探讨渗透测试在网络安全等级保护测评中的应用
2020-09-16钟国威
钟国威
摘要:渗透测试作为网络安全等级保护测评的重要手段,能够确保系统的安全、稳定运行。本文在分析了渗透测评应用必要性基础上,对渗透测试原理、流程及各个环节工作内容、风险规避策略分别进行了阐释,以期有效提升渗透测试在网络安全等级保护测评中的应用质量。
关键词:渗透测试;网络安全;等级保护;测评
引言
网络安全等级保护制度是国家贯彻落实网络安全法的重要举措之一,在信息时代的快速发展中其表现出安全漏洞层越来越多,致使网络信息系统面临巨大的安全隐患。因此,在网络安全等级保护测评过程中,人们更加注重准确、快速地找到网络信息系统中潜在的安全隐患。渗透测试主要是通过模拟攻击者的思维方式,利用现如今比较成熟的技术手段或者工具对被测试网络信息系统的安全性能进行全方位测评,尽可能发现被测试网络信息系统存在的安全隐患,这也是网络安全等级保护测评中的关键环节。
1渗透测试在网络安全等级保护测评中的必要性分析
美国东海岸地区曾在2016年遭受了严重的分布式拒绝服务攻击,此次网络攻击造成了美国一半以上的网络信息系统陷入瘫痪状态,其直接经济损失不可估量;另外,2017年的WannaCry勒索病毒更是严重阻碍了全世界150多个国家的教育、医疗、交通以及能源等行业的发展,这些事例都足以说明有必要进行网络安全等级保护。
2016年11月7日,我国在《中华人民共和国网络安全法》法案中对国家网络安全进行了明确规定,将网络信息系统按照安全等级进行划分,并对第三级别及以上的網络信息系统进行抗渗透能力限制和规范,要求这类网络信息系统必须具备较高标准的网络攻击检测和抵御能力,同时还要求这类网络信息系统要具有抗恶意代码攻击性能,并对系统正在发生的网络安全事件进行及时警示。在实际的网络安全控制过程中,所有的网络信息系统都必须进行等级保护测评,并在审核通过之后才能正式投入使用。
在对网络安全等级保护进行测评过程中应用渗透测试具有以下作用:一是渗透测试能够评估网络信息系统的安全等级,发现网络信息系统是否存在安全风险,并针对其存在的安全漏洞进行及时修复或预警;二是就网络安全等级保护测评结果而言,渗透测试能够全面评估影响网络信息系统的因素,从而提高其等级保护测评水平。因而在网络信息时代背景下,有必要对网络信息系统安全性能等级进行渗透测试。
2渗透测试原理
渗透测试主要是根据业界公布的或者测试人员已经掌握的网络信息系统安全漏洞信息,从攻击者思维角度出发,通过采用现代比较成熟的技术手段、工具或者手动对目标对象的服务器、应用、网络、数据库等安全性进行全面检测,进而发现安全漏洞的过程。渗透测试应用过程中的一项重要准则就是所有的测试行为必须建立在用户书面明确授权且监督基础上,只有经过用户授权的渗透测试才能更加真实、全面地挖掘出网络信息系统存在的安全漏洞并检验其可用性,而无须进行诸如植入后门的后续渗透操作,因此,渗透测试通常情况下不会对网络信息系统造成影响,带来损失。
3渗透测试流程
一般情况下,网络安全等级保护渗透测试流程主要包括四个阶段,分别是渗透测试准备、网络安全信息探测、渗透测试实施和生成报告四个阶段。
渗透测试各个阶段的具体工作内容如下:
(1)渗透测试准备阶段:在得到单位的书面明确授权之后,开始网络信息系统安全等级保护渗透测试实施准备,与单位沟通确定渗透测试实施范围、工具、方法、时间、人员等,同时将可能存在的测试风险考虑在内,在得到单位明确书面授权许可后方可执行测试,且整个渗透测试过程都必须要在单位的监督和控制下。
(2)网络安全信息探测阶段:在此过程中,要根据上一环节确定的测试范围,通过采用一些商业或者开源的安全评估工具(例如Nessus、Nmap等)收集与被测试网络信息系统有关的信息,并对探测获得的系统端口、IP、服务器等信息进行分类整理,从而为下一阶段测试做铺垫。
(3)渗透测试实施阶段:此阶段的主要工作内容就是对探测获得的信息进行处理和分析,按照制定渗透策略、准备攻击代码、研究绕过机制的流程对被测试网络信息系统进行等级保护渗透测试,渗透测试主要包括内网和外网两种实施路径,其中前者是为了躲避系统防火墙等安全防御装置,如果测试在此阶段能够顺利进行则能够成功获得用户权限,进而实现下一步的攻击;后者则需要通过与互联网联通才能对网络信息系统进行测试,具体测试流程与内外测试基本一致。
(4)生成报告阶段:主要是根据测试结果生成报告。
4渗透测试应用过程中的风险规避策略
由于网络安全等级保护渗透测试是不断变化的过程,为了尽可能避免渗透测试对系统正常运行产生影响,需要制定风险规避策略,具体如下:
第一,渗透测试方案的制定要得到双方认可。
第二,尽可能选择系统业务量不高的时间段进行渗透测试,这样还可以为及时排除风险留有充足时间。
第三,为避免渗透测试过程中发生潜在风险,应尽可能减少系统核心业务的测试数量,以免影响系统正常运行。
第四,在测试实施之前要对被测试信息系统做完整备份,便于在出现问题之后及时恢复,不影响使用。
第五,如果测试过程中发生故障,应在故障排除后再进行测试,并且排障后还要再经授权方可进行。
第六,测试全过程中都要确保双方能够进行及时、有效的沟通。
5结束语
根据上述分析可知,渗透测试在网络安全等级保护中的应用是非常必要的,且测试必须在充分掌握其原理基础上按规范化流程一一进行,此外,在测试过程中要注意风险规避,这样才能确保网络信息系统的安全、稳定运行。
