探討滲透測(cè)試在網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中的應(yīng)用

鐘國(guó)威

摘要：滲透測(cè)試作為網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)的重要手段，能夠確保系統(tǒng)的安全、穩(wěn)定運(yùn)行。本文在分析了滲透測(cè)評(píng)應(yīng)用必要性基礎(chǔ)上，對(duì)滲透測(cè)試原理、流程及各個(gè)環(huán)節(jié)工作內(nèi)容、風(fēng)險(xiǎn)規(guī)避策略分別進(jìn)行了闡釋，以期有效提升滲透測(cè)試在網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中的應(yīng)用質(zhì)量。

關(guān)鍵詞：滲透測(cè)試;網(wǎng)絡(luò)安全;等級(jí)保護(hù);測(cè)評(píng)

引言

網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是國(guó)家貫徹落實(shí)網(wǎng)絡(luò)安全法的重要舉措之一，在信息時(shí)代的快速發(fā)展中其表現(xiàn)出安全漏洞層越來(lái)越多，致使網(wǎng)絡(luò)信息系統(tǒng)面臨巨大的安全隱患。因此，在網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程中，人們更加注重準(zhǔn)確、快速地找到網(wǎng)絡(luò)信息系統(tǒng)中潛在的安全隱患。滲透測(cè)試主要是通過(guò)模擬攻擊者的思維方式，利用現(xiàn)如今比較成熟的技術(shù)手段或者工具對(duì)被測(cè)試網(wǎng)絡(luò)信息系統(tǒng)的安全性能進(jìn)行全方位測(cè)評(píng)，盡可能發(fā)現(xiàn)被測(cè)試網(wǎng)絡(luò)信息系統(tǒng)存在的安全隱患，這也是網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中的關(guān)鍵環(huán)節(jié)。

1滲透測(cè)試在網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中的必要性分析

美國(guó)東海岸地區(qū)曾在2016年遭受了嚴(yán)重的分布式拒絕服務(wù)攻擊，此次網(wǎng)絡(luò)攻擊造成了美國(guó)一半以上的網(wǎng)絡(luò)信息系統(tǒng)陷入癱瘓狀態(tài)，其直接經(jīng)濟(jì)損失不可估量;另外，2017年的WannaCry勒索病毒更是嚴(yán)重阻礙了全世界150多個(gè)國(guó)家的教育、醫(yī)療、交通以及能源等行業(yè)的發(fā)展，這些事例都足以說(shuō)明有必要進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)。

2016年11月7日，我國(guó)在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》法案中對(duì)國(guó)家網(wǎng)絡(luò)安全進(jìn)行了明確規(guī)定，將網(wǎng)絡(luò)信息系統(tǒng)按照安全等級(jí)進(jìn)行劃分，并對(duì)第三級(jí)別及以上的網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行抗?jié)B透能力限制和規(guī)范，要求這類網(wǎng)絡(luò)信息系統(tǒng)必須具備較高標(biāo)準(zhǔn)的網(wǎng)絡(luò)攻擊檢測(cè)和抵御能力，同時(shí)還要求這類網(wǎng)絡(luò)信息系統(tǒng)要具有抗惡意代碼攻擊性能，并對(duì)系統(tǒng)正在發(fā)生的網(wǎng)絡(luò)安全事件進(jìn)行及時(shí)警示。在實(shí)際的網(wǎng)絡(luò)安全控制過(guò)程中，所有的網(wǎng)絡(luò)信息系統(tǒng)都必須進(jìn)行等級(jí)保護(hù)測(cè)評(píng)，并在審核通過(guò)之后才能正式投入使用。

在對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)行測(cè)評(píng)過(guò)程中應(yīng)用滲透測(cè)試具有以下作用：一是滲透測(cè)試能夠評(píng)估網(wǎng)絡(luò)信息系統(tǒng)的安全等級(jí)，發(fā)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)是否存在安全風(fēng)險(xiǎn)，并針對(duì)其存在的安全漏洞進(jìn)行及時(shí)修復(fù)或預(yù)警;二是就網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)結(jié)果而言，滲透測(cè)試能夠全面評(píng)估影響網(wǎng)絡(luò)信息系統(tǒng)的因素，從而提高其等級(jí)保護(hù)測(cè)評(píng)水平。因而在網(wǎng)絡(luò)信息時(shí)代背景下，有必要對(duì)網(wǎng)絡(luò)信息系統(tǒng)安全性能等級(jí)進(jìn)行滲透測(cè)試。

2滲透測(cè)試原理

滲透測(cè)試主要是根據(jù)業(yè)界公布的或者測(cè)試人員已經(jīng)掌握的網(wǎng)絡(luò)信息系統(tǒng)安全漏洞信息，從攻擊者思維角度出發(fā)，通過(guò)采用現(xiàn)代比較成熟的技術(shù)手段、工具或者手動(dòng)對(duì)目標(biāo)對(duì)象的服務(wù)器、應(yīng)用、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)等安全性進(jìn)行全面檢測(cè)，進(jìn)而發(fā)現(xiàn)安全漏洞的過(guò)程。滲透測(cè)試應(yīng)用過(guò)程中的一項(xiàng)重要準(zhǔn)則就是所有的測(cè)試行為必須建立在用戶書面明確授權(quán)且監(jiān)督基礎(chǔ)上，只有經(jīng)過(guò)用戶授權(quán)的滲透測(cè)試才能更加真實(shí)、全面地挖掘出網(wǎng)絡(luò)信息系統(tǒng)存在的安全漏洞并檢驗(yàn)其可用性，而無(wú)須進(jìn)行諸如植入后門的后續(xù)滲透操作，因此，滲透測(cè)試通常情況下不會(huì)對(duì)網(wǎng)絡(luò)信息系統(tǒng)造成影響，帶來(lái)?yè)p失。

