探討滲透測試在網絡安全等級保護測評中的應用

鐘國威

摘要：滲透測試作為網絡安全等級保護測評的重要手段，能夠確保系統(tǒng)的安全、穩(wěn)定運行。本文在分析了滲透測評應用必要性基礎上，對滲透測試原理、流程及各個環(huán)節(jié)工作內容、風險規(guī)避策略分別進行了闡釋，以期有效提升滲透測試在網絡安全等級保護測評中的應用質量。

關鍵詞：滲透測試;網絡安全;等級保護;測評

引言

網絡安全等級保護制度是國家貫徹落實網絡安全法的重要舉措之一，在信息時代的快速發(fā)展中其表現(xiàn)出安全漏洞層越來越多，致使網絡信息系統(tǒng)面臨巨大的安全隱患。因此，在網絡安全等級保護測評過程中，人們更加注重準確、快速地找到網絡信息系統(tǒng)中潛在的安全隱患。滲透測試主要是通過模擬攻擊者的思維方式，利用現(xiàn)如今比較成熟的技術手段或者工具對被測試網絡信息系統(tǒng)的安全性能進行全方位測評，盡可能發(fā)現(xiàn)被測試網絡信息系統(tǒng)存在的安全隱患，這也是網絡安全等級保護測評中的關鍵環(huán)節(jié)。

1滲透測試在網絡安全等級保護測評中的必要性分析

美國東海岸地區(qū)曾在2016年遭受了嚴重的分布式拒絕服務攻擊，此次網絡攻擊造成了美國一半以上的網絡信息系統(tǒng)陷入癱瘓狀態(tài)，其直接經濟損失不可估量;另外，2017年的WannaCry勒索病毒更是嚴重阻礙了全世界150多個國家的教育、醫(yī)療、交通以及能源等行業(yè)的發(fā)展，這些事例都足以說明有必要進行網絡安全等級保護。

2016年11月7日，我國在《中華人民共和國網絡安全法》法案中對國家網絡安全進行了明確規(guī)定，將網絡信息系統(tǒng)按照安全等級進行劃分，并對第三級別及以上的網絡信息系統(tǒng)進行抗?jié)B透能力限制和規(guī)范，要求這類網絡信息系統(tǒng)必須具備較高標準的網絡攻擊檢測和抵御能力，同時還要求這類網絡信息系統(tǒng)要具有抗惡意代碼攻擊性能，并對系統(tǒng)正在發(fā)生的網絡安全事件進行及時警示。在實際的網絡安全控制過程中，所有的網絡信息系統(tǒng)都必須進行等級保護測評，并在審核通過之后才能正式投入使用。

在對網絡安全等級保護進行測評過程中應用滲透測試具有以下作用：一是滲透測試能夠評估網絡信息系統(tǒng)的安全等級，發(fā)現(xiàn)網絡信息系統(tǒng)是否存在安全風險，并針對其存在的安全漏洞進行及時修復或預警;二是就網絡安全等級保護測評結果而言，滲透測試能夠全面評估影響網絡信息系統(tǒng)的因素，從而提高其等級保護測評水平。因而在網絡信息時代背景下，有必要對網絡信息系統(tǒng)安全性能等級進行滲透測試。

2滲透測試原理

滲透測試主要是根據業(yè)界公布的或者測試人員已經掌握的網絡信息系統(tǒng)安全漏洞信息，從攻擊者思維角度出發(fā)，通過采用現(xiàn)代比較成熟的技術手段、工具或者手動對目標對象的服務器、應用、網絡、數據庫等安全性進行全面檢測，進而發(fā)現(xiàn)安全漏洞的過程。滲透測試應用過程中的一項重要準則就是所有的測試行為必須建立在用戶書面明確授權且監(jiān)督基礎上，只有經過用戶授權的滲透測試才能更加真實、全面地挖掘出網絡信息系統(tǒng)存在的安全漏洞并檢驗其可用性，而無須進行諸如植入后門的后續(xù)滲透操作，因此，滲透測試通常情況下不會對網絡信息系統(tǒng)造成影響，帶來損失。

3滲透測試流程

一般情況下，網絡安全等級保護滲透測試流程主要包括四個階段，分別是滲透測試準備、網絡安全信息探測、滲透測試實施和生成報告四個階段。

滲透測試各個階段的具體工作內容如下：

（1）滲透測試準備階段：在得到單位的書面明確授權之后，開始網絡信息系統(tǒng)安全等級保護滲透測試實施準備，與單位溝通確定滲透測試實施范圍、工具、方法、時間、人員等，同時將可能存在的測試風險考慮在內，在得到單位明確書面授權許可后方可執(zhí)行測試，且整個滲透測試過程都必須要在單位的監(jiān)督和控制下。

（2）網絡安全信息探測階段：在此過程中，要根據上一環(huán)節(jié)確定的測試范圍，通過采用一些商業(yè)或者開源的安全評估工具（例如Nessus、Nmap等）收集與被測試網絡信息系統(tǒng)有關的信息，并對探測獲得的系統(tǒng)端口、IP、服務器等信息進行分類整理，從而為下一階段測試做鋪墊。

（3）滲透測試實施階段：此階段的主要工作內容就是對探測獲得的信息進行處理和分析，按照制定滲透策略、準備攻擊代碼、研究繞過機制的流程對被測試網絡信息系統(tǒng)進行等級保護滲透測試，滲透測試主要包括內網和外網兩種實施路徑，其中前者是為了躲避系統(tǒng)防火墻等安全防御裝置，如果測試在此階段能夠順利進行則能夠成功獲得用戶權限，進而實現(xiàn)下一步的攻擊;后者則需要通過與互聯(lián)網聯(lián)通才能對網絡信息系統(tǒng)進行測試，具體測試流程與內外測試基本一致。

（4）生成報告階段：主要是根據測試結果生成報告。

4滲透測試應用過程中的風險規(guī)避策略

由于網絡安全等級保護滲透測試是不斷變化的過程，為了盡可能避免滲透測試對系統(tǒng)正常運行產生影響，需要制定風險規(guī)避策略，具體如下：

第一，滲透測試方案的制定要得到雙方認可。

第二，盡可能選擇系統(tǒng)業(yè)務量不高的時間段進行滲透測試，這樣還可以為及時排除風險留有充足時間。

第三，為避免滲透測試過程中發(fā)生潛在風險，應盡可能減少系統(tǒng)核心業(yè)務的測試數量，以免影響系統(tǒng)正常運行。

第四，在測試實施之前要對被測試信息系統(tǒng)做完整備份，便于在出現(xiàn)問題之后及時恢復，不影響使用。

第五，如果測試過程中發(fā)生故障，應在故障排除后再進行測試，并且排障后還要再經授權方可進行。

第六，測試全過程中都要確保雙方能夠進行及時、有效的溝通。

5結束語

根據上述分析可知，滲透測試在網絡安全等級保護中的應用是非常必要的，且測試必須在充分掌握其原理基礎上按規(guī)范化流程一一進行，此外，在測試過程中要注意風險規(guī)避，這樣才能確保網絡信息系統(tǒng)的安全、穩(wěn)定運行。