綜合安全測(cè)試粗探

詹治中

[摘要]在簡(jiǎn)要介紹和討論安全測(cè)試在當(dāng)今的安全形勢(shì)下的作用，通過(guò)幾個(gè)側(cè)面來(lái)說(shuō)明綜合安全測(cè)試的作用及產(chǎn)生的影響。

[關(guān)鍵詞]安全測(cè)試漏洞風(fēng)險(xiǎn)

中圖分類(lèi)號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671-7597(2009)0610087-02

一、前言

本論文概述了綜合安全測(cè)試作為定位和漏洞評(píng)起到的作用，綜合性安全測(cè)試作為一種綜合性檢測(cè)方式已經(jīng)逐漸被公認(rèn)。對(duì)當(dāng)前安全系統(tǒng)所面臨的日益加劇的安全和潛在的問(wèn)題一以及主動(dòng)進(jìn)行的綜合安全測(cè)試將成為漏洞評(píng)估中最重要的因素進(jìn)行了說(shuō)明。

二、信息安全面臨的問(wèn)題

在目前數(shù)字化網(wǎng)絡(luò)化的時(shí)代里，安全問(wèn)題越來(lái)越成為大家矚目的重點(diǎn)。不同類(lèi)型的攻擊，惡意軟件與黑客聯(lián)盟的攻擊一直以來(lái)都是危機(jī)的主要問(wèn)題之一，在目前來(lái)自政府和各類(lèi)機(jī)構(gòu)對(duì)安全調(diào)控需要的日益增長(zhǎng)，已經(jīng)導(dǎo)致越來(lái)越多的單位和機(jī)構(gòu)要定期對(duì)自身的技術(shù)漏洞和安全防御機(jī)制進(jìn)行評(píng)估。多年以來(lái)，各個(gè)方面都進(jìn)行了大量的資金的投入，力求通過(guò)建立信息系統(tǒng)的防御，特別是在一系列基于網(wǎng)絡(luò)底層協(xié)議和終端的設(shè)施上面的加強(qiáng)來(lái)達(dá)到安全的目的。但事實(shí)卻清楚地表明，安全保護(hù)工作仍然令許多單位和組織疲于奔命，他們的信息和資源依舊為外部的風(fēng)險(xiǎn)入侵，業(yè)務(wù)中斷和數(shù)據(jù)丟失等問(wèn)題所困擾著。

而且種種跡象表明，隨著計(jì)算機(jī)及網(wǎng)絡(luò)的發(fā)展在接下來(lái)的時(shí)間里我們將看到更具危害的安全威脅在信息系統(tǒng)中出現(xiàn)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的日益普及，越來(lái)越多越來(lái)越先進(jìn)的服務(wù)器的出現(xiàn)同樣為這情況提供了基礎(chǔ)，成為用來(lái)攻擊最新反病毒技術(shù)的工具，同時(shí)也為這些攻擊躲避入侵檢測(cè)系統(tǒng)提供了環(huán)境與條件。

就目前而言，特定群體與最終用戶(hù)也開(kāi)始成為被威脅和攻擊的目標(biāo)，通過(guò)社會(huì)工程學(xué)或假冒相關(guān)的郵件等手段吸引最終用戶(hù)點(diǎn)擊仿造正規(guī)網(wǎng)站的頁(yè)面手段從而獲取相關(guān)的個(gè)人隱私信息的“網(wǎng)絡(luò)釣魚(yú)”也正在成為目前的信息系統(tǒng)安全中的新的危害。

對(duì)于這些問(wèn)題已經(jīng)有些國(guó)家已經(jīng)提出了相應(yīng)的應(yīng)對(duì)策略，包括最初美國(guó)國(guó)會(huì)在1996年通過(guò)了相關(guān)諸如支付卡行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)(Payment Card Industry3 Data Security Standard—PCI DSS)以及健康保險(xiǎn)流通與責(zé)任法案(Health Insurance Portability and Accountability Act—HIPAA)，盡管美國(guó)的這些辦法有起到一定的作用，但是這些嚴(yán)格的信息標(biāo)準(zhǔn)也無(wú)法徹底避免信息系統(tǒng)會(huì)遭受被攻擊從而造成數(shù)據(jù)流失的危害。

這讓我們覺(jué)察到我們正面對(duì)著一個(gè)多樣化的環(huán)境，面臨的信息系統(tǒng)安全問(wèn)題比以往更加復(fù)雜和嚴(yán)峻，信息方面正面臨著比以往任何時(shí)候都更復(fù)雜的潛在安全問(wèn)題，

