◆李勁雄

網絡安全等級保護測評中滲透測試的應用

◆李勁雄

（成都安美勤信息技術股份有限公司 四川 610000）

滲透測試作為網絡安全等級保護測評的一種補充和驗證，能夠對等保測評的風險判定和結論形成提供有力的支撐。本文從滲透測試的方法、使用的工具、實施流程和結果等方面，闡述了滲透測試在網絡安全等級保護測評中的應用以及對于等級保護測評結論的影響，為等級保護中的滲透測試實施和結果的應用提供了參考。

等級保護；滲透測試；灰盒測試

自1994年國務院頒布《中華人民共和國計算機信息系統(tǒng)安全保護條例》規(guī)定計算機信息系統(tǒng)實行安全等級保護以來，等級保護工作經過了近25年的發(fā)展歷程，中途經歷了工作試點、管理辦法發(fā)布、1.0標準發(fā)布、標準修訂、2.0標準發(fā)布等歷程，成了我國網絡安全保護的重要舉措之一[1]。而與之伴隨的則是網絡安全與信息技術的飛速發(fā)展帶來的層出不窮的新漏洞與攻擊手段。為應對這些新的挑戰(zhàn)與要求，在等級保護測評過程中合理應用滲透測試手段，成了及時發(fā)現(xiàn)系統(tǒng)存在的安全風險、驗證網絡安全等級保護基本要求的防護能力、落實網絡安全法對于網絡的安全防護要求的一個重要舉措。

1 滲透測試概述及流程

1.1 滲透測試概述

滲透測試主要是由測試人員通過模擬黑客的真實攻擊手段，結合掌握的漏洞信息、攻擊方法、攻擊策略等，對目標系統(tǒng)采用工具和人工的方式進行脆弱性分析和利用的過程[2]。在這個過程中，測試人員會靈活運用所掌握的各類方式，以期發(fā)現(xiàn)通過單一工具測試、漏洞掃描等自動化檢測手段難以檢測到的、可以被利用的“系統(tǒng)脆弱性”，因此對于工具測試是一種更全面和更準確的補充[3]。同時又由于滲透測試通常是基于授權的黑盒或灰盒測試，因此又具有危害低的特點。

1.2 滲透測試流程

網絡安全等級保護測評過程中的滲透測試與傳統(tǒng)的滲透測試有一定的區(qū)別，在項目實施的過程中，滲透測試往往是伴隨著等級保護測評現(xiàn)場測評階段開展的，以對等級保護測評的測評結果進行補充。同時由于等級保護測評項目的特性，測試人員對于被測系統(tǒng)的系統(tǒng)構成、網絡運營者信息、管理人員信息、安全防護措施等都有一定程度的了解，而且還能夠獲得被測系統(tǒng)的特定賬號，因此網絡安全等級保護測評過程中的滲透測試更像是一種介于灰盒和白盒之間的滲透測試[4]。

那么在伴隨著現(xiàn)場測評階段的前提下，等級保護測評過程中的滲透測試往往會與等級保護測評流程相結合，可以分為如下幾個步驟：

（1）現(xiàn)場授權

在等級保護測評的測評準備階段，測評項目組會連同等級保護現(xiàn)場測評組，向被測單位申請滲透測試的授權，以確定在此次項目實施的過程中是否開展?jié)B透測試工作，若不開展則要求被測單位出具《自愿放棄驗證測試聲明》。

（2）信息收集

在對被測系統(tǒng)開展測試工作之前，通過收集等級保護測評相關信息、公開信息查詢等方式，對被測系統(tǒng)的網絡構成、資產構成等信息進行收集和整理，以便后續(xù)開展?jié)B透測試。

（3）測試實施

根據(jù)前期收集到的信息和授權書中約定的時間，正式開展?jié)B透測試，包含了人工測試和工具測試，可以從等級保護方案中約定的不同接入點進行滲透測試，作為工具測試的補充和驗證。

（4）風險分析

根據(jù)測試過程中發(fā)現(xiàn)的系統(tǒng)弱點以及利用的難易程度進行風險分析，并與等級保護相關測評項關聯(lián)起來，對等級保護測評進行一定程度地補充。

（5）報告編制

整理前期的工作內容，編制《滲透測試報告》。

2 等級保護測評中滲透測試實施

對于網絡安全等級保護中的滲透測試，由于在測評初期已經掌握了被測系統(tǒng)的資產情況、運營情況以及業(yè)務運行情況，因此基本都采用灰盒測試的方式開展?jié)B透測試工作。

2.1 測評準備階段

在測評準備階段，滲透測試人員應當在項目經理的帶領下，根據(jù)調研階段收集到的系統(tǒng)構成、業(yè)務流程、測試需求等信息，進行滲透測試的相關工具、腳本和策略的準備，并且同被測系統(tǒng)運維人員協(xié)商，做好測試和評估前的備份等準備工作。

在滲透測試中，常用到的工具主要有如表1所示幾大類。

表1 滲透測試常用工具表

2.2 方案編制階段

在等級保護測評項目的方案編制階段，滲透測試人員應當與測評人員相互協(xié)調，確定滲透測試工作的實施策略、測試深度、開展時間以及周期，配合測評人員共同完成現(xiàn)場測評工作的原始記錄收集以及滲透測試結果形成。

