嚴(yán)浩 石西華

（國家計算機網(wǎng)絡(luò)與信息安全管理中心青海分中心 青海省西寧市 810000）

2017年《中華人民共和國網(wǎng)絡(luò)安全法》正式開始實行，標(biāo)志著網(wǎng)絡(luò)安全等級保護2.0 的正式啟用。等級保護2.0 進一步擴展了等級保護對象，優(yōu)化了等級保護措施，確保等級保護標(biāo)準(zhǔn)、相關(guān)防護機制與管理手段的順利實施。

1 滲透測試

1.1 滲透測試原理

滲透測試是為了驗證網(wǎng)絡(luò)防御質(zhì)量，按照相關(guān)設(shè)計規(guī)劃而提出的一種方法，其是一種合法的系統(tǒng)攻擊行為，通過模擬網(wǎng)絡(luò)攻擊行為來評估網(wǎng)絡(luò)系統(tǒng)的安全性。滲透測試的基本目的是為了識別出網(wǎng)絡(luò)系統(tǒng)的缺陷和漏洞，滲透原理是在識別測評目標(biāo)系統(tǒng)后，結(jié)合可用的信息并采取各種方式來實現(xiàn)驗證要求。滲透測試的目標(biāo)系統(tǒng)可以是提供信息的系統(tǒng)，也可以是只具備基本信息的系統(tǒng)。滲透測試幫助信息系統(tǒng)評定系統(tǒng)是否容易受到攻擊、網(wǎng)絡(luò)安全防護措施是否可靠、存在何種安全問題，進而使網(wǎng)絡(luò)系統(tǒng)的負(fù)責(zé)人對網(wǎng)絡(luò)系統(tǒng)進行修復(fù)，提升網(wǎng)絡(luò)安全防護質(zhì)量。

1.2 滲透測試步驟

滲透測試是一個系統(tǒng)化的過程，需要逐步完成對網(wǎng)絡(luò)安全等級保護側(cè)測試。第一步是進行規(guī)劃和準(zhǔn)備，根據(jù)信息系統(tǒng)的要求，測試人員要明確滲透測試的目標(biāo)，是全方位測評還是具有針對性檢測。第二步要收集相關(guān)信息，測試人員往往只會被告知測試的IP 地址，一些有用的信息還需向客戶或系統(tǒng)負(fù)責(zé)人詢問。第三步進行初步操作，連接網(wǎng)絡(luò)、主機、端口等。第四步對信息系統(tǒng)進行分析評估，結(jié)合前期收集的信息，采取各種方式嘗試攻擊信息系統(tǒng)，這時需要測試人員判斷滲透測試目標(biāo)是否正確、在測試后發(fā)現(xiàn)漏洞的概率。第五步則是關(guān)鍵的攻擊入侵環(huán)節(jié)，發(fā)現(xiàn)安全漏洞。第六步則是對滲透測試工作進行總結(jié)討論，評估潛在風(fēng)險漏洞的安全風(fēng)險等級，再根據(jù)測試過程、分析漏洞并提出修復(fù)漏洞的建議[1]。

1.3 滲透測試方法

滲透測試的測試方法主要根據(jù)獲取信息量和攻擊渠道進行劃分。獲取的信息量需要根據(jù)客戶的要求進行處理，零知識測試就是在進行評估測試前幾乎沒有信息，只有一定范圍內(nèi)的url 和IP 地址，這需要測試人員逐步探索可用的信息內(nèi)容，并注重不要攻擊IP 地址范圍外的系統(tǒng)。部分信息或全部信息主要是進行針對性的滲透測試，測試人員只需要檢驗何種方式能有效入侵系統(tǒng)漏洞即可。而攻擊渠道分為內(nèi)部和外部，大多數(shù)滲透測試都是從外部進行的，這也是因為信息系統(tǒng)主要受到的攻擊就是來源于外部，內(nèi)部測試則需要測試人員提前了解信息系統(tǒng)的基本構(gòu)成和具體細(xì)節(jié)，這樣才能花費較少的時間來找出漏洞[2]。

滲透測試所使用的工具包括網(wǎng)絡(luò)工具、診斷工具、系統(tǒng)應(yīng)用工具、安全掃描工具等，這些工具在安全性和可靠性方面有著較高要求。例如系統(tǒng)應(yīng)用工具中fip、ping 等，安全掃描工具可以選用APPScan、AWVS，其中APPScan 是Web 應(yīng)用程序自動化滲透測試應(yīng)用最廣泛的工具，可以有效檢測出SQL 注入、緩沖區(qū)溢出、腳本攻擊等漏洞。