三、目前安全機(jī)制的主要問(wèn)題

盡管幾十年來(lái)在信息系統(tǒng)安全方面的產(chǎn)品相當(dāng)豐富，從傳統(tǒng)的單機(jī)方面的防護(hù)軟件、網(wǎng)絡(luò)方面的防護(hù)軟件系統(tǒng)，到新型的數(shù)據(jù)丟失防護(hù)工具技術(shù)(Data Loss Prevention-DLP)，現(xiàn)實(shí)情況是，許多單位組織或者個(gè)人仍然很容易受到攻擊和信息泄漏。

相關(guān)的數(shù)據(jù)已證明，許多領(lǐng)軍的安全廠商已經(jīng)認(rèn)識(shí)到最常用的桌面和網(wǎng)絡(luò)防病毒系統(tǒng)正在被大量的形式多樣存在不同的針對(duì)性攻擊所包圍，并且像DLP這類(lèi)技術(shù)還不夠成熟無(wú)法成功應(yīng)用到企業(yè)。

同時(shí)現(xiàn)在的單位往往都有建立相關(guān)的安全機(jī)制措施，但在實(shí)際工作中，實(shí)際工作人員與管理人員間的彼此溝通仍在結(jié)構(gòu)上存在問(wèn)題，例如為了提升網(wǎng)絡(luò)安全進(jìn)行統(tǒng)一的網(wǎng)絡(luò)性能方面的維護(hù)、各個(gè)用戶(hù)終端應(yīng)用軟件的統(tǒng)一升級(jí)、以及對(duì)工作人員進(jìn)行軟件應(yīng)用培訓(xùn)上，都存在著不連續(xù)與脫節(jié)。另一方面我們目前使用的信息系統(tǒng)安全體系都存在這一個(gè)普遍的問(wèn)題，那就是傳統(tǒng)防御機(jī)制甚至一些新的安全管理和漏洞掃描解決的方案都會(huì)在運(yùn)行中產(chǎn)生大量的記錄數(shù)據(jù)，而這些數(shù)據(jù)往往需要通過(guò)大量的計(jì)算任務(wù)來(lái)處理，對(duì)所在服務(wù)器造成巨大的負(fù)擔(dān)，在提升了安全的同時(shí)卻降低了系統(tǒng)的效率及穩(wěn)定程度。

當(dāng)今，從防火墻、入侵檢測(cè)／預(yù)防系統(tǒng)(intrusion detection／prevention systems-IDS／IPS)，到新興的安全事件／信息管理系統(tǒng)(securityevent／information management—SEM／SIM)都遍布我們的工作當(dāng)中，這些防范的機(jī)制讓那些相關(guān)安全防范的人員可以詳細(xì)地了解到系統(tǒng)目前的安全狀態(tài)，其中包括被黑客攻擊的相關(guān)記錄。雖然隨著這些應(yīng)用的發(fā)展，大多數(shù)的安全負(fù)責(zé)人員都會(huì)通過(guò)運(yùn)用篩選技術(shù)來(lái)提高系統(tǒng)的效率，但是對(duì)于一個(gè)單位的來(lái)說(shuō)，對(duì)于安全上面的投入所產(chǎn)生的效益是無(wú)法進(jìn)行相應(yīng)的估計(jì)和衡量的，而且在這一方面實(shí)際出現(xiàn)的情況往往需要安全管理人員在進(jìn)行安全工作室也需利用到其他的工具，這些工具對(duì)于安全系統(tǒng)來(lái)說(shuō)不會(huì)帶來(lái)安全上的加權(quán)。這些情況一直在向我們說(shuō)明這么一個(gè)問(wèn)題，安全系統(tǒng)的有效性與相關(guān)的投資也需要有一個(gè)有效的測(cè)試評(píng)估手段。

四、安全測(cè)試的范圍

進(jìn)行綜合性的安全測(cè)試的目的就是對(duì)于目前安全所面臨的問(wèn)題，進(jìn)行綜合的測(cè)試從而能更加全面地對(duì)總體的安全狀態(tài)進(jìn)行評(píng)估。

正如日常運(yùn)行中的系統(tǒng)都必須進(jìn)行定期進(jìn)行檢查，以確保在一定的時(shí)間內(nèi)和相關(guān)信息系統(tǒng)沒(méi)有問(wèn)題保持其運(yùn)行的穩(wěn)定，現(xiàn)有的安全設(shè)備也逐漸越來(lái)越多地進(jìn)行頻繁的審查，防止可能存在的漏洞或者安全隱患。在這一系列的測(cè)試與檢查中，一種更加綜合性的安全測(cè)試正悄然而生，以用來(lái)幫組相關(guān)的安全人員對(duì)相關(guān)的安全系統(tǒng)及安全策略進(jìn)行評(píng)估，以便相關(guān)的人員了解自己信息系統(tǒng)的存在哪些可以利用的優(yōu)勢(shì)性能或者不足。

