詹治中

[摘要]在簡要介紹和討論安全測試在當(dāng)今的安全形勢下的作用，通過幾個(gè)側(cè)面來說明綜合安全測試的作用及產(chǎn)生的影響。

[關(guān)鍵詞]安全測試漏洞風(fēng)險(xiǎn)

中圖分類號：TP3文獻(xiàn)標(biāo)識碼：A文章編號：1671-7597(2009)0610087-02

一、前言

本論文概述了綜合安全測試作為定位和漏洞評起到的作用，綜合性安全測試作為一種綜合性檢測方式已經(jīng)逐漸被公認(rèn)。對當(dāng)前安全系統(tǒng)所面臨的日益加劇的安全和潛在的問題一以及主動進(jìn)行的綜合安全測試將成為漏洞評估中最重要的因素進(jìn)行了說明。

二、信息安全面臨的問題

在目前數(shù)字化網(wǎng)絡(luò)化的時(shí)代里，安全問題越來越成為大家矚目的重點(diǎn)。不同類型的攻擊，惡意軟件與黑客聯(lián)盟的攻擊一直以來都是危機(jī)的主要問題之一，在目前來自政府和各類機(jī)構(gòu)對安全調(diào)控需要的日益增長，已經(jīng)導(dǎo)致越來越多的單位和機(jī)構(gòu)要定期對自身的技術(shù)漏洞和安全防御機(jī)制進(jìn)行評估。多年以來，各個(gè)方面都進(jìn)行了大量的資金的投入，力求通過建立信息系統(tǒng)的防御，特別是在一系列基于網(wǎng)絡(luò)底層協(xié)議和終端的設(shè)施上面的加強(qiáng)來達(dá)到安全的目的。但事實(shí)卻清楚地表明，安全保護(hù)工作仍然令許多單位和組織疲于奔命，他們的信息和資源依舊為外部的風(fēng)險(xiǎn)入侵，業(yè)務(wù)中斷和數(shù)據(jù)丟失等問題所困擾著。

而且種種跡象表明，隨著計(jì)算機(jī)及網(wǎng)絡(luò)的發(fā)展在接下來的時(shí)間里我們將看到更具危害的安全威脅在信息系統(tǒng)中出現(xiàn)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的日益普及，越來越多越來越先進(jìn)的服務(wù)器的出現(xiàn)同樣為這情況提供了基礎(chǔ)，成為用來攻擊最新反病毒技術(shù)的工具，同時(shí)也為這些攻擊躲避入侵檢測系統(tǒng)提供了環(huán)境與條件。

就目前而言，特定群體與最終用戶也開始成為被威脅和攻擊的目標(biāo)，通過社會工程學(xué)或假冒相關(guān)的郵件等手段吸引最終用戶點(diǎn)擊仿造正規(guī)網(wǎng)站的頁面手段從而獲取相關(guān)的個(gè)人隱私信息的“網(wǎng)絡(luò)釣魚”也正在成為目前的信息系統(tǒng)安全中的新的危害。

對于這些問題已經(jīng)有些國家已經(jīng)提出了相應(yīng)的應(yīng)對策略，包括最初美國國會在1996年通過了相關(guān)諸如支付卡行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)(Payment Card Industry3 Data Security Standard—PCI DSS)以及健康保險(xiǎn)流通與責(zé)任法案(Health Insurance Portability and Accountability Act—HIPAA)，盡管美國的這些辦法有起到一定的作用，但是這些嚴(yán)格的信息標(biāo)準(zhǔn)也無法徹底避免信息系統(tǒng)會遭受被攻擊從而造成數(shù)據(jù)流失的危害。

這讓我們覺察到我們正面對著一個(gè)多樣化的環(huán)境，面臨的信息系統(tǒng)安全問題比以往更加復(fù)雜和嚴(yán)峻，信息方面正面臨著比以往任何時(shí)候都更復(fù)雜的潛在安全問題，

