信息系統審計中的滲透測試研究

張驕 劉艦

【摘要】滲透檢測作為一種新的網絡安全技術，對網絡安全具有重要的現實意義。滲透檢測作為一種專業的服務安全性在國外應用越來越廣泛，中國的大多數企業都不了解滲透檢測的意義，只有少數從事安全工作的資訊公司能成功通過滲透測試。事實上，內部滲透試驗無論從理論上還是實踐上與國外先進水平相比都還處于初始階段。本研究的目的是介紹信息系統審計的發展現狀及滲透測試對滿足當前信息系統審計需求的意義，并總結了信息系統審計中重要的滲透測試方法，建議采用滲透測試方法進行安全性評價。

【關鍵詞】信息系統審計;滲透測試;關鍵技術;方法

一、信息系統審計發展的現狀

信息時代企業的經營管理和產品銷售依賴于信息系統和網絡環境，但是，由于信息系統自身的特點，控制信息系統在環境中的運行所帶來的風險，對于審計造成風險越來越大，這與基于會計系統和客戶內部信息系統的新特性有關。[1]通過更多地使用計算機和網絡，經過多年的發展和進步，中國的信息系統審計工作取得了一定的共識，國內企業和學術界對信息系統審計的理論和實踐研究取得了一定的成果。

（一）審計信息化投資持續增長

近年來，國家高度重視審計信息化，國家各級審計機關信息化建設投入逐年增加，許多地方審計機關都配備了電腦，主要集中在硬件布局上，同時開始開發審計軟件，但在培訓檢查員的過程中，資金仍然不足。許多當地檢查員都有計算機，但僅僅是簡單的取樣工作，無法對信息系統進行審計。此外，由于我國的特殊情況，東西部地區特別是西部邊遠地區發展不平衡。

（二）審計管理信息化建設初見成效

隨著國家信息化進程的推進，各級政府機關信息化水平不斷提高，而審計系統也不例外。目前，在國家審計署的底層，國家各級機關都建立了自己的局域網，建立了因特網上的官方網站。[2]各級審計機構之間建立網絡有助于它們之間交流信息和文件。

（三）信息系統軟件開發走向商品化

由于建立信息系統的延誤，許多管理人員對風險認識不足，國內企業信息系統審計服務需求連續下降，導致國內市場萎縮，軟件公司對這個小市場的功能審計軟件開發缺乏熱情。目前國內審計機構的研發能力薄弱，難以測試其軟件測試能力。

二、信息系統審計中滲透測試的意義

滲透測試俗稱安全評估。所謂的滲透測試是指評估人員扮演黑客的角色，以攻擊企業的網絡，根據黑客的想法和專家們自己的經驗，模擬黑客進入企業網絡。發現黑客能在公司網絡上能做些什么，可以得到什么有價值的信息。評估人員可以發現企業安全系統的缺陷。這項測試的結果必須準備好并向客戶提供安全報告，并提供建議和證據。滲透測試不僅僅是風險評估的一部分，成功的滲透測試可以檢測到企業網絡中最脆弱的部分。滲透測試可以從系統外部模擬真正的攻擊者，不像從系統管理者角度考慮系統的安全性，滲透試驗報告可作為評估風險的重要原始數據，可為網絡安全總體形勢提供具體證據，用于投資者或管理者。

三、信息系統審計中滲透測試關鍵技術研究

計算機網絡滲透測試通過結合測試者自身的經驗，模擬黑客攻擊，來測試系統-對象安全的薄弱環節。因此，具體的滲透測試方法基本上等同于破解方法，攻擊過程主要分為兩個階段，即：

（一）預攻擊階段滲透測試技術

目前，地址掃描分析方法已被許多使用ICMP協議的掃描方法所采用。當網絡協議部分發生錯誤時，收件人將自動生成ICMP錯誤消息。如果在IP消息中發現代碼或版本驗證錯誤，目標服務器將刪除該分組。[4]

操作系統檢測方法可根據檢測程序分為被動檢測協議和主動檢測協議。根據無源協議，并使用現有工具檢測操作系統并分析其漏洞。通過檢測遠程節點而不是被動操作系統。其主要目的是捕獲從遠程節點發送的分組，并基于該子群獲取一些操作系統信息。主動控制原理利用TCP/IP協議的網絡特性，在與TCP的通信中，使用不同的識別操作系統，在分析后出現在TCP/IP組中的操作系統可以被精確識別。

脆弱性分析是對當前系統的脆弱性進行分析，并在確保找出潛在的危險和可能的安全漏洞安全?；魻枓呙璋▋炔亢屯獠繏呙瑁ㄟ^網絡進行外部掃描，網絡使用服務器掃描作為外部屬性，自動定義服務端口并提供服務。

（二）攻擊階段滲透測試技術

拒絕提供服務的主要目的，是防止電腦系統或互聯網系統無法正常運作，包括通信攻擊和寬帶網絡攻擊。在單位時間內請求相當數量的連接時，會給包括網絡資源和操作系統資源造成巨大壓力。攻擊是根據系統的脆弱性和對目標系統的直接攻擊來執行。最常用的是緩沖區。在這些攻擊中，使用了ARP欺騙、IP欺騙、網絡欺騙等方法。在報告MAC地址網絡錯誤后，無法通過Internet正常獲取返回信息，并欺騙了被篡改的PC發送數據的網關。

網絡監視器設計用于攔截數據流和傳輸網絡內容。通過偵聽端口傳輸的信息由攻擊者分析，而信息如果能控制網絡，網絡可以在的任何地方被監聽，但最好是網關、路由器，防火墻等等。

四、信息系統審計中滲透測試方法研究

目前，許多國家滲透檢測機構為目標用戶提供滲透檢測服務。這會對提高用戶的安全意識，填補用戶安全系統的空白，減少用戶網絡攻擊造成的破壞。

（一）外網測試

首先，黑客總是從網絡的外側開始攻擊。這樣從黑客的角度來看，滲透測試人員也處于一個完整的外網中，通過互聯網進入目標網絡，模仿外部攻擊者的行為。外部網絡測試分為黑匣子和秘密測試兩類。用戶可要求控制測試過程過濾整個網絡，然后使用黑匣子進行測試，而不是秘密測試。

外部網絡測試的主要參數包括對網絡設備的遠程攻擊。驗證密碼管理的安全性。驗證網站和其他開放應用程序的安全性。在外部網絡上發現的漏洞對網絡是致命的，這意味著黑客可以從外部攻擊用戶網絡，應立即糾正網絡的缺陷。

（二）內網測試

內部網絡測試主要模擬兩種場景：一是外部攻擊者通過獲得網絡中的共享用戶權限成功地滲透到網絡中，但應在獲得網絡超級用戶權限之前。二是內部網絡測試模擬外部和外部攻擊者跨越網絡防火墻邊界的可能攻擊。

（三）網間測試

如果攻擊者完全控制網絡的某一部分，網絡間測試允許其在突破后評估子網對其他子網的影響。此外，為了評估交換機和路由器的安全性，通常可以使用跨網絡測試來完成。

參考文獻：

[1]申亞君.大數據環境下的信息系統審計分析[J].無線互聯科技，2020，17（01）：40-41.

[2]陳躍輝.滲透測試在網絡安全等級保護測評中的應用探討[J].網絡安全和信息化，2021（07）：36-38.