為了達(dá)到全面的測(cè)試檢測(cè)效果，在目前這類(lèi)型的安全測(cè)試中，先由系統(tǒng)架構(gòu)師對(duì)整個(gè)總體的系統(tǒng)進(jìn)行分析驗(yàn)證，從基礎(chǔ)框架開(kāi)始對(duì)整個(gè)系統(tǒng)進(jìn)行測(cè)試，查找被測(cè)系統(tǒng)的不足或者潛在的各種問(wèn)題，并針對(duì)不同的相關(guān)功能進(jìn)行具體性質(zhì)的安全檢測(cè)；最后再投入試運(yùn)行在運(yùn)行過(guò)程中找出潛在的問(wèn)題與不足。現(xiàn)今許多的軟件開(kāi)發(fā)商也已開(kāi)始在自己的產(chǎn)品中整合上軟件的自我測(cè)試功能，以幫助客戶(hù)確保其軟件系統(tǒng)運(yùn)作正常。但這一情況存在著一定的片面性，因?yàn)榇蟛糠诌@些測(cè)試通常旨在確保用戶(hù)在產(chǎn)品能在完成最基礎(chǔ)的功能的情況下順利運(yùn)行而已，而不是積極尋求全方位的進(jìn)行測(cè)試，大多數(shù)并沒(méi)有對(duì)于潛在安全風(fēng)險(xiǎn)進(jìn)行相關(guān)的測(cè)試工作。

在這個(gè)問(wèn)題上，很多的安全人員與專(zhuān)家們認(rèn)識(shí)到，進(jìn)行獨(dú)立的技術(shù)測(cè)試，能最全面和客觀地檢測(cè)到潛在的風(fēng)險(xiǎn)。

目前流行的用來(lái)最普遍的進(jìn)行安全檢測(cè)及進(jìn)行定期系統(tǒng)自我檢查的獨(dú)立檢測(cè)方式有如下三種：

1．源代碼分析檢測(cè)針對(duì)軟件開(kāi)發(fā)的底層代碼進(jìn)行相應(yīng)的檢測(cè)；

2．漏洞掃描檢測(cè)針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)備或者相關(guān)的網(wǎng)絡(luò)應(yīng)用程序進(jìn)行相關(guān)的漏洞掃描，以便查明在其網(wǎng)絡(luò)的應(yīng)用上是否配置不當(dāng)存在漏洞或者潛在的威脅；

3．安全性測(cè)試系統(tǒng)模擬真實(shí)的使用環(huán)境，以最真實(shí)地暴露系統(tǒng)安全弱點(diǎn)，并對(duì)軟件的安全功能及安全政策的有效性進(jìn)行測(cè)試分析，并制定相

應(yīng)的防災(zāi)應(yīng)對(duì)機(jī)制以減輕相應(yīng)的軟件安全問(wèn)題。

根據(jù)近一階段發(fā)表的報(bào)告6，相當(dāng)多的機(jī)構(gòu)開(kāi)始對(duì)自身的系統(tǒng)環(huán)境進(jìn)行更積極主動(dòng)的評(píng)測(cè)，特別是漏洞測(cè)試方面。將測(cè)試所獲得的信息結(jié)合以往的數(shù)據(jù)，通過(guò)制定安全事件處理優(yōu)先級(jí)的方式來(lái)降低安全系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)，從而提高安全系統(tǒng)的性能，以及滿(mǎn)足外部評(píng)審的要求。許多安全測(cè)試系統(tǒng)的支持者，包括許多大型的安全機(jī)構(gòu)都聲稱(chēng)，他們目前使用的技術(shù)已經(jīng)使他們具備對(duì)安全事件的操作定位能力8，對(duì)于相關(guān)的安全問(wèn)題，能夠進(jìn)行有效的標(biāo)記和進(jìn)行處理優(yōu)先級(jí)的劃分。相應(yīng)的未能主動(dòng)進(jìn)行安全測(cè)試的公司其商務(wù)上的合作伙伴及客戶(hù)會(huì)逐漸認(rèn)識(shí)到其存在技術(shù)上的落伍。