三、目前安全機(jī)制的主要問題

盡管幾十年來在信息系統(tǒng)安全方面的產(chǎn)品相當(dāng)豐富，從傳統(tǒng)的單機(jī)方面的防護(hù)軟件、網(wǎng)絡(luò)方面的防護(hù)軟件系統(tǒng)，到新型的數(shù)據(jù)丟失防護(hù)工具技術(shù)(Data Loss Prevention-DLP)，現(xiàn)實(shí)情況是，許多單位組織或者個(gè)人仍然很容易受到攻擊和信息泄漏。

相關(guān)的數(shù)據(jù)已證明，許多領(lǐng)軍的安全廠商已經(jīng)認(rèn)識到最常用的桌面和網(wǎng)絡(luò)防病毒系統(tǒng)正在被大量的形式多樣存在不同的針對性攻擊所包圍，并且像DLP這類技術(shù)還不夠成熟無法成功應(yīng)用到企業(yè)。

同時(shí)現(xiàn)在的單位往往都有建立相關(guān)的安全機(jī)制措施，但在實(shí)際工作中，實(shí)際工作人員與管理人員間的彼此溝通仍在結(jié)構(gòu)上存在問題，例如為了提升網(wǎng)絡(luò)安全進(jìn)行統(tǒng)一的網(wǎng)絡(luò)性能方面的維護(hù)、各個(gè)用戶終端應(yīng)用軟件的統(tǒng)一升級、以及對工作人員進(jìn)行軟件應(yīng)用培訓(xùn)上，都存在著不連續(xù)與脫節(jié)。另一方面我們目前使用的信息系統(tǒng)安全體系都存在這一個(gè)普遍的問題，那就是傳統(tǒng)防御機(jī)制甚至一些新的安全管理和漏洞掃描解決的方案都會在運(yùn)行中產(chǎn)生大量的記錄數(shù)據(jù)，而這些數(shù)據(jù)往往需要通過大量的計(jì)算任務(wù)來處理，對所在服務(wù)器造成巨大的負(fù)擔(dān)，在提升了安全的同時(shí)卻降低了系統(tǒng)的效率及穩(wěn)定程度。

當(dāng)今，從防火墻、入侵檢測／預(yù)防系統(tǒng)(intrusion detection／prevention systems-IDS／IPS)，到新興的安全事件／信息管理系統(tǒng)(securityevent／information management—SEM／SIM)都遍布我們的工作當(dāng)中，這些防范的機(jī)制讓那些相關(guān)安全防范的人員可以詳細(xì)地了解到系統(tǒng)目前的安全狀態(tài)，其中包括被黑客攻擊的相關(guān)記錄。雖然隨著這些應(yīng)用的發(fā)展，大多數(shù)的安全負(fù)責(zé)人員都會通過運(yùn)用篩選技術(shù)來提高系統(tǒng)的效率，但是對于一個(gè)單位的來說，對于安全上面的投入所產(chǎn)生的效益是無法進(jìn)行相應(yīng)的估計(jì)和衡量的，而且在這一方面實(shí)際出現(xiàn)的情況往往需要安全管理人員在進(jìn)行安全工作室也需利用到其他的工具，這些工具對于安全系統(tǒng)來說不會帶來安全上的加權(quán)。這些情況一直在向我們說明這么一個(gè)問題，安全系統(tǒng)的有效性與相關(guān)的投資也需要有一個(gè)有效的測試評估手段。

四、安全測試的范圍

進(jìn)行綜合性的安全測試的目的就是對于目前安全所面臨的問題，進(jìn)行綜合的測試從而能更加全面地對總體的安全狀態(tài)進(jìn)行評估。

正如日常運(yùn)行中的系統(tǒng)都必須進(jìn)行定期進(jìn)行檢查，以確保在一定的時(shí)間內(nèi)和相關(guān)信息系統(tǒng)沒有問題保持其運(yùn)行的穩(wěn)定，現(xiàn)有的安全設(shè)備也逐漸越來越多地進(jìn)行頻繁的審查，防止可能存在的漏洞或者安全隱患。在這一系列的測試與檢查中，一種更加綜合性的安全測試正悄然而生，以用來幫組相關(guān)的安全人員對相關(guān)的安全系統(tǒng)及安全策略進(jìn)行評估，以便相關(guān)的人員了解自己信息系統(tǒng)的存在哪些可以利用的優(yōu)勢性能或者不足。

