信息系统渗透测试原理及模型分析论文

信息系统渗透测试原理及模型分析

Information Systems Penetration Testing Principle And

Model Analysis

姜志坤

摘要：信息化是当今世界发展的大趋势，是推动经济社会变革的重要力量。大力推进信息化，是覆盖我国现代化建设全局的战略举措，是贯彻落实科学发展观，全面建设小康社会、构建社会主义和谐社会和建设创新型国家的迫切需要和必然选择。如何以信息化提升综合国力，如何在信息化快速发展的同时确保国家信息安全，这已经成为各国政府关心的热点问题。信息安全已经从国家政治、经济、军事、文化等领域普及到社会团体、企业，直到普通百姓，信息安全已经成为维护国家安全和社会稳定的一个重要因素。随着国家信息安全测评工作的推进和深化，对信息系统安全测试的要求也逐步提高，渗透测试作为信息系统安全测试的一项高级别和高难度的测试项目，在信息安全测评中逐渐受到高度重视并得到推广应用。本文通过对目前渗透测试的过程和原理做了详细的分析, 并提出了测试方法和测试模型。

关键字：信息安全渗透测试测试项目测试模型

1.渗透测试概述

作为网络安全防范的一种新技术，对于网络安全组织具有实际应用价值。但要找到一家合适的具有授权资质的公司实施渗透测试并不容易。

近来防御黑客与病毒的攻击已经成为一种非常困难的工作。保护自己的信息系统不受恶意攻击者的破坏，维护系统安全已经成了企业里非常重要的工作。以金融业为例，某银行部署了多台防火墙，购买入侵检测系统、网络安全审计系统等，也定期进行漏洞扫描，应该很安全，但黑客入侵、储户数据遭窃、网站遭受攻击等安全事件仍层出不穷，也许被黑客入侵的机率只有0.001%，但发生后就是100%。

（一）渗透测试（Penetration Testing）网络定义

定义一：渗透测试是一个在评估目标主机和网络的安全性时模仿黑客特定攻击行为的过程。详细地说，是指安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段，对目标的安全性作深入的探测，发现系统最脆弱环节的过程。

定义二：渗透测试是主动评估信息安全措施的过程。可通过多种方法做到这一点，而最常用的方法是主动地对安全措施进行分析，找出其设计缺陷、技术盲点和漏洞；然后对其做一个全面的报告，呈递给行政、管理和技术部门。

定义三：渗透测试就是以黑客的角度，由企业外部或在企业内部对目标网络环境作深入的安全探测，并预先找出企业脆弱的环节。渗透测试是由一组安全人员执行，利用弱点扫描软件或其他的工具，从外部或内部网络收集系统的相关信息，并探查出逻辑性更强、更深层次的漏洞，然后渗透到企业内部取得资产，最后提交一份渗透测试报告，完整的记录整个测试过程与细节，证实企业哪些系统有风险、哪些产品设定没做好，并协助企业进行制定更完善的安全防御措施。换句话说，渗透测试是安全稽核的一部分，由安全专家仿真黑客的攻击模式，测试信息系统的安全强度，让企业在黑客攻击前，就做好预防工作。

（二）渗透测试定义

渗透测试是指测试人员在得到用户授权许可后，在不影响其业务应用的前提下，尽可能完整的地模拟黑客使用的漏洞发现技术和攻击手段，对目标网络、应用系统、主机操作系统、数据库管理系统等进行渗透检测，从而发现系统存在的安全漏洞和隐患等脆弱性环节，并在适当条件下进行验证的安全测试过程。

（三）渗透测试是专业服务

渗透测试是为了证明信息系统的防御按照预期计划正常运行而提供的一种机制。不妨假设，您的公司定期更新安全策略和程序，实时给系统打补丁，并采用了入侵检测系统、安全审计系统和漏洞扫描系统等设备，以确保对信息系统的有效监控。如果你早已做到了这些，为什么还要请外方进行审查或渗透测试呢？因为，渗透测试能够独立地检查您信息系统的网络安全策略及服务器操作系统安全加固等情况，换句话说，就是给您的系统安了一双眼睛。而且，进行这类测试的，都是寻找网络信息系统安全测评的专业机构。

（四）外部审查的一部分

渗透测试需要探查信息系统，以发现操作系统和任何网络服务的不安全因素。您可以使用一些简单的漏洞扫描设备完成这些任务，但往往专业人士用的并不仅仅是一些测试设备，相反他们会自己去编写一些实用的测试脚本作为辅助，有效地帮助您找到系统的安全隐患。

（五）渗透测试目的

明确当前系统的安全状况、摸清攻击者可能利用的弱点。确定网络中存在的漏洞，才可以设计一套应对方案。渗透测试可以协助用户发现组织系统安全的最薄弱环节，协助了解目前降低风险的首要任务，让管理人员非常直观的了解当前系统所面临的问题，增强对信息安

全的认知程度，使所有成员意识到自己的岗位在整个组织的安全中不可或缺的地位，有助于整体安全意识的提升。

（六）渗透测试的作用

渗透测试的作用一方面在于，解释所用测试设备在测试过程中所得到的结果。即使您对信息系统进行漏洞扫描。但也并不能全面地了解漏洞扫描得到的结果，更别提另外进行测试，并证实漏洞扫描系统所得报告的准确性了。

（七）怎么进行渗透测试

除了找到合适工具以及具备资质的组织进行渗透测试外，还应该准确确定测试范围。攻击者会借助社会工程学、偷窃、贿赂或者破门而入等手法，获得有关信息。真正的攻击者是不会仅仅满足于攻击某个企业网络的。通过该网络再攻击其它公司往往是黑客的惯用伎俩。攻击者甚至会通过这种方法进入企业的ISP。

为了从渗透测试上获得最大价值，应该向测试组织提供尽可能详细的信息。同时签署保密协议，这样，您就可以更放心地共享策略、程序及有关网络的其它关键信息。

还要确定被测信息系统，哪些系统需要测试。虽然你不想漏掉可能会受到攻击的某个系统，但可能仍想分阶段把渗透测试外包出去，以便每个阶段专注于网络的不同部分；同样您也可以作为一个大的信息系统来测试，对各个子系统进行关联分析，从而有效地降低系统被攻破的风险。

2. 渗透测试原理

2. 1 渗透测试原理

渗透测试就是利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的人工经验对网络中的核心服务器及重要的网络设备，包括服务器、网络设备、防火墙等进行非破坏性质的模拟黑客攻击，侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。

2. 2 渗透测试过程

在一个实际的渗透测试过程中，渗透测试项目的实施一般分为三个阶段：前期准备阶段、渗透测试阶段、后期总结阶段。

（一）前期准备阶段

1）委托书确认

签署授权委托书，并同意测试工程师实施渗透测试。