滲透測試在網(wǎng)絡安全等級保護測評中實施過程及風險

劉智廣

（山東新潮信息技術有限公司 山東省濟南市 250100）

在2018年，總書記在《網(wǎng)絡安全和信息化工作會議》中明確指出，沒有網(wǎng)絡安全就不存在國家安全，而沒有信息化就不會實現(xiàn)現(xiàn)代化[1]。網(wǎng)絡安全等級保護作為《網(wǎng)絡安全法》的一項重要舉措，在信息化快速發(fā)展的今天，人們對網(wǎng)絡安全等級保護工作提出了更高的要求[2]。網(wǎng)絡安全等級保護測評是此項工作中的重中之重，然而在受到諸多因素的影響下，其在效率性方面還比較差，進而導致測試結(jié)果尚不準確，從而對網(wǎng)絡安全產(chǎn)生極大的影響[3]。滲透測試作為網(wǎng)絡安全等級保護測評中的新要求，其可多層次、立體化以及全方位地網(wǎng)絡信息系統(tǒng)展開準確地評估，以保證其安全性。但由于人們對滲透測試缺乏認識，因而對其相關理論、實施過程以及風險應對措施展開探討是具有重要的價值和意義的。

1 滲透測試理論概述

滲透測試主要指的是以業(yè)界公布的安全漏洞信息，或測試人員所掌握的關于安全漏洞的信息作為依據(jù)，運用攻擊者或黑客的思維方式，并利用自動化設備或手工方式，對網(wǎng)絡信息中的全部要素展開全方位、多層次以及立體化的探測，以發(fā)現(xiàn)系統(tǒng)控制中最為薄弱的環(huán)節(jié)，進而對其進行控制和管理的過程[4-5]。其中，全部要素主要包括網(wǎng)絡系統(tǒng)的主機、系統(tǒng)運行的環(huán)境、系統(tǒng)應用的過程以及數(shù)據(jù)庫等。在滲透測試時，應堅持兩個基本要求，一個是測試授權(quán)，另一個則是測試監(jiān)督。其中，測試授權(quán)主要指的是測試人員的全部檢測行為均需要在用戶的書面授權(quán)下進行測試；測試監(jiān)督主要指的是在測試的全部過程中，其均需要處于被監(jiān)督管理的狀態(tài)[6]。在滲透測試時，之所以要堅持上述兩個要求，其目的在于系統(tǒng)全面地探測系統(tǒng)中的薄弱環(huán)節(jié)，并檢驗其可用性，以預防后續(xù)滲透操作發(fā)生，進而確保系統(tǒng)應用的安全與規(guī)范性。

1.1 滲透測試的實施流程

滲透測試的流程主要包括即準備測試、探測信息、實施測試以及編制報告四個階段。為確保滲透測試的準確性，并提升網(wǎng)絡安全管理的水平，需對上述四個階段能夠規(guī)范。因此，應在各個階段做好相應的工作。

第一階段，其作為前期階段，其需展開的工作內(nèi)容，主要包括書面授權(quán)、監(jiān)督管理小組等的建立，目的是為滲透測試的順利實施奠定基礎[7]。在這一階段，書面授權(quán)的獲取是重中之重。只有在獲得書面授權(quán)后，方可以對測試的對象展開方法上的設計，以及人員、工具以及事件等方面的規(guī)劃。與此同時，也只有在書面授權(quán)獲得后，才能開始著手編制規(guī)范的測試方案。另外，監(jiān)督管理也是在這一階段的一項重要內(nèi)容。在展開此項工作時，可與相關單位進行溝通，以對測試過程的可行性與風險性保持最小。同時，還可通過建立聯(lián)動管控小組，以實施全過程監(jiān)督。

第二階段，探測信息階段。在進行信息探測時，其應在《網(wǎng)絡安全法》等相關法律法規(guī)的指導下，搜集并分析信息。在信息搜集時，其主要方式是商業(yè)或開源的安全評估工具，而搜集的對象則主要包括APP-scan、Webinspect 等。在獲取上述信息后，與實際進行結(jié)合，對系統(tǒng)的端口、服務等整理，進而為后續(xù)流程的實施奠定基礎。

第三階段作為滲透測試的核心，其需在上述各階段分析結(jié)果的基礎上，對滲透策略進行編制，包括攻擊代碼的編制以及機制的編制等，并對系統(tǒng)的外網(wǎng)和內(nèi)網(wǎng)展開檢測。在外網(wǎng)檢測時，其與內(nèi)網(wǎng)檢測的差別在于需要互聯(lián)網(wǎng)設備的支持。在內(nèi)網(wǎng)檢測時，其主要目的在于避開安全防護措施，尤其是以防火墻為代表的。在這一環(huán)節(jié)中，其需獲得一定的操作權(quán)限方能成功實施，以評估內(nèi)網(wǎng)安全性。