為了達(dá)到全面的測試檢測效果，在目前這類型的安全測試中，先由系統(tǒng)架構(gòu)師對整個(gè)總體的系統(tǒng)進(jìn)行分析驗(yàn)證，從基礎(chǔ)框架開始對整個(gè)系統(tǒng)進(jìn)行測試，查找被測系統(tǒng)的不足或者潛在的各種問題，并針對不同的相關(guān)功能進(jìn)行具體性質(zhì)的安全檢測；最后再投入試運(yùn)行在運(yùn)行過程中找出潛在的問題與不足。現(xiàn)今許多的軟件開發(fā)商也已開始在自己的產(chǎn)品中整合上軟件的自我測試功能，以幫助客戶確保其軟件系統(tǒng)運(yùn)作正常。但這一情況存在著一定的片面性，因?yàn)榇蟛糠诌@些測試通常旨在確保用戶在產(chǎn)品能在完成最基礎(chǔ)的功能的情況下順利運(yùn)行而已，而不是積極尋求全方位的進(jìn)行測試，大多數(shù)并沒有對于潛在安全風(fēng)險(xiǎn)進(jìn)行相關(guān)的測試工作。

在這個(gè)問題上，很多的安全人員與專家們認(rèn)識到，進(jìn)行獨(dú)立的技術(shù)測試，能最全面和客觀地檢測到潛在的風(fēng)險(xiǎn)。

目前流行的用來最普遍的進(jìn)行安全檢測及進(jìn)行定期系統(tǒng)自我檢查的獨(dú)立檢測方式有如下三種：

1．源代碼分析檢測針對軟件開發(fā)的底層代碼進(jìn)行相應(yīng)的檢測；

2．漏洞掃描檢測針對網(wǎng)絡(luò)基礎(chǔ)設(shè)備或者相關(guān)的網(wǎng)絡(luò)應(yīng)用程序進(jìn)行相關(guān)的漏洞掃描，以便查明在其網(wǎng)絡(luò)的應(yīng)用上是否配置不當(dāng)存在漏洞或者潛在的威脅；

3．安全性測試系統(tǒng)模擬真實(shí)的使用環(huán)境，以最真實(shí)地暴露系統(tǒng)安全弱點(diǎn)，并對軟件的安全功能及安全政策的有效性進(jìn)行測試分析，并制定相

應(yīng)的防災(zāi)應(yīng)對機(jī)制以減輕相應(yīng)的軟件安全問題。

根據(jù)近一階段發(fā)表的報(bào)告6，相當(dāng)多的機(jī)構(gòu)開始對自身的系統(tǒng)環(huán)境進(jìn)行更積極主動的評測，特別是漏洞測試方面。將測試所獲得的信息結(jié)合以往的數(shù)據(jù)，通過制定安全事件處理優(yōu)先級的方式來降低安全系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)，從而提高安全系統(tǒng)的性能，以及滿足外部評審的要求。許多安全測試系統(tǒng)的支持者，包括許多大型的安全機(jī)構(gòu)都聲稱，他們目前使用的技術(shù)已經(jīng)使他們具備對安全事件的操作定位能力8，對于相關(guān)的安全問題，能夠進(jìn)行有效的標(biāo)記和進(jìn)行處理優(yōu)先級的劃分。相應(yīng)的未能主動進(jìn)行安全測試的公司其商務(wù)上的合作伙伴及客戶會逐漸認(rèn)識到其存在技術(shù)上的落伍。