3滲透測(cè)試流程

一般情況下，網(wǎng)絡(luò)安全等級(jí)保護(hù)滲透測(cè)試流程主要包括四個(gè)階段，分別是滲透測(cè)試準(zhǔn)備、網(wǎng)絡(luò)安全信息探測(cè)、滲透測(cè)試實(shí)施和生成報(bào)告四個(gè)階段。

滲透測(cè)試各個(gè)階段的具體工作內(nèi)容如下：

（1）滲透測(cè)試準(zhǔn)備階段：在得到單位的書面明確授權(quán)之后，開始網(wǎng)絡(luò)信息系統(tǒng)安全等級(jí)保護(hù)滲透測(cè)試實(shí)施準(zhǔn)備，與單位溝通確定滲透測(cè)試實(shí)施范圍、工具、方法、時(shí)間、人員等，同時(shí)將可能存在的測(cè)試風(fēng)險(xiǎn)考慮在內(nèi)，在得到單位明確書面授權(quán)許可后方可執(zhí)行測(cè)試，且整個(gè)滲透測(cè)試過(guò)程都必須要在單位的監(jiān)督和控制下。

（2）網(wǎng)絡(luò)安全信息探測(cè)階段：在此過(guò)程中，要根據(jù)上一環(huán)節(jié)確定的測(cè)試范圍，通過(guò)采用一些商業(yè)或者開源的安全評(píng)估工具（例如Nessus、Nmap等）收集與被測(cè)試網(wǎng)絡(luò)信息系統(tǒng)有關(guān)的信息，并對(duì)探測(cè)獲得的系統(tǒng)端口、IP、服務(wù)器等信息進(jìn)行分類整理，從而為下一階段測(cè)試做鋪墊。

（3）滲透測(cè)試實(shí)施階段：此階段的主要工作內(nèi)容就是對(duì)探測(cè)獲得的信息進(jìn)行處理和分析，按照制定滲透策略、準(zhǔn)備攻擊代碼、研究繞過(guò)機(jī)制的流程對(duì)被測(cè)試網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行等級(jí)保護(hù)滲透測(cè)試，滲透測(cè)試主要包括內(nèi)網(wǎng)和外網(wǎng)兩種實(shí)施路徑，其中前者是為了躲避系統(tǒng)防火墻等安全防御裝置，如果測(cè)試在此階段能夠順利進(jìn)行則能夠成功獲得用戶權(quán)限，進(jìn)而實(shí)現(xiàn)下一步的攻擊;后者則需要通過(guò)與互聯(lián)網(wǎng)聯(lián)通才能對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行測(cè)試，具體測(cè)試流程與內(nèi)外測(cè)試基本一致。

（4）生成報(bào)告階段：主要是根據(jù)測(cè)試結(jié)果生成報(bào)告。

4滲透測(cè)試應(yīng)用過(guò)程中的風(fēng)險(xiǎn)規(guī)避策略

由于網(wǎng)絡(luò)安全等級(jí)保護(hù)滲透測(cè)試是不斷變化的過(guò)程，為了盡可能避免滲透測(cè)試對(duì)系統(tǒng)正常運(yùn)行產(chǎn)生影響，需要制定風(fēng)險(xiǎn)規(guī)避策略，具體如下：

第一，滲透測(cè)試方案的制定要得到雙方認(rèn)可。

第二，盡可能選擇系統(tǒng)業(yè)務(wù)量不高的時(shí)間段進(jìn)行滲透測(cè)試，這樣還可以為及時(shí)排除風(fēng)險(xiǎn)留有充足時(shí)間。

第三，為避免滲透測(cè)試過(guò)程中發(fā)生潛在風(fēng)險(xiǎn)，應(yīng)盡可能減少系統(tǒng)核心業(yè)務(wù)的測(cè)試數(shù)量，以免影響系統(tǒng)正常運(yùn)行。

第四，在測(cè)試實(shí)施之前要對(duì)被測(cè)試信息系統(tǒng)做完整備份，便于在出現(xiàn)問(wèn)題之后及時(shí)恢復(fù)，不影響使用。

第五，如果測(cè)試過(guò)程中發(fā)生故障，應(yīng)在故障排除后再進(jìn)行測(cè)試，并且排障后還要再經(jīng)授權(quán)方可進(jìn)行。

第六，測(cè)試全過(guò)程中都要確保雙方能夠進(jìn)行及時(shí)、有效的溝通。

5結(jié)束語(yǔ)

根據(jù)上述分析可知，滲透測(cè)試在網(wǎng)絡(luò)安全等級(jí)保護(hù)中的應(yīng)用是非常必要的，且測(cè)試必須在充分掌握其原理基礎(chǔ)上按規(guī)范化流程一一進(jìn)行，此外，在測(cè)試過(guò)程中要注意風(fēng)險(xiǎn)規(guī)避，這樣才能確保網(wǎng)絡(luò)信息系統(tǒng)的安全、穩(wěn)定運(yùn)行。