利用滲透測試優(yōu)化行業(yè)網(wǎng)絡安全管控

王 明 政

(上海市教育委員會信息中心 上海 200003)

0 引 言

信息技術的高速發(fā)展使得信息系統(tǒng)在各個領域中的應用更為普遍。當前教育領域的信息化建設取得了快速發(fā)展，現(xiàn)代信息化技術在教育系統(tǒng)中的應用十分廣泛，例如，服務門戶、辦公自動化、教務管理、財務管理、在線教學等信息系統(tǒng)的使用大幅提高了工作效率和服務水平。因此，提高各個信息系統(tǒng)的網(wǎng)絡安全水平變得極為重要。目前，上海市16個區(qū)教育局、3 000多家中小學幼兒園、60多所高校、30多個直屬事業(yè)單位和80多所中職院校涉及的信息系統(tǒng)有上萬個。若要適應目前信息安全的形勢，提高這些信息系統(tǒng)的安全水平，快速發(fā)現(xiàn)安全漏洞并及時修補是保證系統(tǒng)安全運行的重要手段之一。

信息技術更新迭代快速，網(wǎng)絡安全漏洞也隨之持續(xù)出現(xiàn)，在信息系統(tǒng)的生命周期及時發(fā)現(xiàn)安全漏洞并快速整改至關重要。因此一套行之有效的管理控制機制，能依托合理的技術手段實現(xiàn)安全漏洞精準定位、精確發(fā)現(xiàn)、主動報警、監(jiān)測整改的信息安全管理控制體系與技術平臺變得十分必要。

1 管理控制模型及其要素

1.1 管理控制通用模型[1]

管理中的控制工作就是按標準來確定計劃的執(zhí)行情況，同時通過糾正執(zhí)行中的偏差以確保計劃目標的正確與實現(xiàn)。

管理控制是指管理者影響組織中其他成員以實現(xiàn)組織戰(zhàn)略的過程。它是為達到一個預期的目的，將資源進行正確而有效的組織、計劃、協(xié)調，同時形成并建立一系列正常的工作秩序及管理制度的活動。管理控制的目的是執(zhí)行戰(zhàn)略。如圖1所示。

圖1 管理控制示意圖

1.2 管理控制要素[2]

管理控制的工作過程，如圖2所示，一般由以下三個方面的步驟組成：制定控制目標，建立績效標準;衡量實際工作，獲取偏差信息；分析偏差原因，采取矯正措施(它是一種反饋控制)。

圖2 控制過程示意圖

反饋控制源自信號自動控制理論，根據(jù)反饋信號分“正反饋”和“負反饋”兩種。反饋控制是指一項任務完成后，將實際結果比較，并判斷對下一步行動的執(zhí)行產(chǎn)生的影響，以起到控制的作用。將其引入控制學中，對應設定三項基本要素節(jié)點：控制目標與標準、偏差信息、矯正措施，三者形成整個控制閉環(huán)的關鍵節(jié)點。

2 滲透測試

2.1 定 義

在說明滲透測試之前先說明一下漏洞掃描[3]。漏洞掃描是針對信息系統(tǒng)安全的檢查，其掃描對象包括連接在網(wǎng)上的系統(tǒng)、應用程序、在線的網(wǎng)絡設備組件，通過檢測漏洞以及安全薄弱環(huán)節(jié)。一般的漏洞掃描器會基于漏洞數(shù)據(jù)庫，該庫包含了具有安全風險的服務、端口、包類型等已知的安全問題的相關信息。庫中的風險列表同時包含了解決漏洞的安全建議。

對于滲透測試[4-5]，目前安全組織達成共識的定義是：利用模擬黑客的惡意攻擊方法，測評系統(tǒng)的安全狀況，作為一種計算機網(wǎng)絡系統(tǒng)安全的評估方法。在整個評估過程中分析者是以一個攻擊者的定位主動利用安全漏洞執(zhí)行的，是基于對系統(tǒng)的各種弱點、技術缺陷以及漏洞的主動分析[6-7]。

將滲透測試應用于網(wǎng)絡安全防范成為一種有效的技術手段用來預防攻擊的行為，同時，必須立足該測試選擇不影響業(yè)務系統(tǒng)正常運行的為前提[8-9]。

2.2 分 類[10]

滲透測試參照軟件開發(fā)測試的分類，可以分為如下三類：

(1) 黑箱測試 測試人員對系統(tǒng)完全處于一無所知的狀態(tài)，執(zhí)行這類型測試，基于單位公開對外的服務器中獲取信息包括DNS、Web、Email等互聯(lián)網(wǎng)服務。

