社會(huì)各行業(yè)領(lǐng)域的發(fā)展�����,對(duì)互聯(lián)網(wǎng)健康環(huán)境的依賴(lài)度逐漸提高�,加上網(wǎng)絡(luò)安全隱患的后果相對(duì)嚴(yán)重����,因此將網(wǎng)絡(luò)安全逐步上升至了國(guó)家發(fā)展戰(zhàn)略層面,以推動(dòng)國(guó)家的信息化與現(xiàn)代化發(fā)展��。滲透測(cè)試規(guī)避了傳統(tǒng)等級(jí)保護(hù)測(cè)試的效率低等問(wèn)題����,可在自動(dòng)設(shè)備的支持下,對(duì)網(wǎng)絡(luò)系統(tǒng)的安全進(jìn)行多角度與全方位的評(píng)估����,以確保網(wǎng)絡(luò)系統(tǒng)應(yīng)用的安全可靠性。
一���、滲透測(cè)試在網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中的應(yīng)用意義
網(wǎng)絡(luò)系統(tǒng)遭受惡意攻擊等侵入影響后�,會(huì)促使計(jì)算機(jī)陷入癱瘓,從而引起不同程度的社會(huì)經(jīng)濟(jì)損失�����,甚至?xí)璧K國(guó)家教育與醫(yī)療等行業(yè)的發(fā)展��,因此加強(qiáng)國(guó)家網(wǎng)絡(luò)保護(hù)顯得尤為重要�������!吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》頒布后�,對(duì)信息系統(tǒng)的抗?jié)B透等能力進(jìn)行了明確的規(guī)定,要求所有網(wǎng)絡(luò)信息系統(tǒng)均需進(jìn)行安全性能測(cè)試后再上線投入使用�,以促使網(wǎng)絡(luò)系統(tǒng)的作用價(jià)值得到充分發(fā)揮。滲透測(cè)試在網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中的應(yīng)用價(jià)值���,體現(xiàn)在以下幾方面:一是通過(guò)滲透測(cè)試����,評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全屬性�,了解與修復(fù)控制系統(tǒng)的安全漏洞。二是滲透測(cè)試可全面評(píng)估影響網(wǎng)絡(luò)系統(tǒng)安全的因素���,實(shí)現(xiàn)等級(jí)保護(hù)測(cè)評(píng)質(zhì)量與效益持續(xù)改進(jìn)[1]�。
二、滲透測(cè)試概述與流程的分析
1.概念
滲透測(cè)試是指測(cè)試人員模擬黑客的惡意攻擊手段����,根據(jù)掌握的攻擊方法與策略等專(zhuān)業(yè)知識(shí),通過(guò)人工與工具等方式分析網(wǎng)絡(luò)系統(tǒng)的脆弱性����。測(cè)試人員掌握各種黑客常用的攻擊手段��,發(fā)現(xiàn)常規(guī)安全保護(hù)措施難以檢測(cè)到的系統(tǒng)脆弱性����,是工具測(cè)試范疇內(nèi)的新型檢測(cè)手段。在滲透測(cè)試中�����,主要采取基于授權(quán)的黑盒或灰盒測(cè)試�,因此對(duì)網(wǎng)絡(luò)系統(tǒng)的危害性相對(duì)較低。
2.滲透測(cè)試流程
從網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作入手分析���,滲透測(cè)試有以往使用的滲透測(cè)試方式不能比擬的優(yōu)勢(shì)特征����。滲透測(cè)試在實(shí)踐工作中,結(jié)合等級(jí)保護(hù)測(cè)評(píng)現(xiàn)場(chǎng)測(cè)評(píng)階段展開(kāi)�,可有效補(bǔ)充等級(jí)保護(hù)測(cè)評(píng)的結(jié)果。實(shí)踐操作前����,要求測(cè)試人員需根據(jù)等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目的特性,充分了解被測(cè)系統(tǒng)的安全防護(hù)措施與網(wǎng)絡(luò)運(yùn)營(yíng)者信息及系統(tǒng)構(gòu)成等要素��,掌握被測(cè)系統(tǒng)的特定賬號(hào)���。因此對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中的滲透測(cè)試�����,近似于介于灰盒與白盒間的滲透測(cè)試[2]�。在結(jié)合現(xiàn)場(chǎng)測(cè)評(píng)階段的背景下����,在等級(jí)保護(hù)測(cè)評(píng)過(guò)程中,采取滲透測(cè)試結(jié)合等級(jí)保護(hù)測(cè)評(píng)流程的方式進(jìn)行��,滲透測(cè)試過(guò)程如下所示:一是現(xiàn)場(chǎng)授權(quán)。