2 滲透測試在網(wǎng)絡(luò)安全等級保護測評中的運作方式

按照《網(wǎng)絡(luò)安全等級保護測評過程指南》的規(guī)定，測評實施有著不同的強度要求，三級以上系統(tǒng)需要進行應(yīng)用系統(tǒng)完整性和保密性要求的協(xié)議分析，還需通過內(nèi)外部滲透測試評定被測系統(tǒng)的脆弱性。滲透測試常見的運作方式主要有遠(yuǎn)程滲透和現(xiàn)場滲透兩種。遠(yuǎn)程滲透也就是黑盒測試，在距離接入點區(qū)域較遠(yuǎn)的網(wǎng)絡(luò)中模擬外部人員通過互聯(lián)網(wǎng)攻擊被測系統(tǒng)；現(xiàn)場滲透測試則是針對系統(tǒng)內(nèi)部網(wǎng)絡(luò)拓?fù)洌鶕?jù)應(yīng)用和測試要求采用不同接入點進行滲透測試。例如模擬業(yè)務(wù)操作人員接入、模擬運維人員接入等場景來達(dá)到內(nèi)部滲透測試的要求。除此之外，滲透測試也可用于網(wǎng)絡(luò)安全等級保護的新技術(shù)、新系統(tǒng)的安全性測評，比如系統(tǒng)增加應(yīng)對外部攻擊的感知層測試、RFID 標(biāo)簽、監(jiān)控設(shè)備等，通過嵌入式軟件進行旁路攻擊、置亂加密、側(cè)信道攻擊等方法進行滲透測試。需要測試人員結(jié)合網(wǎng)絡(luò)系統(tǒng)的實際情況選擇滲透測試的運作方式，全方位分析網(wǎng)絡(luò)系統(tǒng)存在的漏洞。

3 滲透測試在網(wǎng)絡(luò)安全等級保護測評中的應(yīng)用

3.1 滲透測試流程

滲透測試的主要工作可分層四個階段，即準(zhǔn)備階段、探測階段、實施階段和報告階段，為了確保滲透測試在網(wǎng)絡(luò)安全等級保護測評中的有效性，需要嚴(yán)格安全相關(guān)規(guī)范標(biāo)準(zhǔn)進行。

準(zhǔn)備階段包括授權(quán)文件確認(rèn)和監(jiān)督管理計劃的確立，都是滲透測試開展的基礎(chǔ)性工作?？蛻粢约跋嚓P(guān)部門進行書面授權(quán)后才能以測試目標(biāo)開展相關(guān)測試計劃方案的設(shè)計，規(guī)劃人員、設(shè)備。如果未經(jīng)過授權(quán)便提前開展工作則會違反相關(guān)法律法規(guī)，需要測試人員多加注意。監(jiān)督管理則是要確保滲透測試工作的可行性和安全性，避免因滲透測試工作致使信息系統(tǒng)出現(xiàn)其他安全問題，也需同時成立管控小組，對滲透測試前后全過程進行控制。

探測階段的工作主要根據(jù)測試人員了解的信息內(nèi)容有關(guān)系。若客戶提供大量有關(guān)信息系統(tǒng)的資料則基本可以跳過此步驟直接明確入侵方式，不過大多數(shù)情況下外界攻擊并不清楚信息系統(tǒng)的信息，需要滲透測試模擬收集、分析信息的過程，在獲取到一定量信息后便可以對系統(tǒng)的服務(wù)、端口進行分析，為后續(xù)測試攻擊提供幫助。

實施階段根據(jù)上述結(jié)果對信息系統(tǒng)進行滲透，并在滲透測試過程中對系統(tǒng)內(nèi)外運行安全和系統(tǒng)本身編制情況進行監(jiān)測。由于實施過程會受到信息信息自身防護系統(tǒng)的反饋。例如防火墻，追蹤定位等，要求互聯(lián)網(wǎng)設(shè)備以及相關(guān)操作權(quán)限應(yīng)提前賦予給測試人員，使?jié)B透操作順利進行[3]。

報告階段根據(jù)相關(guān)檢測結(jié)果進行編制，要嚴(yán)格按照檢測結(jié)果進行評估。這樣才能幫助客戶就信息系統(tǒng)網(wǎng)絡(luò)安全進行有效整改和修復(fù)，滿足網(wǎng)絡(luò)安全等級保護的要求。一般來說編制報告需要包含測試結(jié)果、漏洞信息和評估整改建議三個方面，而且測試結(jié)果和漏洞信息必須要充分、準(zhǔn)確，能夠?qū)Φ燃壉Ｗo起到輔助作用。滲透測試方法如表1所示。

