劉俊
(山東新潮信息技術(shù)有限公司青島分公司 山東省青島市 266000)
全國網(wǎng)絡(luò)安全與信息化工作會議于2018年召開,會議中習(xí)近平總書記提出網(wǎng)絡(luò)安全的重要性,并且針對網(wǎng)絡(luò)安全管理工作提出多項(xiàng)指示。由此可見,互聯(lián)網(wǎng)與計(jì)算機(jī)技術(shù)的安全穩(wěn)定發(fā)展,已經(jīng)成為促進(jìn)國家社會穩(wěn)定發(fā)展的重要范疇。在針對計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行安全質(zhì)量進(jìn)行研究時,要從多方面入手,并且不斷強(qiáng)化計(jì)算機(jī)的病毒防御能力,這樣才能對計(jì)算機(jī)使用者的數(shù)據(jù)信息提供穩(wěn)定保障,促進(jìn)社會經(jīng)濟(jì)的和諧穩(wěn)定發(fā)展。滲透測試技術(shù)作為當(dāng)前計(jì)算機(jī)病毒檢測技術(shù)的重要組成部分,通過對計(jì)算機(jī)系統(tǒng)展開多層次、全方位以及立體化的評估,可以使網(wǎng)絡(luò)信息的安全性得到大幅度提升,并且在網(wǎng)絡(luò)安全等級保護(hù)評測工作中也具有重要作用。因此,文章針對滲透測試技術(shù)在網(wǎng)絡(luò)安全等保測評中的實(shí)際應(yīng)用情況展開分析,對促進(jìn)滲透測試技術(shù)的應(yīng)用效率具有良好意義。
滲透測試技術(shù)指的是以業(yè)界公布的安全漏洞信息針對計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行安全程度進(jìn)行檢測,同時還要根據(jù)安全等級評定標(biāo)準(zhǔn),對計(jì)算機(jī)開展全方位安全評測,這樣可以明確計(jì)算機(jī)網(wǎng)絡(luò)在運(yùn)行過程中的應(yīng)用風(fēng)險(xiǎn),提前制定相應(yīng)的防治技術(shù)。在采用滲透測試技術(shù)時,全部要素主要包括網(wǎng)絡(luò)系統(tǒng)的主機(jī)、系統(tǒng)運(yùn)行環(huán)境以及數(shù)據(jù)庫等,在滲透測試時,還要堅(jiān)持兩個基本要求,也就是滲透測試的授權(quán)工作與測試監(jiān)督工作,一方面要保證滲透測試工作的合法性與合理性,另一方面要針對滲透測試工作的執(zhí)行過程進(jìn)行實(shí)時監(jiān)控,這樣才能保證滲透測試結(jié)果的準(zhǔn)確性與可行性,從而使網(wǎng)絡(luò)安全等級評測結(jié)果更加準(zhǔn)確。
針對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行滲透測試,其流程就是模擬入侵者攻擊的整個過程,通過采用各類網(wǎng)絡(luò)攻擊方式對計(jì)算機(jī)的安全防護(hù)體系進(jìn)行沖擊,以此來綜合判斷計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)當(dāng)前的安全程度。因此,在進(jìn)行網(wǎng)絡(luò)滲透測試時,具體流程如下:
(1)收集信息,針對當(dāng)前互聯(lián)網(wǎng)中的病毒信息與木馬程序進(jìn)行收集,并且根據(jù)攻擊程度對各類計(jì)算機(jī)網(wǎng)絡(luò)入侵技術(shù)進(jìn)行分類;
(2)對目標(biāo)網(wǎng)絡(luò)的運(yùn)行地址進(jìn)行掃描,結(jié)合收集到的入侵進(jìn)攻手段進(jìn)行掃描,并且根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)可能存在的漏洞隱患進(jìn)行優(yōu)先測試;
(3)針對計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行不同種類與不同程度的攻擊測試,如果有遠(yuǎn)程端口等重大漏洞則直接控制目標(biāo)系統(tǒng),如果有WEB 服務(wù)則采取注入的形式尋找防御對策。