IT行業(yè)分析師，安全審計(jì)和相關(guān)的業(yè)者都將采用公認(rèn)的漏洞評(píng)估與檢測(cè)能力樣本對(duì)系統(tǒng)進(jìn)行評(píng)估，并針對(duì)現(xiàn)實(shí)中所采集到的實(shí)時(shí)指標(biāo)做出在不同安全等級(jí)要求的可視圖表報(bào)告。

比如說(shuō)，作為PCI DSS標(biāo)準(zhǔn)的一部分(需要所有商業(yè)貸款或信用卡交易提供可靠的電子數(shù)據(jù)安全性)，從事這方面業(yè)務(wù)的銀行部門(mén)都被要求進(jìn)行在系統(tǒng)和應(yīng)用上進(jìn)行此類(lèi)的測(cè)試6(包括以上列舉的三種檢測(cè)方式)以降低信息泄露的風(fēng)險(xiǎn)。

目前許多機(jī)構(gòu)都有每年聘請(qǐng)外部顧問(wèn)常駐，或者進(jìn)行兩年一度的安全測(cè)試，然而許多的專(zhuān)家都開(kāi)始認(rèn)為進(jìn)行主動(dòng)的自我評(píng)估是最理想的方式9：一來(lái)可以經(jīng)常性地進(jìn)行來(lái)保障安全工作的有效；二來(lái)，日常的測(cè)評(píng)的記錄也能夠?yàn)槊磕暌欢鹊臏y(cè)評(píng)工作作出補(bǔ)充。對(duì)應(yīng)的測(cè)試系統(tǒng)還可以依照不同的評(píng)測(cè)標(biāo)準(zhǔn)為機(jī)構(gòu)提供相關(guān)的參考，這方面已開(kāi)始接近許多專(zhuān)業(yè)服務(wù)公司提供的信息分析服務(wù)內(nèi)容了。并且這項(xiàng)技術(shù)是在眾多專(zhuān)家對(duì)于漏洞分析的長(zhǎng)期工作總結(jié)出的最有效方法的基礎(chǔ)上建立起來(lái)的，能夠從數(shù)據(jù)方面檢測(cè)相關(guān)的安全工作是否達(dá)到原來(lái)預(yù)期的目標(biāo)。

不難看出，基于以上的種種原因，所有這些采用的安全測(cè)試技術(shù)的跡象都表明，越來(lái)越成為當(dāng)今普遍的檢測(cè)方式；而且就目前的效果而言，這正在迅速成為漏洞評(píng)估的最基本最有效的方法。更甚一步，安全測(cè)試系統(tǒng)工作范圍十分廣泛，將安全測(cè)試系統(tǒng)整合進(jìn)其它領(lǐng)域似乎也是十分合乎情理的，或者說(shuō)安全測(cè)試可以很容易地與其他類(lèi)似的技術(shù)進(jìn)行結(jié)合。在不久的未來(lái)也許這類(lèi)檢測(cè)機(jī)制就能夠按照使用者的需要在不同領(lǐng)域不同系統(tǒng)的要求下對(duì)系統(tǒng)進(jìn)行自我檢測(cè)，而相關(guān)的檢測(cè)機(jī)構(gòu)也可以不用專(zhuān)門(mén)為了某個(gè)安全系統(tǒng)進(jìn)行定制測(cè)試內(nèi)容而在那個(gè)領(lǐng)域進(jìn)行主動(dòng)深入的了解分析。

五、對(duì)綜合測(cè)試的結(jié)論及展望

綜合測(cè)試為組織在安全方面的檢測(cè)能力提供保證，能使他們快速準(zhǔn)確地找出系統(tǒng)中存在的弱點(diǎn)與不足，讓被檢測(cè)的單位可以根據(jù)檢測(cè)報(bào)告進(jìn)行有針對(duì)性的安全工作，使得安全工作方面在人力與財(cái)力做到有的放矢。而且在用戶(hù)終端、網(wǎng)絡(luò)，所進(jìn)行的綜合的，多層次的測(cè)試為最終用戶(hù)和企業(yè)提供全面，集中的方法來(lái)進(jìn)行安全管理。

與只參與軟件開(kāi)發(fā)過(guò)程的源代碼分析工具或是提供組織長(zhǎng)期列出潛在的弱點(diǎn)的漏洞掃描工作不同的是，全面的安全測(cè)試軟件解決方案的可以協(xié)助用戶(hù)對(duì)重大風(fēng)險(xiǎn)中的數(shù)據(jù)進(jìn)行操作，使用戶(hù)能在第一時(shí)間內(nèi)對(duì)嚴(yán)重的問(wèn)題做出反應(yīng)。

