滲透測試在網絡安全等級保護測評中的應用

王世軼 吳 江 張 輝

(上海市網絡技術綜合應用研究所 上海 200233)

0 引 言

網絡安全等級保護制度是落實國家網絡安全法要求的重要措施之一。伴隨著信息技術的飛速發展，新的安全漏洞層出不窮，導致信息系統存在的安全隱患越來越多。因此，在等級保護測評過程中如何及時、準確地發現系統存在的安全風險，成為非常迫切的需求。滲透測試模擬攻擊者的思維，采用手動或技術成熟的工具對被測系統的安全性進行全面評估，從而最大程度地發現系統存在的安全隱患，成為等級保護測評中一個必不可少的重要環節。

1 滲透測試概述

1.1 滲透測試在等保測評中的必要性

2017年6月1日，《中華人民共和國網絡安全法》正式實施，明確要求國內運營的信息系統須實施等級保護制度，使等級保護制度成為國家基本制度并上升到法律層面。在等級保護的基本要求中，雖沒有相應的技術標準對信息系統“抗滲透”能力做明確規定，但針對定級為第三級及以上的信息系統，在基本要求的安全技術層面，對系統抵御大規模惡意攻擊能力、非法入侵檢測與防御能力、抗惡意代碼攻擊能力、安全事件應急響應及監控等能力做了詳細要求。同時在安全管理層面，要求信息系統須經過公正的第三方安全測試才能上線運行。

鑒于上述條件約束，被測信息系統若未進行滲透測試，則無法滿足等級保護相關要求。滲透測試在等保測評中的實施，一方面檢查并驗證被測信息系統存在的安全漏洞，提供切實可行的修復建議；另一方面，有助于等級保護測評質量的提升。

1.2 滲透測試原理

滲透測試主要依據業界公布的或測試人員掌握的安全漏洞信息，采用攻擊者的思維方式，通過工具或手工方式對目標的應用、主機、網絡、數據庫等安全性進行深入探測，發現系統最脆弱的環節的過程。滲透測試一個重要的原則，即所有的測試行為必須在用戶的書面明確授權和監督下進行，經授權的滲透測試，目的是真實、全面地發現信息系統存在的脆弱性并驗證其可用，不再進行后續滲透操作(如植入后門等)，因此，一般不會對信息系統造成危害和損失。

1.3 滲透測試流程

通常，滲透測試一般包括測試準備、信息探測、測試實施、報告編制四個階段，具體流程如圖1所示。

圖1 滲透測試流程圖

各個環節相關工作內容概述如下：

(1) 測試準備階段 在獲取到單位的書面授權許可后，開始滲透測試的實施。將實施范圍、方法、工具、時間、人員等具體方案與單位進行交流，溝通可能存在的測試風險，并得到單位的認可。整個測試過程都在單位的監督和控制下進行。

(2) 信息探測階段 滲透測試過程中，根據規定的測試范圍收集信息系統相關信息，可采用一些商業或開源的安全評估工具進行收集，如Webinspect、Appscan、Nessus、Nmap等，并對探測到的端口、服務、IP、DNS、OS等信息進行整理，為下一步測試實施階段提供支撐。

(3) 測試實施階段 滲透測試人員對探測到的信息進行分析，通過制定滲透策略、準備攻擊代碼、研究繞過機制等步驟進行測試。實施路徑主要包括內網和外網兩種:

① 內網測試 從內網發起對信息系統的測試工作，目的是避開防火墻等設備的安全防護措施。此階段如能成功，可能獲得普通用戶權限，然后通過提權等操作，獲取系統的最高權限。以被控制的服務器作為跳板，從而對其他目標進一步滲透測試。