(4)針對滲透測試檢測結(jié)果進(jìn)行呈現(xiàn),在該環(huán)節(jié)中要以測定結(jié)果為依據(jù),其包括的內(nèi)容主要涉及漏洞結(jié)果、測試結(jié)果以及評估結(jié)果,因此為保證檢測結(jié)果的全面性與準(zhǔn)確性,需要在滲透測試工作中引進(jìn)先進(jìn)的檢測技術(shù),并且對計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行信息進(jìn)行全面分析,這樣才能使安全等級評定結(jié)果更具可行性。
在采用滲透測試技術(shù)時,還要檢測工具進(jìn)行確認(rèn),當(dāng)前滲透檢測的工具主要包括網(wǎng)絡(luò)應(yīng)用工具、故障診斷工具以及安全掃描工具等,上述工具在可控性方面與安全性方面都具有良好的安全保障。
2016年美國東海岸地區(qū)遭受了分布式拒絕服務(wù)的攻擊,期間導(dǎo)致美國大多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)都陷入癱瘓狀態(tài),并且引發(fā)大量使用者的身份信息被盜取,進(jìn)而造成無法避免的經(jīng)濟(jì)損失。此外,2017年爆發(fā)的Wanna Crt 病毒,對全球?qū)⒔?50 多個國家都造成不同程度的網(wǎng)絡(luò)安全打擊,從而引發(fā)交通、教育、能源、醫(yī)療等行業(yè)的發(fā)展受到嚴(yán)重阻礙,這也看出互聯(lián)網(wǎng)安全問題已經(jīng)愈加重要。尤其是當(dāng)前互聯(lián)網(wǎng)計(jì)算機(jī)技術(shù)已經(jīng)成為社會經(jīng)濟(jì)發(fā)展的主要部分,當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)產(chǎn)生安全問題時,便會直接危害到社會穩(wěn)定與國民利益。
我國于2017年6月出臺的《中華人民共和國網(wǎng)絡(luò)安全法》中,針對國家網(wǎng)絡(luò)安全問題進(jìn)行規(guī)范,在該管理?xiàng)l例中,為有效針對計(jì)算機(jī)網(wǎng)絡(luò)安全問題進(jìn)行防治,將網(wǎng)絡(luò)信息系統(tǒng)劃分為多個等級,并且針對各等級提出差異性的防御能力要求與非法入侵檢測能力要求。為響應(yīng)網(wǎng)絡(luò)安全信息等級評測工作的順利開展,滲透測試技術(shù)的應(yīng)用范圍越來越廣泛,并且在網(wǎng)絡(luò)安全等級評測工作中具有以下優(yōu)勢:
(1)滲透測試技術(shù)可以對網(wǎng)絡(luò)安全進(jìn)行全面評估,并且找出計(jì)算機(jī)網(wǎng)絡(luò)中的潛在漏洞;
(2)從等級保護(hù)評測結(jié)果來看,滲透測試技術(shù)可以對網(wǎng)絡(luò)系統(tǒng)安全影響進(jìn)行綜合評估,在信息時代中具備良好的應(yīng)用前景。
在應(yīng)用滲透測試技術(shù)對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全等級檢測時,首先要對計(jì)算機(jī)的運(yùn)行情況進(jìn)行分析,并且結(jié)合網(wǎng)絡(luò)安全評測工作的要求制定相應(yīng)的測試方案,為后續(xù)工作提供準(zhǔn)確可行的參考依據(jù)。具體為在前期要建立滲透測試工作小組,在獲得授權(quán)后,針對實(shí)際業(yè)務(wù)情況與系統(tǒng)安全規(guī)模展開綜合分析,在方案中要體現(xiàn)出滲透測試目標(biāo)、內(nèi)容、方式以及應(yīng)用工具等。此外,針對網(wǎng)絡(luò)安全等級保護(hù)評測展開測試可能會產(chǎn)生相應(yīng)的安全風(fēng)險(xiǎn)問題,因此還要提前針對各類風(fēng)險(xiǎn)問題制定防治措施,以此來保證滲透測試工作的順利開展,為計(jì)算機(jī)系統(tǒng)的運(yùn)行提供保障。