目前許多平臺(tái)進(jìn)行評(píng)估的方式是讓各種安全機(jī)構(gòu)在系統(tǒng)不同的部分進(jìn)行獨(dú)立的漏洞檢測(cè)，如針對(duì)Web應(yīng)用程序的漏洞檢查就是個(gè)很好的例子說(shuō)明這點(diǎn)。但只有綜合性的安全測(cè)試則是一種綜合性的安全檢查評(píng)估方式，它從底層設(shè)備乃至最終的用戶(hù)安全策略開(kāi)始抓起，反復(fù)對(duì)可能存在風(fēng)險(xiǎn)的問(wèn)題進(jìn)行檢測(cè)，并對(duì)出現(xiàn)的問(wèn)題做出適當(dāng)?shù)难a(bǔ)救和反應(yīng)。

許多的漏洞檢測(cè)機(jī)構(gòu)在完成工作后會(huì)提供一份關(guān)于漏洞的解決報(bào)告，相關(guān)的單位機(jī)構(gòu)可以根據(jù)相應(yīng)的內(nèi)容對(duì)存在的問(wèn)題進(jìn)行解決改善。可以看到的是這項(xiàng)內(nèi)容已于作為一個(gè)具體的要求寫(xiě)入PCI DSS標(biāo)準(zhǔn)的第11.3節(jié)10。

除了這些具體的要求，漏洞檢測(cè)系統(tǒng)也有助于從某些方面增加組織安全制度的可執(zhí)行性，讓相應(yīng)的防御機(jī)制和安全政策能更加廣泛地得到貫徹與執(zhí)行，這也使得綜合測(cè)試越來(lái)越成為安全技術(shù)領(lǐng)域所推崇的做法。在復(fù)雜的威脅面前，嚴(yán)格遵守法規(guī)和生產(chǎn)過(guò)度信息的傳統(tǒng)的安全系統(tǒng)已漸漸不能適應(yīng)需要，許多單位將考慮應(yīng)該如何將加強(qiáng)安全工作組織人員進(jìn)行安全作為安全工作的重點(diǎn)，這顯然靠一個(gè)安全軟件是遠(yuǎn)遠(yuǎn)做不到的。

此外，無(wú)論是在目前或未來(lái)的時(shí)間里安全防范人員，執(zhí)行業(yè)者還是業(yè)務(wù)線管理人員都在努力積極地尋找著有助于他們降低潛在的安全問(wèn)題的方法，以提高他們?cè)谛畔⒎矫娴陌踩潭取Ｄ壳坝捎诎踩矫娴脑颍袠I(yè)在信息系統(tǒng)上提出了越來(lái)越多的需求，隨著第三方調(diào)查機(jī)構(gòu)對(duì)于入侵與數(shù)據(jù)丟失的調(diào)查的深入與增多，全面系統(tǒng)地進(jìn)行安全測(cè)試也正在成為被各個(gè)機(jī)構(gòu)部門(mén)普遍接受并認(rèn)為是高效且負(fù)責(zé)的做法

全面安全測(cè)試方案提供了能夠通過(guò)的最有效方法檢查出被測(cè)機(jī)構(gòu)系統(tǒng)中存在的最關(guān)鍵的漏洞，從而降低經(jīng)營(yíng)風(fēng)險(xiǎn)，并確保系統(tǒng)的安全策略能有效地發(fā)揮作用。

安全工作的最迫切的目的就是，盡最大可能保護(hù)他們的工作和敏感的數(shù)據(jù)，而要做到這些就必須解決以下的重要問(wèn)題，包括：

1．我們應(yīng)牢牢把握對(duì)我們來(lái)說(shuō)重要的風(fēng)險(xiǎn)和漏洞存在的情況，及時(shí)對(duì)這些潛在的問(wèn)題做出相應(yīng)的檢查與評(píng)估；

2．避免成為攻擊的目標(biāo)，做好針對(duì)攻擊進(jìn)行檢測(cè)的工作：

3保障現(xiàn)有的安全機(jī)制有效地運(yùn)作，能直觀地對(duì)作出分析與判斷；

4．單位里的工作人員遵照單位制定的安全策略進(jìn)行工作，對(duì)于安全策略中存在的不足進(jìn)行改進(jìn)，保證相應(yīng)的貫徹執(zhí)行。

這里所提出的這些問(wèn)題，獨(dú)立的綜合性安全測(cè)試將提高系統(tǒng)的安全程度與反映速度，可以說(shuō)主動(dòng)進(jìn)行綜合性安全測(cè)試的時(shí)代即將到來(lái)。