信息系统渗透测试原理及模型分析论文大学论文.docx
《信息系统渗透测试原理及模型分析论文大学论文.docx》由会员分享,可在线阅读,更多相关《信息系统渗透测试原理及模型分析论文大学论文.docx(11页珍藏版)》请在冰豆网上搜索。
信息系统渗透测试原理及模型分析论文大学论文
信息系统渗透测试原理及模型分析
InformationSystemsPenetrationTestingPrincipleAndModelAnalysis
姜志坤
摘要:
信息化是当今世界发展的大趋势,是推动经济社会变革的重要力量。
大力推进信息化,是覆盖我国现代化建设全局的战略举措,是贯彻落实科学发展观,全面建设小康社会、构建社会主义和谐社会和建设创新型国家的迫切需要和必然选择。
如何以信息化提升综合国力,如何在信息化快速发展的同时确保国家信息安全,这已经成为各国政府关心的热点问题。
信息安全已经从国家政治、经济、军事、文化等领域普及到社会团体、企业,直到普通百姓,信息安全已经成为维护国家安全和社会稳定的一个重要因素。
随着国家信息安全测评工作的推进和深化,对信息系统安全测试的要求也逐步提高,渗透测试作为信息系统安全测试的一项高级别和高难度的测试项目,在信息安全测评中逐渐受到高度重视并得到推广应用。
本文通过对目前渗透测试的过程和原理做了详细的分析,并提出了测试方法和测试模型。
关键字:
信息安全渗透测试 测试项目测试模型
1.渗透测试概述
作为网络安全防范的一种新技术,对于网络安全组织具有实际应用价值。
但要找到一家合适的具有授权资质的公司实施渗透测试并不容易。
近来防御黑客与病毒的攻击已经成为一种非常困难的工作。
保护自己的信息系统不受恶意攻击者的破坏,维护系统安全已经成了企业里非常重要的工作。
以金融业为例,某银行部署了多台防火墙,购买入侵检测系统、网络安全审计系统等,也定期进行漏洞扫描,应该很安全,但黑客入侵、储户数据遭窃、网站遭受攻击等安全事件仍层出不穷,也许被黑客入侵的机率只有0.001%,但发生后就是100%。
(一)渗透测试(PenetrationTesting)网络定义
定义一:
渗透测试是一个在评估目标主机和网络的安全性时模仿黑客特定攻击行为的过程。
详细地说,是指安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,对目标的安全性作深入的探测,发现系统最脆弱环节的过程。
定义二:
渗透测试是主动评估信息安全措施的过程。
可通过多种方法做到这一点,而最常用的方法是主动地对安全措施进行分析,找出其设计缺陷、技术盲点和漏洞;然后对其做一个全面的报告,呈递给行政、管理和技术部门。
定义三:
渗透测试就是以黑客的角度,由企业外部或在企业内部对目标网络环境作深入的安全探测,并预先找出企业脆弱的环节。
渗透测试是由一组安全人员执行,利用弱点扫描软件或其他的工具,从外部或内部网络收集系统的相关信息,并探查出逻辑性更强、更深层次的漏洞,然后渗透到企业内部取得资产,最后提交一份渗透测试报告,完整的记录整个测试过程与细节,证实企业哪些系统有风险、哪些产品设定没做好,并协助企业进行制定更完善的安全防御措施。
换句话说,渗透测试是安全稽核的一部分,由安全专家仿真黑客的攻击模式,测试信息系统的安全强度,让企业在黑客攻击前,就做好预防工作。
(二)渗透测试定义
渗透测试是指测试人员在得到用户授权许可后,在不影响其业务应用的前提下,尽可能完整的地模拟黑客使用的漏洞发现技术和攻击手段,对目标网络、应用系统、主机操作系统、数据库管理系统等进行渗透检测,从而发现系统存在的安全漏洞和隐患等脆弱性环节,并在适当条件下进行验证的安全测试过程。
(三)渗透测试是专业服务
渗透测试是为了证明信息系统的防御按照预期计划正常运行而提供的一种机制。
不妨假设,您的公司定期更新安全策略和程序,实时给系统打补丁,并采用了入侵检测系统、安全审计系统和漏洞扫描系统等设备,以确保对信息系统的有效监控。
如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?