2.3 現(xiàn)場測評階段

在現(xiàn)場測評階段，滲透測試人員根據(jù)前期約定好的測試時間、測試策略以及測試深度等開展?jié)B透測試工作，通常采用如圖1步驟[5]。

2.4 報告編制階段

滲透測試完成后，測試人員根據(jù)測試結果進行風險分析，總結滲透測試過程、結果與修復方案，并編制《滲透測試報告》，交由等級保護測評人員作為等級保護測評結果和風險分析的參考與補充，進而得出最終的等級保護測評結論。

2.5 風險規(guī)避

因為滲透測試是一種模擬黑客的行為，因此可能帶來的風險有：

（1）對被測網站及服務器造成異常運行或停機的可能；

（2）被測網站和服務器的數(shù)據(jù)處理速度可能會減慢；

（3）網絡的處理能力和傳輸速度可能會減慢；

（4）可能會產生少部分測試數(shù)據(jù)。

為最大程度規(guī)避上述風險，可以采取以下規(guī)避措施：

（1）滲透測試實施前，制訂測試方案與策略，經過雙方協(xié)商和確認后簽訂測試授權，并提前做好被測系統(tǒng)備份工作以及應急處置的準備工作；

（2）滲透測試期間，選擇合適的測試時間，并安排運維人員實時監(jiān)控網站運行情況，及時對出現(xiàn)的異常問題進行記錄和處置，盡可能減少滲透測試對正常業(yè)務運行造成的影響；

（3）對于攻擊策略，應當盡量選擇危害性較小的操作，只驗證漏洞的存在或只進行非危害性利用，而不對文件、數(shù)據(jù)和原有配置進行操作，同時盡量避免采用DDoS等對被測系統(tǒng)帶來極大壓力的測試方法；

（4）滲透測試實施后，測試人員確認清理測試數(shù)據(jù)及殘留后門程序等，并確認網站運行恢復正常，與被測系統(tǒng)運維人員確認后簽署測試結束確認單。

圖1 現(xiàn)場測試流程

2.6 滲透測試對等級測評結論的影響

滲透測試作為等級保護測評的一種補充，在驗證工具測試結果的同時，與上述關聯(lián)測評項結合，通過網絡安全等級保護測評方法中的“測試”，進一步確定相關測評項的測評結果以及對應的風險分析，從而影響被測系統(tǒng)最終的風險分析結果。

例如，通過滲透測試發(fā)現(xiàn)被測系統(tǒng)服務器存在CVE-2017-0143“永恒之藍”漏洞，則可以從側面反映出被測系統(tǒng)服務器在安全計算環(huán)境測評中，“應關閉不需要的系統(tǒng)服務、默認共享和高危端口”、“應能發(fā)現(xiàn)可能存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞”、“應能夠檢測到對重要節(jié)點進行入侵的行為，并在發(fā)生嚴重入侵事件時提供報警”三項測評項為不符合或部分符合[6]，從而為該系統(tǒng)帶來高危的風險，并且直接影響最終的測評結論為“差”。

3 結語

滲透測試作為等級保護測評的一種驗證機制和補充，在等級保護工作當中起了非常重要的作用。明確滲透測試在等保測評中的應用方法以及對測評結論的影響，能幫助測評人員更好地確定被測系統(tǒng)的風險項與測評結論，進而更好地幫助網絡運營者提升自身的網絡安全建設水平。本文通過對等級保護測評各個階段中滲透測試實施方式的闡述，希望能對滲透測試在網絡安全等級保護測評中的應用提供參考。

[1]馬力，陳廣勇，祝國邦. 網絡安全等級保護2.0國家標準解讀[J]. 保密科學技術，2019，106（07）：16-21.

[2]常艷，王冠. 網絡安全滲透測試研究[J]. 信息網絡安全， 2012（11）：3-4.

[3]王世軼，吳江，張輝. 滲透測試在網絡安全等級保護測評中的應用[J]. 計算機應用與軟件，2018，35（11）：190-193.

[4]廉承凱，傅爽. 滲透測試在網絡安全等級保護2.0中的應用[C]// 2019中國網絡安全等級保護和關鍵信息基礎設施保護大會. 0.

[5]宋超臣，王希忠，黃俊強，等. Web滲透測試流程研究[J]. 電子設計工程，2014，22（017）：165-167.

[6]陳廣勇，祝國邦，范春玲. 《信息安全技術網絡安全等級保護測評要求》（GB/T 28448-2019）標準解讀[J]. 信息網絡安全， 2019（7）.

[7]馬力，祝國邦，陸磊. 《網絡安全等級保護基本要求》（GB/T 22239-2019）標準解讀[J]. 信息網絡安全， 2019， 218（02）：77-84.

[8]廉承凱，傅爽. 滲透測試在網絡安全等級保護2.0中的應用[C]// 2019中國網絡安全等級保護和關鍵信息基礎設施保護大會.