在測(cè)評(píng)實(shí)踐前����,等級(jí)保護(hù)現(xiàn)場(chǎng)測(cè)評(píng)組與測(cè)評(píng)項(xiàng)目組需先進(jìn)行滲透測(cè)試授權(quán)的申請(qǐng),再進(jìn)行測(cè)評(píng)相應(yīng)的準(zhǔn)備工作�,確保滲透測(cè)試工作在項(xiàng)目施行中順利展開(kāi)。二是信息收集���。測(cè)試工作前���,通過(guò)公開(kāi)信息查詢(xún)與等級(jí)保護(hù)測(cè)評(píng)信息收集等方式,整理與分析被測(cè)系統(tǒng)的資產(chǎn)構(gòu)成與網(wǎng)絡(luò)構(gòu)成等信息���,以此夯實(shí)滲透測(cè)試工作有序進(jìn)行的基礎(chǔ)。三是測(cè)試實(shí)施����。根據(jù)信息收集整理的結(jié)果,根據(jù)授權(quán)書(shū)上的時(shí)間規(guī)定,規(guī)范展開(kāi)工具與人工形式的滲透測(cè)試,先對(duì)各接入點(diǎn)展開(kāi)滲透測(cè)試�,當(dāng)作是工具測(cè)試的有效補(bǔ)充及驗(yàn)證。四是風(fēng)險(xiǎn)分析����。根據(jù)測(cè)試的結(jié)果�����,圍繞系統(tǒng)的弱點(diǎn)與利用的難易度進(jìn)行風(fēng)險(xiǎn)評(píng)估,結(jié)合等級(jí)保護(hù)相關(guān)測(cè)評(píng)項(xiàng)�����,有效補(bǔ)充等級(jí)保護(hù)測(cè)評(píng)結(jié)果�����。五是編制報(bào)告�。加強(qiáng)對(duì)前提工作內(nèi)容的整理,以此作為《滲透測(cè)試報(bào)告》編制的重要參照�。
三、等級(jí)保護(hù)測(cè)評(píng)中滲透測(cè)試實(shí)施
1.測(cè)評(píng)準(zhǔn)備階段
項(xiàng)目經(jīng)理引導(dǎo)滲透測(cè)試人員����,分析在調(diào)研階段收集到的測(cè)試需求與業(yè)務(wù)流程及系統(tǒng)構(gòu)成等信息。在其基礎(chǔ)上���,準(zhǔn)備滲透測(cè)試的工具與腳本及策略等工作��,加強(qiáng)對(duì)被測(cè)系統(tǒng)運(yùn)維人員的溝通來(lái)練習(xí)����,確保測(cè)試評(píng)估前的準(zhǔn)備工作高效落實(shí)[3]。
2.方案編制階段
編制等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目的方案時(shí)�����,測(cè)評(píng)與滲透測(cè)試等人員應(yīng)當(dāng)加強(qiáng)協(xié)同���,明確滲透測(cè)試工作的方法與時(shí)間及測(cè)試深度等影響要素���。在工作人員的協(xié)作下,完成現(xiàn)場(chǎng)測(cè)評(píng)工作的記錄與結(jié)果形成�����。
3.現(xiàn)場(chǎng)測(cè)評(píng)階段
滲透測(cè)試人員根據(jù)項(xiàng)目方案���,注意測(cè)試深度與測(cè)試策略等各影響要素,根據(jù)信息收集與漏洞掃描及漏洞利用���、權(quán)限提升等步驟�,規(guī)范展開(kāi)滲透測(cè)試工作��。
4.編制報(bào)告階段
滲透測(cè)試工作結(jié)束后,測(cè)試人員對(duì)測(cè)試結(jié)果展開(kāi)風(fēng)險(xiǎn)分析���,加強(qiáng)對(duì)滲透測(cè)試流程與修復(fù)方案等的總結(jié)���,進(jìn)行《滲透測(cè)試報(bào)告》的編制。向等級(jí)保護(hù)測(cè)評(píng)人員提供報(bào)告����,以此作為等級(jí)保護(hù)測(cè)評(píng)結(jié)果與風(fēng)險(xiǎn)分析的補(bǔ)充,從而得出完整性的結(jié)論�。
5.風(fēng)險(xiǎn)規(guī)避
滲透測(cè)試主要通過(guò)模擬黑客的行為進(jìn)行,可能會(huì)引起被測(cè)系統(tǒng)與服務(wù)器異常運(yùn)行及數(shù)據(jù)處理效率降低��、網(wǎng)絡(luò)的處理能力與傳輸速度弱化��、產(chǎn)生部分測(cè)試數(shù)據(jù)等風(fēng)險(xiǎn)����。對(duì)規(guī)避上述風(fēng)險(xiǎn)的影響,還需采取以下措施處理�。一是在應(yīng)對(duì)測(cè)試合法性的風(fēng)險(xiǎn)問(wèn)題時(shí),需從評(píng)審方案入手��,通過(guò)制定測(cè)試方案與簽署委托書(shū)的方式�����,獲取測(cè)試方與被測(cè)試方的認(rèn)可,確保滲透測(cè)試工作合法性的進(jìn)行���。