(2) 白盒測試 白盒測試[12]與黑箱測試相反，測試人員能夠與單位的非信息技術工作人員進行面對面的溝通收集有效信息，包括網(wǎng)絡拓撲圖、員工信息資料、網(wǎng)站、應用程序的部分代碼。其測試的目的就是模擬企業(yè)內部人員的越權操作。

(3) 隱秘測試 隱秘測試是針對檢驗單位的信息安全事件監(jiān)控、響應以及恢復的能力情況的測試。一般滲透測試執(zhí)行時使監(jiān)測網(wǎng)絡人員監(jiān)測網(wǎng)絡出現(xiàn)的變化，單位安全管理部門會是事先知曉測試的進行時段，除此之外基本無人知曉，這是為更好達到測試的目的。

3 教育行業(yè)網(wǎng)絡安全管理控制系統(tǒng)研究與實現(xiàn)

3.1 實現(xiàn)目標

教育行業(yè)網(wǎng)絡安全管理控制系統(tǒng)的目標為在實現(xiàn)網(wǎng)絡安全漏洞的及時發(fā)現(xiàn)和修補過程中，在進行技術發(fā)現(xiàn)的同時實現(xiàn)管理控制，并覆蓋整個行業(yè)系統(tǒng)，將管理目標及時落實，其具體流程如圖3所示。其中，對漏洞的發(fā)現(xiàn)主要通過兩個途徑：1) 定期的漏洞掃描和滲透性測試；2) 操作系統(tǒng)、系統(tǒng)架構、網(wǎng)絡設備廠商的漏洞發(fā)布后驗證。在漏洞整改環(huán)節(jié)主要依靠各單位網(wǎng)絡安全技術人員的落實。因此，在系統(tǒng)中管理控制實現(xiàn)的同時，也需要從人員管理的角度做相應的設定。

3.2 管理控制要素的確定

教育行業(yè)信息系統(tǒng)一個重要的安全管理控制因素就是各個系統(tǒng)在漏洞測試中、以及測試之后整改中的表現(xiàn)。 等級保護測評本身不足以為整套機構輸出一個普適而精確的評分。要素的確定需要結合發(fā)生的網(wǎng)絡安全事件，以及存在的不同級別的網(wǎng)絡安全漏洞(高、中、低)數(shù)量。一些原本安全評級較低的機構通過積極反饋來提高系統(tǒng)安全水平，而另一些原本評級較高的機構不及時反饋整改，最終出現(xiàn)嚴重的安全問題。前者的風險潛在性較低，而后者的風險潛在性較高。為了衡量機構對測試的反應以及漏洞帶來的風險，本文綜合各級漏洞數(shù)量、漏洞危險程度、以及整改態(tài)度來定義風險系數(shù)，用來衡量機構對滲透測試的反應以及漏洞帶來的風險。

對于某機構，將漏洞認領率定義為認領的安全問題數(shù)量占所有安全問題的比例。同樣，將整改率定義為已解決的安全問題數(shù)量占所有安全問題數(shù)量的比例。N1、N2、N3表示高風險、中、低風險漏洞數(shù)量，安全事件數(shù)量為S(目前安全事件以通報數(shù)據(jù)為準)，認領率為R1，整改率為R2，整改時間為T。然后，我們可以制定一個稱為脆弱性系數(shù)的指標來量化安全問題的程度:

CV=whN1+wmN2+wlN3+wsS

(1)

式中：wh、wm、wl、ws是分配給變量的權重。具體來說，單位和為1的wh、wm、wl可以根據(jù)各自的重要性來確定，即漏洞數(shù)量系數(shù)。而ws可以通過利用安全事件和安全漏洞的重要性來確定。為了把漏洞的認領率和整改率納入全局，我們還制定了整改率相關系數(shù)，用來衡量一個機構對漏洞的關注程度:

CR=3-(R1+R2)

(2)

式中：R1和R2的形式是數(shù)字而不是百分比。兩種速率越大，系數(shù)越小。在完全解決問題的情況下，即，R1=R2=1，這個系數(shù)是1。更重要的是，為了反映一個機構的反應主動性，我們制定了整改時間系數(shù):

CT=1+max(T-3,0)

(3)

根據(jù)上述系數(shù)，正式引入風險指數(shù)，它反映了機構在階段性安全測試和整改之后的安全狀態(tài):

RI=CV×CR×CT

(4)

該指數(shù)通常評價在進行了安全測試之后的機構是否傾向于降低安全問題的風險。一家對先前評級或新發(fā)現(xiàn)的漏洞作出及時反應的機構，其風險指數(shù)最終將相對較低。為了使該指標更直觀、更可行，我們將其標準化為區(qū)間[0,1]。效用函數(shù)作為決策理論和風險模型中廣泛使用的一個凹函數(shù)，反映了一個對象對風險的規(guī)避態(tài)度。該函數(shù)的值隨自變量的增大而增大，但由于二階導數(shù)為負，增長率呈下降趨勢。將指數(shù)效用函數(shù)應用于風險指數(shù)，得到:

(5)

RInormalized可以用來衡量一個機構的安全風險程度。這一風險指數(shù)可以作為教育行業(yè)信息系統(tǒng)一個重要的安全管理控制要素，其數(shù)值越大，安全風險越高。

作為業(yè)務指導單位，需要在實施整個管理控制的過程中對網(wǎng)絡安全的管理實施人員和時效進行系統(tǒng)設定。人員設定包含：第一責任人(一般為單位主要負責人)、網(wǎng)絡安全責任人、網(wǎng)絡安全日常聯(lián)絡人、網(wǎng)絡安全技術員等。

系統(tǒng)的實現(xiàn)，落實了人員信息及時登記、變更，相關責任的合理分級，實現(xiàn)的職責可控可查的反饋流程如圖4所示。

圖4 網(wǎng)絡安全信息反饋示意圖

目前平臺的時效設定如下：漏洞認領時間為平臺發(fā)出認領消息后三天，逾時平臺自動向單位上級負責人發(fā)送警示消息；漏洞整改時間為漏洞認領后三天內整改完成，逾期每日發(fā)送提示消息，若十天內未整改平臺自動向單位上級負責人發(fā)送警示消息。

3.3 系統(tǒng)實現(xiàn)

教育行業(yè)網(wǎng)絡安全管理控制系統(tǒng)實現(xiàn)的內容包括：人員信息管理、漏洞管理、滲透漏洞驗證、信息登記、短信及警示消息發(fā)送、系統(tǒng)管理等幾大模塊功能，如圖5所示。

圖5 教育行業(yè)網(wǎng)絡安全管理控制系統(tǒng)結構示意圖

整個管理信息系統(tǒng)對安全漏洞整改時效控制要求嚴格。在漏洞的可靠性方面，除常規(guī)的漏洞驗證外，加入了對系統(tǒng)的滲透測試，更全面地掌握教育行業(yè)信息系統(tǒng)的安全狀況，增強平臺的技術可靠性和權威性，同時根據(jù)系統(tǒng)的實際應用環(huán)境確定各類參數(shù)及相應權重。

近階段教育行業(yè)網(wǎng)絡安全態(tài)勢嚴峻，保障工作壓力較大。其中防信息泄露、防主頁篡改等工作更是尤為重要。此兩類威脅涉及到的跨站腳本攻擊(XSS漏洞攻擊)、SQL注入漏洞等[13-14]，其權重值應相應調高。

XSS漏洞攻擊可能造成如下后果：用戶帳號信息盜用；網(wǎng)頁篡改、惡意刪除；非法轉賬；偽造郵件發(fā)送；網(wǎng)站掛馬；控制肉機攻擊其他互聯(lián)網(wǎng)服務器等。目前系統(tǒng)中XSS漏洞的權重值設定較高，為9。

SQL注入漏洞的危害[15]包含：數(shù)據(jù)庫中用戶信息泄漏；數(shù)據(jù)庫中的數(shù)據(jù)項修改實現(xiàn)網(wǎng)頁篡改；修改字段嵌入超鏈接，實施掛馬攻擊；盜用數(shù)據(jù)庫系統(tǒng)管理員帳戶密碼實施服務器惡意操作；惡意數(shù)據(jù)操作，導致全系統(tǒng)癱瘓等。其權重值設定較高，為9。

平臺在整個安全管理過程中將專業(yè)安全機構的專業(yè)技術判定作為重要手段，利用滲透技術檢查安全漏洞及其整改情況，實現(xiàn)了網(wǎng)絡安全漏洞及時查處、及時整改的管理目標。

4 結 語

本文所討論的管理控制平臺在試運行期間收錄行業(yè)內網(wǎng)絡安全漏洞約600多條，事件數(shù)十起，均及時處理和整改，有效提升了行業(yè)網(wǎng)絡安全管理和防護水平。

通過滲透測試的結果及其整改表現(xiàn)，本文建立了漏洞風險指數(shù)，量化了各個機構網(wǎng)絡系統(tǒng)的漏洞風險。通過建立漏洞安全分析和評估體系，及時實現(xiàn)漏洞通知、整改、驗證，從而有效提高行業(yè)網(wǎng)絡安全管理水平。

通過項目的實施，強化了網(wǎng)絡安全管理和服務的工作體系，從技術層面、行政層面上規(guī)范了相關單位的網(wǎng)絡安全報告和處理流程，從而加強了行業(yè)網(wǎng)絡安全管理工作的規(guī)范性。