② 外網測試 直接通過互聯網，對信息系統進行滲透測試，操作流程與內網測試類似。

(4) 報告編制階段 實施人員分析測試結果，編寫系統滲透測試報告，主要包括具體測試結果、漏洞結果評估及整改建議等內容。

1.4 滲透測試的風險規避

滲透測試是動態變化的，測試過程仍可能對應用、主機、網絡等正常運行帶來一定的影響。為了最大程度上避免測試過程對業務運行造成影響，需要實施風險規避的策略，具體如下：

(1) 方案評審 雙方簽署滲透測試委托書，制定并評審滲透測試方案，得到雙方的認可。

(2) 時間策略 選擇合適的測試時間，如選擇夜間或業務量不高的時間段進行測試，最大程度上避免測試過程對業務造成影響，同時預留風險排除時間。

(3) 攻擊策略選擇 對于實時性要求高的核心業務系統，不建議做深入測試，如DDOS類測試，測試人員可對結果做分析推測，而不驗證危險的操作。

(4) 系統備份和恢復 在測試實施前，需對被測系統做完整備份，當出現問題時可及時恢復，針對核心業務系統建議對備份系統進行滲透測試。

(5) 應急策略 當被測系統出現中斷、響應緩慢等問題時，需及時停止測試工作，配合被測單位進行故障處置，在故障處理完畢后，經單位授權才能繼續進行剩余的測試。

(6) 溝通策略 雙方建立干系人聯絡表，確定接口人，對測試過程中出現的問題及時溝通，并確保溝通有效。

1.5 滲透測試工具介紹

在滲透測試過程中，測試人員使用操作系統自帶網絡應用、診斷工具或開源及商業軟件，以及自行開發的安全掃描工具。這些工具在技術上已經非常成熟，具有高度安全和可控性，并能根據測試者的實際要求進行有針對性的測試。但安全工具本身也是一把雙刃劍，需針對系統可能出現的問題提出相應對策，以確保在滲透測試的過程中保持在可控狀態。

(1) 系統自有工具 表1列出了常用的系統自帶網絡應用、管理和診斷工具，測試人員將用到但不限于以下命令進行測試。

表1 系統自有工具表

(2) 其他測試工具 表2列出了滲透測試中常用到的網絡掃描工具、網絡管理軟件等，測試人員將可能用到但不限于以下工具。

表2 其他測試工具表

續表2

2 滲透測試實施

本文通過一個實例來說明滲透測試是如何在等保測評中實施的。在某單位等保三級系統測評中，需對用戶的WEB系統進行滲透測試，以驗證信息系統的整體安全防護水平。

2.1 方案制定

滲透測試小組根據信息系統的規模和實際業務情況制定詳細的滲透測試方案，包括制定合理的滲透測試計劃、選擇適當的測試方法、充分準備測試工具，分析測試過程中可能帶來的風險和相應的風險規避方法等。

2.2 信息收集

滲透測試人員使用多種系統或工具進行信息收集工作，包括系統掃描工具Nmap、Openvas、Burpsuit等，經掃描發現系統開放了80、139、445、3389、47001等端口。針對這些服務從系統層面和WEB層面進行分析，發現系統存在文件共享、遠程接入、SQL注入、XML注入等漏洞，為下一步的漏洞利用提供基礎。

另外，針對信息收集階段的測試方法、測試內容及可能存在的風險，做了應急處置策略，具體如表3所示。

表3 信息收集風險控制表

2.3 測試實施

根據獲取的漏洞信息，結合信息系統的特點、異構性等方面對漏洞進行確認，并制定滲透測試策略。獲取的信息發現高危漏洞，嘗試直接利用高危漏洞，驗證是否可用。下面以“文件共享”漏洞為例，介紹測試過程。

第一步制定滲透測試策略：1) 目標：獲取被測系統服務器的控制權限；2) 實施途徑：系統漏洞掃描-->服務漏洞-->漏洞利用-->獲取遠程Shell-->建立用戶-->遠程桌面；3) 說明：如果獲取的遠程Shell權限較低，則需提權后再建立用戶。

第二步采用不同的漏掃工具對已掃描的漏洞進行確認，結果確認系統服務器存在熟知漏洞(掃描工具為nmap和Nessus)，編號為MS08-067。該漏洞是針對文件共享服務的，若服務器收到特制的 RPC請求，則該漏洞可能允許遠程執行代碼。

第三步漏洞確認之后，采用漏洞利用工具實施溢出，順利獲取Shell控制界面，執行“whoami”命令，查看“用戶及用戶組”，顯示為“Administrator”用戶組，表明獲取的是系統管理員的權限，即獲取系統最高控制權。

第四步通過該Shell建立后門帳號，后續使用后門帳號即可遠程登錄系統，至此整個過程完成(該步驟獲得用戶許可)。

另外，在測試實施階段，測試人員通過前期收集到的信息，對單位被測信息系統進行工具或手工測試。針對測試對象和測試方法以及可能出現的風險做了應急處置策略，具體如表4所示。

表4 測試實施風險控制表

續表4

2.4 報告輸出

滲透測試完成后，測試人員整理工作內容和成果。根據發現的安全漏洞和安全風險提出系統存在的問題，并有針對性的提出問題整改建議，形成《滲透測試報告》。

3 結 語

本次對該單位WEB系統進行的滲透測試，模擬黑客成功獲取服務器的最高控制權限，并獲取后臺數據庫數據信息。系統層面的漏洞主要是由于軟件開發過程中的缺陷，一般需要嚴密跟蹤軟件廠商的安全預警，及時更新系統補丁。因此，建議用戶構建漏洞預警與更新機制，在日常的安全維護中，對重要系統定期進行漏洞掃描，并在確認安全的基礎上更新補丁。在等級保護項目中實施滲透測試，能及時發現信息系統存在的安全風險，做好預防措施，也能更好地滿足等級保護相關要求，保障被測信息系統安全、穩定運行。