因为,渗透测试能够独立地检查您信息系统的网络安全策略及服务器操作系统安全加固等情况,换句话说,就是给您的系统安了一双眼睛。
而且,进行这类测试的,都是寻找网络信息系统安全测评的专业机构。
(四)外部审查的一部分
渗透测试需要探查信息系统,以发现操作系统和任何网络服务的不安全因素。
您可以使用一些简单的漏洞扫描设备完成这些任务,但往往专业人士用的并不仅仅是一些测试设备,相反他们会自己去编写一些实用的测试脚本作为辅助,有效地帮助您找到系统的安全隐患。
(五)渗透测试目的
明确当前系统的安全状况、摸清攻击者可能利用的弱点。
确定网络中存在的漏洞,才可以设计一套应对方案。
渗透测试可以协助用户发现组织系统安全的最薄弱环节,协助了解目前降低风险的首要任务,让管理人员非常直观的了解当前系统所面临的问题,增强对信息安全的认知程度,使所有成员意识到自己的岗位在整个组织的安全中不可或缺的地位,有助于整体安全意识的提升。
(六)渗透测试的作用
渗透测试的作用一方面在于,解释所用测试设备在测试过程中所得到的结果。
即使您对信息系统进行漏洞扫描。
但也并不能全面地了解漏洞扫描得到的结果,更别提另外进行测试,并证实漏洞扫描系统所得报告的准确性了。
(七)怎么进行渗透测试
除了找到合适工具以及具备资质的组织进行渗透测试外,还应该准确确定测试范围。
攻击者会借助社会工程学、偷窃、贿赂或者破门而入等手法,获得有关信息。
真正的攻击者是不会仅仅满足于攻击某个企业网络的。
通过该网络再攻击其它公司往往是黑客的惯用伎俩。
攻击者甚至会通过这种方法进入企业的ISP。
为了从渗透测试上获得最大价值,应该向测试组织提供尽可能详细的信息。
同时签署保密协议,这样,您就可以更放心地共享策略、程序及有关网络的其它关键信息。
还要确定被测信息系统,哪些系统需要测试。
虽然你不想漏掉可能会受到攻击的某个系统,但可能仍想分阶段把渗透测试外包出去,以便每个阶段专注于网络的不同部分;同样您也可以作为一个大的信息系统来测试,对各个子系统进行关联分析,从而有效地降低系统被攻破的风险。
2.渗透测试原理
2.1渗透测试原理
渗透测试就是利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的人工经验对网络中的核心服务器及重要的网络设备,包括服务器、网络设备、防火墙等进行非破坏性质的模拟黑客攻击,侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。
2.2渗透测试过程
在一个实际的渗透测试过程中,渗透测试项目的实施一般分为三个阶段:
前期准备阶段、渗透测试阶段、后期总结阶段。
(一)前期准备阶段
1)委托书确认
签署授权委托书,并同意测试工程师实施渗透测试。
2)渗透目标确定
测试工程师需要就详细的渗透测试范围和测试对象与用户进行沟通,并书面达成一致,进行渗透测试时,应严格按照测试范围和测试对象进行,以避免测试范围的“蔓延”而破坏关键业务数据。
3)确定渗透测试人员
根据渗透测试要求,渗透测试方应确定好渗透测试人员的名单、渗透测试人员的详细介绍,并得到被测方书面认可。
4)制定渗透测试方案
测试工程师应根据渗透测试的范围及测试对象,制定一份详细的渗透测试方案。
方案中必须说明测试范围和对象、测试时间、测试人员、测试工具、渗透测试过程中存在的风险等详细情况,方案应经过用户审核和批准。
5)风险规避措施
在进行渗透测试之前,应事先实施风险规避措施。
用户应先做好系统的备份和恢复准备工作,以便在发生不可预知的风险后能快速恢复系统的正常运行。
(二)渗透测试阶段
1)渗透测试工作环境安排
用户和测试工程师应共同协商进行渗透测试工作环境的安排,保障测试工程师应有比较独立和安静的工作环境。
2)实施渗透测试
测试工程师根据方案所规定的测试流程和测试内容实施具体的渗透测试活动。
3)渗透测试过程监控
按准备阶段选择的监控方式,在准备好的监控环境下对正在实施的渗透测试活动进行监控,同时监控被测试目标的工作状态。