表1：滲透測試方法表

3.2 攻擊場景設(shè)計

由于當(dāng)前網(wǎng)絡(luò)信息環(huán)境較為復(fù)雜，較為普通的攻擊環(huán)境難以有效發(fā)現(xiàn)信息系統(tǒng)的安全隱患。因此，需要設(shè)計特定的攻擊場景來檢驗在理想狀態(tài)下信息系統(tǒng)滲透測試的情況。例如將場景設(shè)定為云計算環(huán)境，將訪問路徑設(shè)定為互聯(lián)網(wǎng)外部攻擊，測試人員通過外部網(wǎng)絡(luò)攻擊用戶云服務(wù)網(wǎng)絡(luò)系統(tǒng)，也就是外部網(wǎng)絡(luò)攻擊企業(yè)網(wǎng)絡(luò)的一種情景。這時的模擬攻擊測試需要測試人員從外部網(wǎng)絡(luò)進入應(yīng)用層、平臺層和基礎(chǔ)結(jié)構(gòu)層后才能侵入內(nèi)部網(wǎng)絡(luò)，驗證網(wǎng)絡(luò)系統(tǒng)在不同層面的防護效果?；蛘呤峭獠抗敉ㄟ^獲取目標(biāo)服務(wù)系統(tǒng)的非授權(quán)訪問攻擊，測試人員可以直接對基礎(chǔ)架構(gòu)層進行攻擊，省去了通過前面層級的步驟。又或者已經(jīng)獲得訪問權(quán)限，直接攻擊目標(biāo)管理系統(tǒng)。設(shè)計不同的攻擊場景可以針對網(wǎng)絡(luò)安全的多個方面或多種形式進行滲透測試，全面檢驗網(wǎng)絡(luò)系統(tǒng)等級保護情況。通常情況下，攻擊場景設(shè)計主要針對用戶需求進行設(shè)定，比如具有云服務(wù)企業(yè)網(wǎng)絡(luò)的客戶，其外部防御以及內(nèi)部網(wǎng)絡(luò)安全漏洞是重點測試項目，而網(wǎng)絡(luò)應(yīng)用層、基礎(chǔ)架構(gòu)層的安全性基本與系統(tǒng)構(gòu)建質(zhì)量有關(guān)，需要客戶從網(wǎng)絡(luò)系統(tǒng)滲透測試難以提供有效的安全防護建議。

3.3 實施測試

在信息收集完成后，實際的滲透測試是較為復(fù)雜，需要深入分析實施階段的具體應(yīng)用情況。結(jié)合信息系統(tǒng)的實際情況和系統(tǒng)特點，選擇適宜的方法進行測定。首先制定滲透策略，服務(wù)系統(tǒng)的控制權(quán)限能否獲取是滲透測試策略的重要分歧點，如果不能獲取就需要按部就班進行入侵攻擊，而能夠獲取服務(wù)系統(tǒng)的控制權(quán)限則可以進行多方面的測試。例如掃描漏洞、服務(wù)漏洞、建立用戶、遠(yuǎn)程桌面等方式都可以成為滲透途徑，其中遠(yuǎn)程訪問權(quán)限較低時，可以采用提權(quán)后建立用戶的滲透方法。

然后，滲透實施過程中要同時運用漏洞工具將掃描出的漏洞進行編號，并記錄漏洞性質(zhì)。漏洞檢測工具可以交由MVC 框架中的model 軟件來形成漏洞檢測模塊，model 軟件還可以直接將相關(guān)數(shù)據(jù)導(dǎo)入到數(shù)據(jù)庫中，為后續(xù)安全漏洞修復(fù)提供幫助。而滲透測試則可以借助這些漏洞進行遠(yuǎn)程過程調(diào)用（RPC），服務(wù)系統(tǒng)接到RPC請求后，就會允許遠(yuǎn)程執(zhí)行代碼，使?jié)B透測試進一步深入。

之后可以相關(guān)漏洞獲取控制權(quán)限，并執(zhí)行相關(guān)命令，對用戶及用戶層進行查看，并進行獲取Administrator（管理員）最高權(quán)限的操作。

最后再通過最高權(quán)限獲得用戶權(quán)限許可和后門賬戶。由于不同信息系統(tǒng)所具有的漏洞情況不同，上述只是簡要分析了在權(quán)限缺陷漏洞方面滲透測試的實施關(guān)鍵點，像是密碼重置、交易篡改規(guī)避也是常見的網(wǎng)絡(luò)安全漏洞，而滲透測試往往需要耗費大量的時間來檢測信息系統(tǒng)的風(fēng)險漏洞，為了縮短測試時間，提高滲透測試的自動化程度，應(yīng)當(dāng)采取科學(xué)合理的滲透策略避免重復(fù)性工作，也能夠提高滲透測試的準(zhǔn)確性。例如在交易篡改滲透測試中可以利用關(guān)鍵字規(guī)則來省去不必要的參數(shù)，縮減滲透測試范圍，節(jié)約時間[4]。

