探討滲透測試在網(wǎng)絡(luò)安全等級保護(hù)測評中的應(yīng)用

1、    探討滲透測試在網(wǎng)絡(luò)安全等級保護(hù)測評中的應(yīng)用    鐘國威摘要：滲透測試作為網(wǎng)絡(luò)安全等級保護(hù)測評的重要手段，能夠確保系統(tǒng)的安全、穩(wěn)定運行。本文在分析了滲透測評應(yīng)用必要性基礎(chǔ)上，對滲透測試原理、流程及各個環(huán)節(jié)工作內(nèi)容、風(fēng)險規(guī)避策略分別進(jìn)行了闡釋，以期有效提升滲透測試在網(wǎng)絡(luò)安全等級保護(hù)測評中的應(yīng)用質(zhì)量。關(guān)鍵詞：滲透測試;網(wǎng)絡(luò)安全;等級保護(hù);測評引言網(wǎng)絡(luò)安全等級保護(hù)制度是國家貫徹落實網(wǎng)絡(luò)安全法的重要舉措之一，在信息時代的快速發(fā)展中其表現(xiàn)出安全漏洞層越來越多，致使網(wǎng)絡(luò)信息系統(tǒng)面臨巨大的安全隱患。因此，在網(wǎng)絡(luò)安全等級保護(hù)測評過程中，人們更加注重準(zhǔn)確、快速地找

2、到網(wǎng)絡(luò)信息系統(tǒng)中潛在的安全隱患。滲透測試主要是通過模擬攻擊者的思維方式，利用現(xiàn)如今比較成熟的技術(shù)手段或者工具對被測試網(wǎng)絡(luò)信息系統(tǒng)的安全性能進(jìn)行全方位測評，盡可能發(fā)現(xiàn)被測試網(wǎng)絡(luò)信息系統(tǒng)存在的安全隱患，這也是網(wǎng)絡(luò)安全等級保護(hù)測評中的關(guān)鍵環(huán)節(jié)。1滲透測試在網(wǎng)絡(luò)安全等級保護(hù)測評中的必要性分析美國東海岸地區(qū)曾在2016年遭受了嚴(yán)重的分布式拒絕服務(wù)攻擊，此次網(wǎng)絡(luò)攻擊造成了美國一半以上的網(wǎng)絡(luò)信息系統(tǒng)陷入癱瘓狀態(tài)，其直接經(jīng)濟(jì)損失不可估量;另外，2017年的wannacry勒索病毒更是嚴(yán)重阻礙了全世界150多個國家的教育、醫(yī)療、交通以及能源等行業(yè)的發(fā)展，這些事例都足以說明有必要進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)。2016年1

3、1月7日，我國在中華人民共和國網(wǎng)絡(luò)安全法法案中對國家網(wǎng)絡(luò)安全進(jìn)行了明確規(guī)定，將網(wǎng)絡(luò)信息系統(tǒng)按照安全等級進(jìn)行劃分，并對第三級別及以上的網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行抗?jié)B透能力限制和規(guī)范，要求這類網(wǎng)絡(luò)信息系統(tǒng)必須具備較高標(biāo)準(zhǔn)的網(wǎng)絡(luò)攻擊檢測和抵御能力，同時還要求這類網(wǎng)絡(luò)信息系統(tǒng)要具有抗惡意代碼攻擊性能，并對系統(tǒng)正在發(fā)生的網(wǎng)絡(luò)安全事件進(jìn)行及時警示。在實際的網(wǎng)絡(luò)安全控制過程中，所有的網(wǎng)絡(luò)信息系統(tǒng)都必須進(jìn)行等級保護(hù)測評，并在審核通過之后才能正式投入使用。在對網(wǎng)絡(luò)安全等級保護(hù)進(jìn)行測評過程中應(yīng)用滲透測試具有以下作用：一是滲透測試能夠評估網(wǎng)絡(luò)信息系統(tǒng)的安全等級，發(fā)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)是否存在安全風(fēng)險，并針對其存在的安全漏洞進(jìn)行及時

