技術發展資金計劃項目（FSKJHT201548）；大學生創新創業資助項目（201410148060；201510148068）

作者簡介：葛琳琳（1977—），女，遼寧沈陽人，碩士。研究方向：網絡安全。