在滲透測試方案明確后,要根據(jù)方案實(shí)施規(guī)定對網(wǎng)絡(luò)安全等保測評相關(guān)信息進(jìn)行收集與分類管理,通過利用各類操作系統(tǒng)與查找工具,并且在計(jì)算機(jī)系統(tǒng)掃描工具的幫助下,對計(jì)算機(jī)當(dāng)前的運(yùn)行狀態(tài)進(jìn)行分析,并且針對計(jì)算機(jī)網(wǎng)絡(luò)中可能存在的安全隱患展開更深層次的分析,例如系統(tǒng)運(yùn)行層面分析、Web 層面分析等,根據(jù)分析結(jié)果進(jìn)行匯總處理。此外,當(dāng)計(jì)算機(jī)系統(tǒng)存在SQL 注入漏洞、遠(yuǎn)程接入病毒以及運(yùn)行故障時,全面采集環(huán)節(jié)要準(zhǔn)確分析計(jì)算機(jī)系統(tǒng)的運(yùn)行隱患與故障內(nèi)容,并且針對該環(huán)節(jié)的風(fēng)險(xiǎn)問題制定防治措施,以此來保證數(shù)據(jù)采集環(huán)節(jié)的順利進(jìn)行。
結(jié)合上述計(jì)算機(jī)網(wǎng)絡(luò)安全測試工作,為準(zhǔn)確獲得安全漏洞信息,需要根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行數(shù)據(jù)信息展開安全等保評測,再次對發(fā)現(xiàn)的高危漏洞進(jìn)行確認(rèn),并且針對漏洞問題制定解決策略。對于測試中發(fā)現(xiàn)的嚴(yán)重漏洞,可以對其直接利用,以對其可用性展開驗(yàn)證。例如,當(dāng)滲透測試技術(shù)在系統(tǒng)展開檢測時,發(fā)現(xiàn)系統(tǒng)文件存在共享漏洞,這時可以按照以下步驟執(zhí)行檢測工作:
(1)根據(jù)漏洞類型制定滲透策略,在此環(huán)節(jié)中要對計(jì)算機(jī)系統(tǒng)的服務(wù)權(quán)限進(jìn)行確定,以此來排除不同權(quán)限對應(yīng)的病毒問題,通過對滲透測試途徑進(jìn)行規(guī)范管理,例如對服務(wù)漏洞、掃描漏洞、利用流動、用戶信息分析、遠(yuǎn)程控制分析等環(huán)節(jié)進(jìn)行整合在,這樣可以使?jié)B透測試方案更具可行性。
(2)利用漏洞測試工具對漏洞進(jìn)行掃描確認(rèn),并且對不同種類的漏洞問題進(jìn)行編號,當(dāng)遠(yuǎn)程Shell 的權(quán)限較低時,可以及時判定漏洞問題的性質(zhì),這樣便可以判定漏洞允許執(zhí)行遠(yuǎn)程操控代碼,計(jì)算機(jī)安全保護(hù)系統(tǒng)可以對其進(jìn)行評級。
(3)利用漏洞進(jìn)行數(shù)據(jù)溢出實(shí)驗(yàn),通過與Shell 控制界面構(gòu)建聯(lián)系,可以針對遠(yuǎn)程操作端與客戶端進(jìn)行查看,并且建立相應(yīng)的后門賬戶,期間可以采用口令破解的方式獲取到用戶許可,這樣可以對未知漏洞問題進(jìn)行評測,并且根據(jù)安全等保評測等級對其進(jìn)行劃分。
在計(jì)算機(jī)網(wǎng)絡(luò)的安全等保測評完成后,滲透測試工作還要結(jié)合檢測結(jié)果制定可行的網(wǎng)絡(luò)安全測評報(bào)告,并且根據(jù)測試中發(fā)現(xiàn)的安全流動與風(fēng)險(xiǎn)問題對系統(tǒng)存在的潛在隱患問題進(jìn)行標(biāo)注。此外,輸出報(bào)告中還要對計(jì)算機(jī)網(wǎng)絡(luò)中的現(xiàn)存安全問題提出解決措施與整改意見,從而為計(jì)算機(jī)網(wǎng)絡(luò)安全等保測評工作畫上圓滿句號,可以幫助計(jì)算機(jī)使用者更加準(zhǔn)確了解到計(jì)算機(jī)網(wǎng)絡(luò)的所有運(yùn)行故障與隱患,提升計(jì)算機(jī)網(wǎng)絡(luò)的安全運(yùn)行質(zhì)量。
在開展計(jì)算機(jī)網(wǎng)絡(luò)安全等保測評工作時,由于作業(yè)規(guī)模與作業(yè)量較大,因此在不同環(huán)節(jié)也會產(chǎn)生相應(yīng)的應(yīng)用風(fēng)險(xiǎn)。因此,滲透測試技術(shù)還要針對各類風(fēng)險(xiǎn)問題制定防治措施。首先是滲透測試內(nèi)容中的潛在風(fēng)險(xiǎn)問題,例如在測試計(jì)算機(jī)網(wǎng)絡(luò)的合法性時,可以從評審方案入手,并且結(jié)合計(jì)算機(jī)實(shí)際運(yùn)行情況展開階段性的測試。然而,當(dāng)滲透測試時間選擇不當(dāng)時,就會對計(jì)算機(jī)網(wǎng)絡(luò)的辦公能力造成直接影響,并且滲透測試的主攻內(nèi)容也會趨于癱瘓狀態(tài),無法為正常的計(jì)算機(jī)辦公提供準(zhǔn)確的數(shù)據(jù)支持。因此,為降低滲透測試工作的潛在風(fēng)險(xiǎn),應(yīng)該根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用情況選擇合理的測試內(nèi)容,這樣提前對相關(guān)人員進(jìn)行溝通,避免不必要的工作影響。
