渗透渗透测试

115廉明,庄严,程绍银,蒋凡(中国科学技术大学信息安全测评中心,安徽合肥230026)摘要:文章介绍了渗透测试的相关内容、方法以及其在信息系统等级测评过程中的应用.
渗透测试作为等级保护过程中的一个手段,从发现漏洞解决漏洞的思路提高了系统的安全性能.

关键词:等级保护;渗透测试;漏洞中图分类号:TP393.
08文献标识码:A渗透测试在信息系统等级测评中的应用作者简介:廉明(1988-),男,硕士,主要研究方向:信息安全;庄严(1978-),男,硕士,主要研究方向:信息安全;程绍银(1981-),男,讲师,博士,主要研究方向:信息安全;蒋凡(1956-),男,主任,教授,硕士,主要研究方向:信息安全.
0引言《信息安全技术信息系统安全等级保护测评过程指南》[1]对不同等级信息系统在测评实施时的不同强度要求.
其中一级满足GB/T22239-2008中的一级要求;二级满足GB/T22239-2008中的二级要求,针对主机、服务器、关键网络设备、安全设备等设备进行漏洞扫描等;三级满足GB/T22239-2008中的三级要求,针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描,针对应用系统完整性和保密性要求进行协议分析,渗透测试应包括基于一般脆弱性的内部和外部渗透攻击;四级满足GB/T22239-2008中的四级要求,针对主机、服务器、网络设备、安全设备等设备进行漏洞扫描,针对应用系统完整性和保密性要求进行协议分析,渗透测试应包括基于一般脆弱性的内部和外部渗透攻击.
对于二级以上的重要信息系统有必要通过渗透测试来发现目标系统的一些漏洞,同时针对漏洞提出解决方案来提高系统的安全性.

1渗透测试简介渗透测试是安全性测试的一种重要的方法,渗透测试是完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节.
渗透测试能够直观的让管理人员知道自己网络所面临的问题.

渗透测试根据渗透类别分为黑箱测试和白盒测试.
黑箱测试又被称为所谓的"Zero—KnowledgeTesting",渗透者处于完全对系统一无所知的状态,通常这类型测试,最初的信息获取来自于DNS、Web、Email及各种公开对外的服务器.
白盒测试与其恰恰相反,测试者可以通过正常渠道向被测单位取得各种资料,包括网络拓扑、员工资料甚至网站或其它程序的代码片断,也能够与单位的其它员工进行面对面的沟通.
渗透测试根据渗透目标可以分为主机操作系统渗透测试、数据库系统渗透测试、应用系统渗透测试和网络设备渗透测试.

其中,主机操作系统渗透测试是对操作系统本身进行渗透测试;数据库系统渗透测试是对数据库应用系统进行渗透测试.
应用系统渗透测试是对渗透目标提供的各种应用程序进行渗透测试;网络设备渗透测试是对各种防火墙、入侵检测系统、网络设备进行渗透测试.
在等级保护技术要求中,主要就是对网络安全、主机操作系统安全、数据库系统安全、应用安全、数据安全进行等级测评.
因此,在其测评中除了通过对检查表进行核查,利用对各层面渗透测试可能发现检查表所不能查出的一些漏洞.

2等级保护过程中的渗透测试方法在等级保护测评过程中的渗透测试有其特殊性,测试人员并非对系统一无所知,相反其对系统的网络拓扑、设备情况甚至代码等有一定了解.
渗透测试不是漫无目的的攻击,而是有针对性的对既定的目标,如操作系统、数据库、应用系统、网络设备等.
针对这一特性,在等级保护测评过程中渗透测试的方法可以分为如下三个步骤.

1)信息收集.
对目标系统进行渗透之前,需要对基本情况进行了解.
这就要收集与目标系统相关的信息,了解其具体的情况才方便后面的渗透测试.
2)扫描.
通过信息收集掌握了目标网络的一些特征信息之后,可以对目标网络各具体设备进行有针对性的扫描,扫描的最终结果决定了能否对目标网络进行攻击,任何扫描得到的漏洞信息,都可能成为突破网络的切入点.