第四階段是檢測結(jié)果呈現(xiàn)階段。在這一階段，其需嚴格以測試結(jié)果為依據(jù)，對測試報告進行規(guī)范編制，其包括的內(nèi)容主要涉及測試結(jié)果、漏洞結(jié)果評估以及整改建議。在此階段，需注意的是需對將結(jié)果準確且全面地呈現(xiàn)出來。而對需整改意見這一部分，則需要以可行性和科學性為主，進而滿足網(wǎng)絡安全等級保護的要求，從而確保被測試的系統(tǒng)可以穩(wěn)定且安全地運行。

1.2 滲透測試中的使用工具

在滲透測試時，需要使用的工具主要包括系統(tǒng)自帶網(wǎng)絡工具、網(wǎng)絡應用工具、診斷工具、自行開發(fā)的安全掃描工具以及商業(yè)軟件等。上述工具在可控性方面和安全性方面均比較高，且可依據(jù)實際需求展開針對性測試。其中，系統(tǒng)自帶工具主要包括fip、ping 等，網(wǎng)絡掃描工具主要包括nmap、ne 等。

2 滲透測試應用于網(wǎng)絡安全等級保護測評中的必要性

自2017年Wanna Cry 勒索病毒累發(fā)生后，其對全球近150 個國家的醫(yī)療、教育及能源行業(yè)的發(fā)展產(chǎn)生了極大的影響。由此人們對國家網(wǎng)絡安全保護給予了高度關注，并對其重要性有了較為深刻的認識。為此，我國同年6月頒布了《網(wǎng)絡安全法》，以規(guī)范國家網(wǎng)絡安全管理。在這一法律文件中，其將網(wǎng)絡信息系統(tǒng)分為不同等級，并提出要對第三等級及以上的系統(tǒng)展開抗?jié)B透能力約束與規(guī)定，以提升非法入侵檢測能力、防御能力以及惡意攻擊能力等。在網(wǎng)絡安全控制的實踐過程中，網(wǎng)絡安全等級保護測評是重要環(huán)節(jié)。滲透測試應用于上述保護測評中，可以對其安全屬性展開評估，并發(fā)現(xiàn)系統(tǒng)中的安全漏洞，從而以安全漏洞為基礎展開針對性修復與控制。與此同時，滲透測試在應用的過程中，其還可以對影響系統(tǒng)安全的因素展開全面的評估，進而進一步提升等級保護測評的質(zhì)量與水平。在現(xiàn)代化社會，尤其是信息化社會，在網(wǎng)絡安全等級保護測評中，應用滲透測試是必然的趨勢。

3 滲透測試在網(wǎng)絡安全等級保護測評中的實施過程分析

此次研究將滲透測試應用于某單位等保三級系統(tǒng)測評中，以說明滲透系統(tǒng)在網(wǎng)絡安全等級保護測評中是如何實施的。在滲透測試時，其針對的是用戶的WEB 系統(tǒng)。

3.1 制定方案

在前期，與某單位共同組建了滲透測試小組，在獲得授權(quán)后，結(jié)合系統(tǒng)的規(guī)模以及實際業(yè)務情況，對滲透測試的方案進行了制定。在方案中，其涉及的內(nèi)容主要包括測試計劃、方法以及工具，同時還包括滲透測試時可能會帶來的風險，以及規(guī)避風險的方法等。

3.2 信息搜集

在信息搜集時，其需要運用多種工具或系統(tǒng)，如掃描工具nmap 等。在掃描工具下，發(fā)現(xiàn)系統(tǒng)開放了139、80、445 等端口。依據(jù)掃描結(jié)果，展開深入的分析，包括系統(tǒng)層面分析，也包括WEB 層面分析。通過分析，結(jié)果顯示，系統(tǒng)存在遠程接入、文件共享、XML 和SQL 注入等漏洞，進而為制定處理策略奠定了基礎。與此同時，對于信息搜集階段中的測試內(nèi)容、方法以及可能存在的其他風險，也需作出應急策略。為此，本研究針對實際情況，主要作了以下應急策略，如表1所示。

