社会各行业领域的发展,对互联网健康环境的依赖度逐渐提高,加上网络安全隐患的后果相对严重,因此将网络安全逐步上升至了国家发展战略层面,以推动国家的信息化与现代化发展。渗透测试规避了传统等级保护测试的效率低等问题,可在自动设备的支持下,对网络系统的安全进行多角度与全方位的评估,以确保网络系统应用的安全可靠性。
一、渗透测试在网络安全等级保护测评中的应用意义
网络系统遭受恶意攻击等侵入影响后,会促使计算机陷入瘫痪,从而引起不同程度的社会经济损失,甚至会阻碍国家教育与医疗等行业的发展,因此加强国家网络保护显得尤为重要。《中华人民共和国网络安全法》颁布后,对信息系统的抗渗透等能力进行了明确的规定,要求所有网络信息系统均需进行安全性能测试后再上线投入使用,以促使网络系统的作用价值得到充分发挥。渗透测试在网络安全等级保护测评中的应用价值,体现在以下几方面:一是通过渗透测试,评估网络系统的安全属性,了解与修复控制系统的安全漏洞。二是渗透测试可全面评估影响网络系统安全的因素,实现等级保护测评质量与效益持续改进[1]。
二、渗透测试概述与流程的分析
1.概念
渗透测试是指测试人员模拟黑客的恶意攻击手段,根据掌握的攻击方法与策略等专业知识,通过人工与工具等方式分析网络系统的脆弱性。测试人员掌握各种黑客常用的攻击手段,发现常规安全保护措施难以检测到的系统脆弱性,是工具测试范畴内的新型检测手段。在渗透测试中,主要采取基于授权的黑盒或灰盒测试,因此对网络系统的危害性相对较低。
2.渗透测试流程
从网络安全等级保护测评工作入手分析,渗透测试有以往使用的渗透测试方式不能比拟的优势特征。渗透测试在实践工作中,结合等级保护测评现场测评阶段展开,可有效补充等级保护测评的结果。实践操作前,要求测试人员需根据等级保护测评项目的特性,充分了解被测系统的安全防护措施与网络运营者信息及系统构成等要素,掌握被测系统的特定账号。因此对网络安全等级保护测评中的渗透测试,近似于介于灰盒与白盒间的渗透测试[2]。在结合现场测评阶段的背景下,在等级保护测评过程中,采取渗透测试结合等级保护测评流程的方式进行,渗透测试过程如下所示:一是现场授权。在测评实践前,等级保护现场测评组与测评项目组需先进行渗透测试授权的申请,再进行测评相应的准备工作,确保渗透测试工作在项目施行中顺利展开。二是信息收集。测试工作前,通过公开信息查询与等级保护测评信息收集等方式,整理与分析被测系统的资产构成与网络构成等信息,以此夯实渗透测试工作有序进行的基础。三是测试实施。根据信息收集整理的结果,根据授权书上的时间规定,规范展开工具与人工形式的渗透测试,先对各接入点展开渗透测试,当作是工具测试的有效补充及验证。四是风险分析。根据测试的结果,围绕系统的弱点与利用的难易度进行风险评估,结合等级保护相关测评项,有效补充等级保护测评结果。五是编制报告。加强对前提工作内容的整理,以此作为《渗透测试报告》编制的重要参照。
三、等级保护测评中渗透测试实施
1.测评准备阶段
项目经理引导渗透测试人员,分析在调研阶段收集到的测试需求与业务流程及系统构成等信息。在其基础上,准备渗透测试的工具与脚本及策略等工作,加强对被测系统运维人员的沟通来练习,确保测试评估前的准备工作高效落实[3]。
2.方案编制阶段
编制等级保护测评项目的方案时,测评与渗透测试等人员应当加强协同,明确渗透测试工作的方法与时间及测试深度等影响要素。在工作人员的协作下,完成现场测评工作的记录与结果形成。
3.现场测评阶段
渗透测试人员根据项目方案,注意测试深度与测试策略等各影响要素,根据信息收集与漏洞扫描及漏洞利用、权限提升等步骤,规范展开渗透测试工作。
4.编制报告阶段
渗透测试工作结束后,测试人员对测试结果展开风险分析,加强对渗透测试流程与修复方案等的总结,进行《渗透测试报告》的编制。向等级保护测评人员提供报告,以此作为等级保护测评结果与风险分析的补充,从而得出完整性的结论。
5.风险规避
渗透测试主要通过模拟黑客的行为进行,可能会引起被测系统与服务器异常运行及数据处理效率降低、网络的处理能力与传输速度弱化、产生部分测试数据等风险。对规避上述风险的影响,还需采取以下措施处理。一是在应对测试合法性的风险问题时,需从评审方案入手,通过制定测试方案与签署委托书的方式,获取测试方与被测试方的认可,确保渗透测试工作合法性的进行。二是在应对时间风险问题时,需根据现有资源等实际情况,在夜间等业务量低的时间段进行测试,规避渗透工作展开对业务的干扰。三是加强对攻击策略的合理选择。DDoS 类等深入测试方法,不适宜在实时性要求高的核心业务中展开。因此在选择攻击策略时,需合理分析与科学推测测试的结果,综合各影响因素合理选择攻击策略。四是为避免各种测试问题对网络系统性能的影响,应当提前做好系统的备份与恢复等工作。在渗透测试中出现各种问题,可及时进行恢复。尤其是核心业务,需对备份系统进行测试评估工作。五是制定应急策略。在渗透测试的过程中,被测系统发生缓慢响应或中断影响等异常情况,应当及时停止渗透测试操作,并合理处理故障问题。同时在授权后继续进行渗透测试。六是建立完善的沟通机制,通过建立关系人联络表等途径,在测试阶段及时性有效的沟通,降低沟通风险。尤其是出现问题后,应当及时展开有效交流,促使问题高效解决,推动渗透测试工作有序进行。
6.对等级测评结论的影响
渗透测试是等级保护测评的重要补充,验证工具测试结果的同时,结合相关联的测评项,及时了解测评项的测评结果与对应的风险分析,以得到被测系统完整的风险分析结论。展开渗透测试工作后,可及时掌握被测系统服务器的漏洞,建议对不需要的系统服务与高危端口进行关闭,测试评估系统的已知漏洞后,应当及时修补漏洞。对各重要节点检测到的入侵行为,应当及时报警处理,控制入侵事件的继续发展。根据各测评项的符合度,了解被测系统的风险高危程度,得出最终的渗透测评结论,以此作为网络系统调整的重要依据。
总结:
渗透测试在网络安全等级保护测试中的应用,符合国家安全与系统性能优化等方面的需求。同时可补充传统测试方法的不足,带动传统测试方法精准度的提升。展开渗透测试工作,可及时发现系统中的风险与漏洞,同时能够为风险预防提供价值参照。为切实发挥渗透测试多层次与立体化等评估的优势,要求测试人员充分掌握渗透测试的原理与实施流程及注意事项等专业知识技能,规范展开渗透测试操作。最后根据报告,采取多措并举的方式,积极应对与处理网络安全隐患。