IT行業(yè)分析師，安全審計(jì)和相關(guān)的業(yè)者都將采用公認(rèn)的漏洞評估與檢測能力樣本對系統(tǒng)進(jìn)行評估，并針對現(xiàn)實(shí)中所采集到的實(shí)時(shí)指標(biāo)做出在不同安全等級要求的可視圖表報(bào)告。

比如說，作為PCI DSS標(biāo)準(zhǔn)的一部分(需要所有商業(yè)貸款或信用卡交易提供可靠的電子數(shù)據(jù)安全性)，從事這方面業(yè)務(wù)的銀行部門都被要求進(jìn)行在系統(tǒng)和應(yīng)用上進(jìn)行此類的測試6(包括以上列舉的三種檢測方式)以降低信息泄露的風(fēng)險(xiǎn)。

目前許多機(jī)構(gòu)都有每年聘請外部顧問常駐，或者進(jìn)行兩年一度的安全測試，然而許多的專家都開始認(rèn)為進(jìn)行主動的自我評估是最理想的方式9：一來可以經(jīng)常性地進(jìn)行來保障安全工作的有效；二來，日常的測評的記錄也能夠?yàn)槊磕暌欢鹊臏y評工作作出補(bǔ)充。對應(yīng)的測試系統(tǒng)還可以依照不同的評測標(biāo)準(zhǔn)為機(jī)構(gòu)提供相關(guān)的參考，這方面已開始接近許多專業(yè)服務(wù)公司提供的信息分析服務(wù)內(nèi)容了。并且這項(xiàng)技術(shù)是在眾多專家對于漏洞分析的長期工作總結(jié)出的最有效方法的基礎(chǔ)上建立起來的，能夠從數(shù)據(jù)方面檢測相關(guān)的安全工作是否達(dá)到原來預(yù)期的目標(biāo)。

不難看出，基于以上的種種原因，所有這些采用的安全測試技術(shù)的跡象都表明，越來越成為當(dāng)今普遍的檢測方式；而且就目前的效果而言，這正在迅速成為漏洞評估的最基本最有效的方法。更甚一步，安全測試系統(tǒng)工作范圍十分廣泛，將安全測試系統(tǒng)整合進(jìn)其它領(lǐng)域似乎也是十分合乎情理的，或者說安全測試可以很容易地與其他類似的技術(shù)進(jìn)行結(jié)合。在不久的未來也許這類檢測機(jī)制就能夠按照使用者的需要在不同領(lǐng)域不同系統(tǒng)的要求下對系統(tǒng)進(jìn)行自我檢測，而相關(guān)的檢測機(jī)構(gòu)也可以不用專門為了某個(gè)安全系統(tǒng)進(jìn)行定制測試內(nèi)容而在那個(gè)領(lǐng)域進(jìn)行主動深入的了解分析。

五、對綜合測試的結(jié)論及展望

綜合測試為組織在安全方面的檢測能力提供保證，能使他們快速準(zhǔn)確地找出系統(tǒng)中存在的弱點(diǎn)與不足，讓被檢測的單位可以根據(jù)檢測報(bào)告進(jìn)行有針對性的安全工作，使得安全工作方面在人力與財(cái)力做到有的放矢。而且在用戶終端、網(wǎng)絡(luò)，所進(jìn)行的綜合的，多層次的測試為最終用戶和企業(yè)提供全面，集中的方法來進(jìn)行安全管理。

與只參與軟件開發(fā)過程的源代碼分析工具或是提供組織長期列出潛在的弱點(diǎn)的漏洞掃描工作不同的是，全面的安全測試軟件解決方案的可以協(xié)助用戶對重大風(fēng)險(xiǎn)中的數(shù)據(jù)進(jìn)行操作，使用戶能在第一時(shí)間內(nèi)對嚴(yán)重的問題做出反應(yīng)。