3.3 實施測試

在上述測試工作的基礎上，可獲得了安全漏洞信息。然后結(jié)合實際情況以及系統(tǒng)的特點等，再次對發(fā)現(xiàn)的漏洞進行確認，并對測試的策略進行制定。對于測試中發(fā)現(xiàn)的高危漏洞，可對其直接利用，以對其可用性展開驗證。例如，在對某單位的系統(tǒng)展開滲透測試時發(fā)現(xiàn)的文件共享漏洞，在對其實施測試時，可按照以下四個步驟展開：第一步，滲透策略制定。在此步驟中，需要獲得服務器的控制權(quán)限，并對實施的途徑進行規(guī)范。在此次測試中，其實施的途徑為掃描漏洞、服務漏洞、利用漏洞、遠程Shell 獲取、建立用戶、遠程桌面。當遠程Shell 的權(quán)限較低時，應在提權(quán)后建立用戶。第二步，利用漏洞工具確認掃描出來的漏洞，確認后對其進行編號，并明確漏洞性質(zhì)，即為文件共享服務漏洞。當服務器收到特制的RPC請求時，則表示這一漏洞可能允許遠程執(zhí)行代碼。第三步，利用漏洞以實施溢出，獲取Shell 控制界面，并執(zhí)行相應命令，對用戶及用戶組進行查看。當顯示Administrator 時表示獲得最高權(quán)限。第四步，建立后門賬戶，以獲得用戶許可。最后，還需對測試實施階段中可能出在的風險制定相應的應急策略。以口令破解測試為內(nèi)容，其風險等級為中等，其可能會對網(wǎng)絡的性能產(chǎn)生影響，因而控制的方法設置為停止破解。對于緩沖區(qū)溢出這一測試內(nèi)容，其風險等級為高，可能會出現(xiàn)未知錯誤，因而采用的風險控制方法是停止測試。而對于內(nèi)網(wǎng)這一測試內(nèi)容，其處于中等風險，可能會導致短暫斷網(wǎng)現(xiàn)象的發(fā)生，因而可采取停止內(nèi)網(wǎng)的方式進行風險控制。

3.4 輸出報告

在滲透測試結(jié)束后，需對測試中的工作內(nèi)容及成果展開整理和總結(jié)，并依據(jù)測試中發(fā)現(xiàn)的安全漏洞和風險對唄測試系統(tǒng)中存在的問題進行明確，且以書面的形式呈現(xiàn)。同時，針對存在的問題，提出具有針對性的整改建議。這就是滲透測試報告中需要涉及的關鍵內(nèi)容。

4 網(wǎng)絡安全等級保護測評中滲透測試應用過程中的風險應對措施

滲透測試在應用的過程中，其風險控制的內(nèi)容主要包括測試的合法性、測試時間風險、以及對其存在的風險，提出了相應的風險應對措施。

（1）在對測試合法性這一風險進行應對的過程中，可從評審方案入手，通過簽署委托書與測試方案的制定，以獲得雙方認可，進而確保其合法性。

（2）在時間風險應對措施方面，可與實際情況結(jié)合，選擇業(yè)務量低的時間段或夜間時段展開測試，以降低測試對業(yè)務產(chǎn)生的影響。

（3）合理選擇攻擊策略。對于一些對實時性有高要求的核心業(yè)務，DDOS 類等深入測試是不適宜的。也就是說，在選擇攻擊策略時，應對結(jié)果進行分析并科學推測，以選擇適宜的策略。

表1：信息搜集風險控制表

（4）做好系統(tǒng)備份工作和恢復工作。在實施測試之前，應對系統(tǒng)進行完整的備份，以促使問題出現(xiàn)時可以及時恢復。對于核心業(yè)務，需要對其備份系統(tǒng)展開滲透測試。

（5）做好應急策略工作。在測試過程中，對于被測的系統(tǒng)出現(xiàn)響應緩慢或中斷的情況時，應及時停止，并進行故障處置，處理結(jié)束后，在授權(quán)后方可繼續(xù)進行測試。

（6）為降低溝通風險，可通過建立關系人聯(lián)絡表的方式，以對測試中出現(xiàn)的問題可以展開有效的溝通。

5 結(jié)語

在網(wǎng)絡安全等級保護測試中，應用滲透測試，不僅是自身系統(tǒng)的要求，而且是國家安全的需求。滲透測試的應用，其不僅可以彌補傳統(tǒng)測試方法中效率性差的問題，而且可以進一步提升傳統(tǒng)測試方法中的準確性。與此同時，滲透測試還可以實現(xiàn)全方位、立體化以及多層次評估，未來必然會成為網(wǎng)絡安全等級保護測試中的重要環(huán)節(jié)。在此次研究中，將滲透測試應用在WEB 系統(tǒng)中，并模擬攻擊者或黑客的思維方式，以獲取服務器中的最高控制權(quán)限以及后臺數(shù)據(jù)庫中的數(shù)據(jù)信息，顯示系統(tǒng)中存在一定的漏洞，如安全漏洞與風險。依據(jù)滲透測試報告，采取適宜的措施，以應對網(wǎng)絡安全中的風險。總之，在網(wǎng)絡安全等級保護測試中，將滲透測試應用其中，其不僅可以及時發(fā)現(xiàn)系統(tǒng)中的安全漏洞與風險，而且可以為預防措施的制定提供參考，進而更好地保障網(wǎng)絡安全，乃至國家安全。