3.4 測試結(jié)果影響

滲透測試的結(jié)果基本決定了網(wǎng)絡(luò)安全等級保護測評的結(jié)論，不過相關(guān)測試結(jié)果與等級保護制度中的測評項還需進行調(diào)整，來將滲透測試結(jié)果與測評項結(jié)合。例如在Web 業(yè)務(wù)系統(tǒng)中，SQL 漏洞、文件上傳漏洞是業(yè)務(wù)系統(tǒng)本身具有的缺陷，滲透測試所得到的結(jié)果與等級保護測評項中對數(shù)據(jù)有效性檢驗不完善和對已知漏洞修復(fù)不及時相互對應(yīng)，在檢測報告中可以直接得出結(jié)論。而滲透測試結(jié)果中還存有間接性影響。例如在安全通信網(wǎng)絡(luò)架構(gòu)中重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域應(yīng)當(dāng)采取可靠的技術(shù)隔離方式，在滲透測試的有效性驗證下，若在其他網(wǎng)絡(luò)區(qū)域可以獲得提權(quán)從而進入重要網(wǎng)絡(luò)區(qū)域則代表技術(shù)隔離方式存在漏洞。

滲透測試的結(jié)果對于后續(xù)網(wǎng)絡(luò)安全修復(fù)有著重要影響，若滲透測試得到的結(jié)果不夠完整或準(zhǔn)確，就會造成安全風(fēng)險遺留的問題。而且在網(wǎng)絡(luò)安全等級保護的要求下，用戶本身也需要注重滲透測試結(jié)果的準(zhǔn)確性。要積極與滲透測試的監(jiān)督管理人員進行交流。這是因為滲透測試只是在應(yīng)用場景中對相關(guān)系統(tǒng)進行模擬攻擊的一種行為，其本身不僅可以評定系統(tǒng)的網(wǎng)絡(luò)安全等級保護情況，還會考察客戶系統(tǒng)人員的安全意識和管理適宜，在滲透測試編制報告中也應(yīng)針對客戶安全防護和管理工作提出一些積極建議。

3.5 風(fēng)險控制

滲透測試本身作為一種攻擊行為，在應(yīng)用過程中是存在一定風(fēng)險的，包括測試的合法性、滲透測試風(fēng)險、系統(tǒng)風(fēng)險等，需要在滲透測試過程中管控這些風(fēng)險因素。在前期準(zhǔn)備階段測試方以及客戶方就要對滲透測試方案進行評審，確定通過滲透測試進行網(wǎng)絡(luò)安全等級保護測評，確保滲透測試的合法性。正常情況下測試時間應(yīng)當(dāng)選擇在系統(tǒng)運作量較少的時間段進行，或者直接停止相關(guān)業(yè)務(wù)服務(wù)，來避免滲透測試對業(yè)務(wù)的影響。滲透策略的合理選擇可以將降低測試風(fēng)險。比如密碼破解測試的風(fēng)險等級為中等，風(fēng)險出現(xiàn)時會造成網(wǎng)絡(luò)性能波動，在出現(xiàn)問題后需要及時停止破解。而像是在針對核心系統(tǒng)或是采用DDOS 類測試方法是需要謹(jǐn)慎考量的，測試人員要對相應(yīng)結(jié)果做出科學(xué)預(yù)測，選擇適宜的方法。并且在滲透測試前可以提前進行系統(tǒng)備份或恢復(fù)準(zhǔn)備工作，避免出現(xiàn)問題也能夠及時進行恢復(fù)，核心系統(tǒng)可以通過滲透備份系統(tǒng)的方式進行網(wǎng)絡(luò)安全等級保護測評。在滲透測試前也需做好應(yīng)急處理準(zhǔn)備，如果出現(xiàn)中斷或滲透響應(yīng)緩慢的情況，應(yīng)當(dāng)及時停止并做故障處理。在處理完成后必須再經(jīng)過客戶授權(quán)才能繼續(xù)進行測試，測試人員不得在出現(xiàn)問題后自行決斷。另外，加強測試人員和客戶交流溝通也是強化測試中出現(xiàn)問題有效處理的一種方法。

4 結(jié)論

網(wǎng)絡(luò)安全等級保護測評中運用滲透測試是我國網(wǎng)絡(luò)安全提倡的方法，可以有效提升系統(tǒng)漏洞檢測的準(zhǔn)確性，還能夠?qū)崿F(xiàn)全方位、多樣性的評估檢測，為網(wǎng)絡(luò)安全等級保護提供有力支撐。通過分析滲透測試在網(wǎng)絡(luò)安全等級保護測評中的應(yīng)用，證明了滲透測試可以及時發(fā)現(xiàn)安全漏洞，為安全防護提供建議，有效地保障網(wǎng)絡(luò)安全。