二是在應(yīng)對(duì)時(shí)間風(fēng)險(xiǎn)問(wèn)題時(shí)�,需根據(jù)現(xiàn)有資源等實(shí)際情況���,在夜間等業(yè)務(wù)量低的時(shí)間段進(jìn)行測(cè)試�����,規(guī)避滲透工作展開(kāi)對(duì)業(yè)務(wù)的干擾���。三是加強(qiáng)對(duì)攻擊策略的合理選擇。DDoS 類(lèi)等深入測(cè)試方法����,不適宜在實(shí)時(shí)性要求高的核心業(yè)務(wù)中展開(kāi)。因此在選擇攻擊策略時(shí)����,需合理分析與科學(xué)推測(cè)測(cè)試的結(jié)果����,綜合各影響因素合理選擇攻擊策略���。四是為避免各種測(cè)試問(wèn)題對(duì)網(wǎng)絡(luò)系統(tǒng)性能的影響,應(yīng)當(dāng)提前做好系統(tǒng)的備份與恢復(fù)等工作��。在滲透測(cè)試中出現(xiàn)各種問(wèn)題�,可及時(shí)進(jìn)行恢復(fù)。尤其是核心業(yè)務(wù)���,需對(duì)備份系統(tǒng)進(jìn)行測(cè)試評(píng)估工作��。五是制定應(yīng)急策略���。在滲透測(cè)試的過(guò)程中,被測(cè)系統(tǒng)發(fā)生緩慢響應(yīng)或中斷影響等異常情況�,應(yīng)當(dāng)及時(shí)停止?jié)B透測(cè)試操作,并合理處理故障問(wèn)題�。同時(shí)在授權(quán)后繼續(xù)進(jìn)行滲透測(cè)試。六是建立完善的溝通機(jī)制���,通過(guò)建立關(guān)系人聯(lián)絡(luò)表等途徑����,在測(cè)試階段及時(shí)性有效的溝通,降低溝通風(fēng)險(xiǎn)��。尤其是出現(xiàn)問(wèn)題后����,應(yīng)當(dāng)及時(shí)展開(kāi)有效交流,促使問(wèn)題高效解決��,推動(dòng)滲透測(cè)試工作有序進(jìn)行����。
6.對(duì)等級(jí)測(cè)評(píng)結(jié)論的影響
滲透測(cè)試是等級(jí)保護(hù)測(cè)評(píng)的重要補(bǔ)充,驗(yàn)證工具測(cè)試結(jié)果的同時(shí)���,結(jié)合相關(guān)聯(lián)的測(cè)評(píng)項(xiàng)���,及時(shí)了解測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果與對(duì)應(yīng)的風(fēng)險(xiǎn)分析,以得到被測(cè)系統(tǒng)完整的風(fēng)險(xiǎn)分析結(jié)論�。展開(kāi)滲透測(cè)試工作后,可及時(shí)掌握被測(cè)系統(tǒng)服務(wù)器的漏洞��,建議對(duì)不需要的系統(tǒng)服務(wù)與高危端口進(jìn)行關(guān)閉��,測(cè)試評(píng)估系統(tǒng)的已知漏洞后���,應(yīng)當(dāng)及時(shí)修補(bǔ)漏洞����。對(duì)各重要節(jié)點(diǎn)檢測(cè)到的入侵行為�,應(yīng)當(dāng)及時(shí)報(bào)警處理,控制入侵事件的繼續(xù)發(fā)展����。根據(jù)各測(cè)評(píng)項(xiàng)的符合度,了解被測(cè)系統(tǒng)的風(fēng)險(xiǎn)高危程度���,得出最終的滲透測(cè)評(píng)結(jié)論����,以此作為網(wǎng)絡(luò)系統(tǒng)調(diào)整的重要依據(jù)���。
總結(jié):
滲透測(cè)試在網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試中的應(yīng)用��,符合國(guó)家安全與系統(tǒng)性能優(yōu)化等方面的需求�。同時(shí)可補(bǔ)充傳統(tǒng)測(cè)試方法的不足��,帶動(dòng)傳統(tǒng)測(cè)試方法精準(zhǔn)度的提升�����。展開(kāi)滲透測(cè)試工作,可及時(shí)發(fā)現(xiàn)系統(tǒng)中的風(fēng)險(xiǎn)與漏洞�,同時(shí)能夠?yàn)轱L(fēng)險(xiǎn)預(yù)防提供價(jià)值參照。為切實(shí)發(fā)揮滲透測(cè)試多層次與立體化等評(píng)估的優(yōu)勢(shì)�,要求測(cè)試人員充分掌握滲透測(cè)試的原理與實(shí)施流程及注意事項(xiàng)等專(zhuān)業(yè)知識(shí)技能,規(guī)范展開(kāi)滲透測(cè)試操作��。最后根據(jù)報(bào)告���,采取多措并舉的方式�����,積極應(yīng)對(duì)與處理網(wǎng)絡(luò)安全隱患��。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