4)渗透测试过程沟通
在渗透测试过程中,测试工程师应主动就渗透测试的进展情况、测试活动及测试中发现的异常或非预期情况与用户进行沟通,以便用户及时检查测试目标的工作状态是否正常。
(三)后期总结阶段
在完成渗透测试后,需要对渗透测试数据进行整理、汇总和分析,根据发现的安全漏洞和安全隐患指出被测目标的问题所在,然后提出相应的整改建议,并最终完成渗透测试报告的编制。
3.渗透测试分类及方法
3.1测试分类
(一)按信息获取方式分类
从渗透的前期资料准备和信息获得来看,渗透测试/攻击可分为以下3类。
1)黑盒(BlackBox)渗透
黑盒(BlackBox)渗透测试通常是从目标网络的外部进行渗透模拟的,这意味着,除了被测试目标的已知公开信息外,不提供任何其他信息。
渗透者完全处于对目标网络系统一无所知的状态,只能通过Web、E-mail等网络对外公开提供的各种服务器,进行扫描探测,从而获得公开的信息,以决定渗透的方案与步骤。
通常来说,黑盒渗透测试用于模拟来自网络外部的攻击行为。
2)白盒(WhiteBox)渗透
白盒(WhiteBox)渗透测试与黑盒渗透测试相反,渗透测试者可以通过正常渠道,向请求测试的机构获得目标网络系统的各种资料,包括网络拓扑结构、用户账号、操作系统、服务器类型、网络设备、代码片断等信息。
渗透者可从目标网络系统外部或内部两个地点,进行渗透模拟测试,但是通常而言,这类测试是模拟网络内部人员的越权操作。
3)灰盒(GrayBox)渗透
灰盒(GrayBox)渗透测试介于以上两者之间。
(二)按目标对象分类
从渗透模拟攻击的对象来看,渗透测试又可分为以下几种。
1)主机操作系统渗透
对目标网络中的Windows、Linux、UNIX等不同操作系统主机进行渗透测试。
本书重点讲述的是对Windows主机操作系统的渗透。
2)数据库系统渗透
对MS-SQL、Oracle、MySQL等数据库系统进行渗透测试,这通常是对网站的入侵渗透过程而言的。
3)网站程序渗透
渗透的目标网络系统都对外提供了Web网页、E-mail邮箱等网络程序应用服务,这是渗透者打开内部渗透通道的重要途径。
4)网络设备渗透
对各种硬件防火墙、入侵检测系统、路由器和交换机等网络设备进行渗透测试。
此时,渗透者通常已入侵进入内部网络中。
(三)按网络环境分类
按照渗透者发起渗透攻击行为所处的网络环境来分,渗透测试可分为下面两类。
1)外网测试
通常来说,进行渗透攻击测试的目标都是大型的网络系统。
这些网络系统由内部的一台台主机与网络设备所组成,其内部是一个局域网络,从Internet上无法直接连接访问。
所谓外网测试,就是指渗透测试人员完全处于目标网络系统之外的外部网络,在对内部状态一无所知的情况下进行的渗透测试。
渗透者需要突破外部网关服务器和保护内网的防火墙,从而进入内网之中。
2)内网测试
内网测试指的是由内部网络发起的渗透测试,此时渗透测试人员已处于内网之中,渗透控制的难度相对已减少了许多。
各种信息收集与渗透实施更加方便,渗透者的目标是完全地控制整个内部网络系统。
3.2测试方法
一般来说,攻击者的渗透入侵过程分为如左图所示的几个阶段和步骤,每个阶段和步骤使用不同的攻击手段。
(一)外网信息收集、分析与制订入侵方案
从外网发起的黑盒渗透攻击,由于对目标网络系统一无所知,渗透攻击者首先需要收集足够的入侵信息资料,然后在此基础上制订渗透攻击方案。
信息的收集是非常重要的,它决定了攻击者是否能准确地定位目标网络系统安全防线上的漏洞,攻击者所收集的一切信息,无非是为了找到安全大坝上的那些小小的蚁穴。
信息收集主要分为以下几类。
1)相关边缘信息收集
在这一步骤中,攻击者会通过网络搜索、实地了解等各种方法,充分地利用网络搜索和社会工程学,采集攻击目标的相关信息。
获取的信息内容和方式包括目标网络系统中的一些边缘信息,如目标网络系统公司的结构、各部门职能、重要机构分支,以及内部员工账号组成、身份识别方式、邮件联系地址、QQ或MSN号码、各种社交网络账号与信息、管理员的网络
升级会员 