4、修復(fù)或預(yù)警;二是就網(wǎng)絡(luò)安全等級保護(hù)測評結(jié)果而言，滲透測試能夠全面評估影響網(wǎng)絡(luò)信息系統(tǒng)的因素，從而提高其等級保護(hù)測評水平。因而在網(wǎng)絡(luò)信息時代背景下，有必要對網(wǎng)絡(luò)信息系統(tǒng)安全性能等級進(jìn)行滲透測試。2滲透測試原理滲透測試主要是根據(jù)業(yè)界公布的或者測試人員已經(jīng)掌握的網(wǎng)絡(luò)信息系統(tǒng)安全漏洞信息，從攻擊者思維角度出發(fā)，通過采用現(xiàn)代比較成熟的技術(shù)手段、工具或者手動對目標(biāo)對象的服務(wù)器、應(yīng)用、網(wǎng)絡(luò)、數(shù)據(jù)庫等安全性進(jìn)行全面檢測，進(jìn)而發(fā)現(xiàn)安全漏洞的過程。滲透測試應(yīng)用過程中的一項重要準(zhǔn)則就是所有的測試行為必須建立在用戶書面明確授權(quán)且監(jiān)督基礎(chǔ)上，只有經(jīng)過用戶授權(quán)的滲透測試才能更加真實、全面地挖掘出網(wǎng)絡(luò)信息系統(tǒng)存在的安全漏洞

5、并檢驗其可用性，而無須進(jìn)行諸如植入后門的后續(xù)滲透操作，因此，滲透測試通常情況下不會對網(wǎng)絡(luò)信息系統(tǒng)造成影響，帶來損失。3滲透測試流程一般情況下，網(wǎng)絡(luò)安全等級保護(hù)滲透測試流程主要包括四個階段，分別是滲透測試準(zhǔn)備、網(wǎng)絡(luò)安全信息探測、滲透測試實施和生成報告四個階段。滲透測試各個階段的具體工作內(nèi)容如下：（1）滲透測試準(zhǔn)備階段：在得到單位的書面明確授權(quán)之后，開始網(wǎng)絡(luò)信息系統(tǒng)安全等級保護(hù)滲透測試實施準(zhǔn)備，與單位溝通確定滲透測試實施范圍、工具、方法、時間、人員等，同時將可能存在的測試風(fēng)險考慮在內(nèi)，在得到單位明確書面授權(quán)許可后方可執(zhí)行測試，且整個滲透測試過程都必須要在單位的監(jiān)督和控制下。（2）網(wǎng)絡(luò)安全信息探測階

6、段：在此過程中，要根據(jù)上一環(huán)節(jié)確定的測試范圍，通過采用一些商業(yè)或者開源的安全評估工具（例如nessus、nmap等）收集與被測試網(wǎng)絡(luò)信息系統(tǒng)有關(guān)的信息，并對探測獲得的系統(tǒng)端口、ip、服務(wù)器等信息進(jìn)行分類整理，從而為下一階段測試做鋪墊。（3）滲透測試實施階段：此階段的主要工作內(nèi)容就是對探測獲得的信息進(jìn)行處理和分析，按照制定滲透策略、準(zhǔn)備攻擊代碼、研究繞過機(jī)制的流程對被測試網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行等級保護(hù)滲透測試，滲透測試主要包括內(nèi)網(wǎng)和外網(wǎng)兩種實施路徑，其中前者是為了躲避系統(tǒng)防火墻等安全防御裝置，如果測試在此階段能夠順利進(jìn)行則能夠成功獲得用戶權(quán)限，進(jìn)而實現(xiàn)下一步的攻擊;后者則需要通過與互聯(lián)網(wǎng)聯(lián)通才能對網(wǎng)絡(luò)

7、信息系統(tǒng)進(jìn)行測試，具體測試流程與內(nèi)外測試基本一致。（4）生成報告階段：主要是根據(jù)測試結(jié)果生成報告。4滲透測試應(yīng)用過程中的風(fēng)險規(guī)避策略由于網(wǎng)絡(luò)安全等級保護(hù)滲透測試是不斷變化的過程，為了盡可能避免滲透測試對系統(tǒng)正常運行產(chǎn)生影響，需要制定風(fēng)險規(guī)避策略，具體如下：第一，滲透測試方案的制定要得到雙方認(rèn)可。第二，盡可能選擇系統(tǒng)業(yè)務(wù)量不高的時間段進(jìn)行滲透測試，這樣還可以為及時排除風(fēng)險留有充足時間。第三，為避免滲透測試過程中發(fā)生潛在風(fēng)險，應(yīng)盡可能減少系統(tǒng)核心業(yè)務(wù)的測試數(shù)量，以免影響系統(tǒng)正常運行。第四，在測試實施之前要對被測試信息系統(tǒng)做完整備份，便于在出現(xiàn)問題之后及時恢復(fù)，不影響使用。第五，如果測試過程中發(fā)生故障，應(yīng)在故障排除后再進(jìn)行測試，并且排障后還要再經(jīng)授權(quán)方可進(jìn)行。第六，測試全過程中都要確保雙方能夠進(jìn)行及時、有效的溝通。5