在開展計(jì)算機(jī)網(wǎng)絡(luò)安全等保測評工作時,滲透測試工作的時間選擇不當(dāng)會導(dǎo)致一定的安全風(fēng)險(xiǎn)與系統(tǒng)崩潰,屆時計(jì)算機(jī)系統(tǒng)無法為辦公人員提供有效的幫助,并且還存在硬件損壞等無法估量的經(jīng)濟(jì)風(fēng)險(xiǎn)。因此,在開展?jié)B透測試工作時,不僅要針對檢測工作的合格性進(jìn)行研究,同時還要減少滲透測試過程中對信息系統(tǒng)安全造成的各類影響。例如可以借助設(shè)備IP 對測試時間進(jìn)行確定,限定測試IP 段的方式進(jìn)行滲透測試作業(yè)。這樣可以降低網(wǎng)絡(luò)安全評測與企業(yè)正常辦公之間的交叉影響,同時規(guī)避滲透測試引發(fā)的各類網(wǎng)絡(luò)風(fēng)險(xiǎn)。
滲透測試在實(shí)際作業(yè)中對于系統(tǒng)內(nèi)部數(shù)據(jù)的安全性,也會造成一定的影響。因此在實(shí)際發(fā)展中進(jìn)行滲透測試作業(yè),被測試單位必須落實(shí)有效的數(shù)據(jù)備份操作,避免因測試中系統(tǒng)崩潰造成的攻擊數(shù)據(jù)錄入,產(chǎn)生的數(shù)據(jù)覆蓋現(xiàn)象,以此規(guī)避被測試單位在實(shí)際測試作業(yè)中的數(shù)據(jù)風(fēng)險(xiǎn)。同時,合理的推進(jìn)滲透測試作業(yè)的實(shí)施,保證網(wǎng)絡(luò)安全等保評測方案中的各項(xiàng)措施可以順利實(shí)施,這樣才能確保滲透測試作業(yè)的實(shí)施質(zhì)量與效率,為企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行提供合理保障。
綜上所述,滲透測試技術(shù)在網(wǎng)絡(luò)安全等保測評工作中的應(yīng)用越來越廣泛,通過對計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行安全狀態(tài)進(jìn)行全方位的檢測,不僅能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)中的潛在病毒與木馬進(jìn)行檢測,同時還可以對計(jì)算機(jī)的安全防御能力進(jìn)行評測,這樣可以為使用者使用更加準(zhǔn)確的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全報(bào)告。本文以計(jì)算機(jī)網(wǎng)絡(luò)的安全等級保護(hù)測評工作為切入點(diǎn),針對滲透測試技術(shù)的實(shí)際應(yīng)用情況進(jìn)行研究。首先闡述滲透測試技術(shù)的原理與實(shí)施流程,其次對滲透測試原理在網(wǎng)絡(luò)安全等保測評中的作用價(jià)值進(jìn)行分析,再次對網(wǎng)絡(luò)安全等保測評中滲透測試技術(shù)的執(zhí)行流程進(jìn)行總結(jié),具體為根據(jù)網(wǎng)絡(luò)安全評測需求制定測試方案,全面采集網(wǎng)絡(luò)安全等保測評相關(guān)信息,科學(xué)開展網(wǎng)絡(luò)安全等保測評中的滲透檢測技術(shù),結(jié)合檢測結(jié)果制定準(zhǔn)確可行的網(wǎng)絡(luò)安全測評報(bào)告。這樣才能進(jìn)一步提升滲透測試技術(shù)在網(wǎng)絡(luò)安全等保測評中的應(yīng)用質(zhì)量,為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行提供保障。