公务员期刊网 论文中心 正文

网络安全等级保护测评渗透测试应用

网络安全等级保护测评渗透测试应用

摘要:渗透测试作为网络安全等级保护测评的一种补充和验证,能够对等保测评的风险判定和结论形成提供有力的支撑。本文从渗透测试的方法、使用的工具、实施流程和结果等方面,阐述了渗透测试在网络安全等级保护测评中的应用以及对于等级保护测评结论的影响,为等级保护中的渗透测试实施和结果的应用提供了参考。

关键词:等级保护;渗透测试;灰盒测试

自1994年国务院颁布《中华人民共和国计算机信息系统安全保护条例》规定计算机信息系统实行安全等级保护以来,等级保护工作经过了近25年的发展历程,中途经历了工作试点、管理办法、1.0标准、标准修订、2.0标准等历程,成了我国网络安全保护的重要举措之一[1]。而与之伴随的则是网络安全与信息技术的飞速发展带来的层出不穷的新漏洞与攻击手段。为应对这些新的挑战与要求,在等级保护测评过程中合理应用渗透测试手段,成了及时发现系统存在的安全风险、验证网络安全等级保护基本要求的防护能力、落实网络安全法对于网络的安全防护要求的一个重要举措。

1渗透测试概述及流程

1.1渗透测试概述

渗透测试主要是由测试人员通过模拟黑客的真实攻击手段,结合掌握的漏洞信息、攻击方法、攻击策略等,对目标系统采用工具和人工的方式进行脆弱性分析和利用的过程[2]。在这个过程中,测试人员会灵活运用所掌握的各类方式,以期发现通过单一工具测试、漏洞扫描等自动化检测手段难以检测到的、可以被利用的“系统脆弱性”,因此对于工具测试是一种更全面和更准确的补充[3]。同时又由于渗透测试通常是基于授权的黑盒或灰盒测试,因此又具有危害低的特点。

1.2渗透测试流程

网络安全等级保护测评过程中的渗透测试与传统的渗透测试有一定的区别,在项目实施的过程中,渗透测试往往是伴随着等级保护测评现场测评阶段开展的,以对等级保护测评的测评结果进行补充。同时由于等级保护测评项目的特性,测试人员对于被测系统的系统构成、网络运营者信息、管理人员信息、安全防护措施等都有一定程度的了解,而且还能够获得被测系统的特定账号,因此网络安全等级保护测评过程中的渗透测试更像是一种介于灰盒和白盒之间的渗透测试[4]。那么在伴随着现场测评阶段的前提下,等级保护测评过程中的渗透测试往往会与等级保护测评流程相结合,可以分为如下几个步骤:(1)现场授权在等级保护测评的测评准备阶段,测评项目组会连同等级保护现场测评组,向被测单位申请渗透测试的授权,以确定在此次项目实施的过程中是否开展渗透测试工作,若不开展则要求被测单位出具《自愿放弃验证测试声明》。(2)信息收集在对被测系统开展测试工作之前,通过收集等级保护测评相关信息、公开信息查询等方式,对被测系统的网络构成、资产构成等信息进行收集和整理,以便后续开展渗透测试。(3)测试实施根据前期收集到的信息和授权书中约定的时间,正式开展渗透测试,包含了人工测试和工具测试,可以从等级保护方案中约定的不同接入点进行渗透测试,作为工具测试的补充和验证。(4)风险分析根据测试过程中发现的系统弱点以及利用的难易程度进行风险分析,并与等级保护相关测评项关联起来,对等级保护测评进行一定程度地补充。(5)报告编制整理前期的工作内容,编制《渗透测试报告》。

2等级保护测评中渗透测试实施

对于网络安全等级保护中的渗透测试,由于在测评初期已经掌握了被测系统的资产情况、运营情况以及业务运行情况,因此基本都采用灰盒测试的方式开展渗透测试工作。

2.1测评准备阶段

在测评准备阶段,渗透测试人员应当在项目经理的带领下,根据调研阶段收集到的系统构成、业务流程、测试需求等信息,进行渗透测试的相关工具、脚本和策略的准备,并且同被测系统运维人员协商,做好测试和评估前的备份等准备工作。在渗透测试中,常用到的工具主要有如表1所示几大类。