目前許多平臺進(jìn)行評估的方式是讓各種安全機(jī)構(gòu)在系統(tǒng)不同的部分進(jìn)行獨(dú)立的漏洞檢測，如針對Web應(yīng)用程序的漏洞檢查就是個(gè)很好的例子說明這點(diǎn)。但只有綜合性的安全測試則是一種綜合性的安全檢查評估方式，它從底層設(shè)備乃至最終的用戶安全策略開始抓起，反復(fù)對可能存在風(fēng)險(xiǎn)的問題進(jìn)行檢測，并對出現(xiàn)的問題做出適當(dāng)?shù)难a(bǔ)救和反應(yīng)。

許多的漏洞檢測機(jī)構(gòu)在完成工作后會提供一份關(guān)于漏洞的解決報(bào)告，相關(guān)的單位機(jī)構(gòu)可以根據(jù)相應(yīng)的內(nèi)容對存在的問題進(jìn)行解決改善?？梢钥吹降氖沁@項(xiàng)內(nèi)容已于作為一個(gè)具體的要求寫入PCI DSS標(biāo)準(zhǔn)的第11.3節(jié)10。

除了這些具體的要求，漏洞檢測系統(tǒng)也有助于從某些方面增加組織安全制度的可執(zhí)行性，讓相應(yīng)的防御機(jī)制和安全政策能更加廣泛地得到貫徹與執(zhí)行，這也使得綜合測試越來越成為安全技術(shù)領(lǐng)域所推崇的做法。在復(fù)雜的威脅面前，嚴(yán)格遵守法規(guī)和生產(chǎn)過度信息的傳統(tǒng)的安全系統(tǒng)已漸漸不能適應(yīng)需要，許多單位將考慮應(yīng)該如何將加強(qiáng)安全工作組織人員進(jìn)行安全作為安全工作的重點(diǎn)，這顯然靠一個(gè)安全軟件是遠(yuǎn)遠(yuǎn)做不到的。

此外，無論是在目前或未來的時(shí)間里安全防范人員，執(zhí)行業(yè)者還是業(yè)務(wù)線管理人員都在努力積極地尋找著有助于他們降低潛在的安全問題的方法，以提高他們在信息方面的安全程度。目前由于安全方面的原因，行業(yè)在信息系統(tǒng)上提出了越來越多的需求，隨著第三方調(diào)查機(jī)構(gòu)對于入侵與數(shù)據(jù)丟失的調(diào)查的深入與增多，全面系統(tǒng)地進(jìn)行安全測試也正在成為被各個(gè)機(jī)構(gòu)部門普遍接受并認(rèn)為是高效且負(fù)責(zé)的做法

全面安全測試方案提供了能夠通過的最有效方法檢查出被測機(jī)構(gòu)系統(tǒng)中存在的最關(guān)鍵的漏洞，從而降低經(jīng)營風(fēng)險(xiǎn)，并確保系統(tǒng)的安全策略能有效地發(fā)揮作用。

安全工作的最迫切的目的就是，盡最大可能保護(hù)他們的工作和敏感的數(shù)據(jù)，而要做到這些就必須解決以下的重要問題，包括：

1．我們應(yīng)牢牢把握對我們來說重要的風(fēng)險(xiǎn)和漏洞存在的情況，及時(shí)對這些潛在的問題做出相應(yīng)的檢查與評估；

2．避免成為攻擊的目標(biāo)，做好針對攻擊進(jìn)行檢測的工作：

3保障現(xiàn)有的安全機(jī)制有效地運(yùn)作，能直觀地對作出分析與判斷；

4．單位里的工作人員遵照單位制定的安全策略進(jìn)行工作，對于安全策略中存在的不足進(jìn)行改進(jìn)，保證相應(yīng)的貫徹執(zhí)行。

這里所提出的這些問題，獨(dú)立的綜合性安全測試將提高系統(tǒng)的安全程度與反映速度，可以說主動進(jìn)行綜合性安全測試的時(shí)代即將到來。