2.2方案编制阶段

在等级保护测评项目的方案编制阶段,渗透测试人员应当与测评人员相互协调,确定渗透测试工作的实施策略、测试深度、开展时间以及周期,配合测评人员共同完成现场测评工作的原始记录收集以及渗透测试结果形成。

2.3现场测评阶段

在现场测评阶段,渗透测试人员根据前期约定好的测试时间、测试策略以及测试深度等开展渗透测试工作,通常采用如图1步骤[5]。

2.4报告编制阶段

渗透测试完成后,测试人员根据测试结果进行风险分析,总结渗透测试过程、结果与修复方案,并编制《渗透测试报告》,交由等级保护测评人员作为等级保护测评结果和风险分析的参考与补充,进而得出最终的等级保护测评结论。

2.5风险规避

因为渗透测试是一种模拟黑客的行为,因此可能带来的风险有:(1)对被测网站及服务器造成异常运行或停机的可能;(2)被测网站和服务器的数据处理速度可能会减慢;(3)网络的处理能力和传输速度可能会减慢;(4)可能会产生少部分测试数据。为最大程度规避上述风险,可以采取以下规避措施:(1)渗透测试实施前,制订测试方案与策略,经过双方协商和确认后签订测试授权,并提前做好被测系统备份工作以及应急处置的准备工作;(2)渗透测试期间,选择合适的测试时间,并安排运维人员实时监控网站运行情况,及时对出现的异常问题进行记录和处置,尽可能减少渗透测试对正常业务运行造成的影响;(3)对于攻击策略,应当尽量选择危害性较小的操作,只验证漏洞的存在或只进行非危害性利用,而不对文件、数据和原有配置进行操作,同时尽量避免采用DDoS等对被测系统带来极大压力的测试方法;(4)渗透测试实施后,测试人员确认清理测试数据及残留后门程序等,并确认网站运行恢复正常,与被测系统运维人员确认后签署测试结束确认单。

2.6渗透测试对等级测评结论的影响

渗透测试作为等级保护测评的一种补充,在验证工具测试结果的同时,与上述关联测评项结合,通过网络安全等级保护测评方法中的“测试”,进一步确定相关测评项的测评结果以及对应的风险分析,从而影响被测系统最终的风险分析结果。例如,通过渗透测试发现被测系统服务器存在CVE-2017-0143“永恒之蓝”漏洞,则可以从侧面反映出被测系统服务器在安全计算环境测评中,“应关闭不需要的系统服务、默认共享和高危端口”、“应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞”、“应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警”三项测评项为不符合或部分符合[6],从而为该系统带来高危的风险,并且直接影响最终的测评结论为“差”。

3结语

渗透测试作为等级保护测评的一种验证机制和补充,在等级保护工作当中起了非常重要的作用。明确渗透测试在等保测评中的应用方法以及对测评结论的影响,能帮助测评人员更好地确定被测系统的风险项与测评结论,进而更好地帮助网络运营者提升自身的网络安全建设水平。本文通过对等级保护测评各个阶段中渗透测试实施方式的阐述,希望能对渗透测试在网络安全等级保护测评中的应用提供参考。

参考文献:

[1]马力,陈广勇,祝国邦.网络安全等级保护2.0国家标准解读[J].保密科学技术,2019,106(07):16-21.

[2]常艳,王冠.网络安全渗透测试研究[J].信息网络安全,2012(11):3-4.

[3]王世轶,吴江,张辉.渗透测试在网络安全等级保护测评中的应用[J].计算机应用与软件,2018,35(11):190-193.

[4]廉承凯,傅爽.渗透测试在网络安全等级保护2.0中的应用[C]//2019中国网络安全等级保护和关键信息基础设施保护大会.0.

[5]宋超臣,王希忠,黄俊强,等.Web渗透测试流程研究[J].电子设计工程,2014,22(017):165-167.

[6]陈广勇,祝国邦,范春玲.《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)标准解读[J].信息网络安全,2019(7).

[7]马力,祝国邦,陆磊.《网络安全等级保护基本要求》(GB/T22239-2019)标准解读[J].信息网络安全,2019,218(02):77-84.

[8]廉承凯,傅爽.渗透测试在网络安全等级保护2.0中的应用[C]//2019中国网络安全等级保护和关键信息基础设施保护大会.

作者:李劲雄 单位:成都安美勤信息技术股份有限公司