宣傳國家網絡安全等級保護政策及網絡安全相關法律法規,分享最新行業動態、前沿知識,致力搭建全國性交流平臺。
“網絡安全的本質是攻防對抗,對抗的本質在攻防兩端能力較量”,在網絡空間中,網絡安全問題就像‘幽靈’一樣,常常是來自未知威脅。滲透測試作為一種通過模擬使用黑客的技術和方法,挖掘目標系統的安全漏洞,取得系統的控制權,訪問系統的機密數據,并發現可能影響業務持續運作安全隱患的一種安全測試和評估方式,對提前感知網絡和信息系統可能存在的漏洞、風險或威脅有著重要的作用。
網絡安全等級保護作為國家的一項基本制度,網絡運營者開展等級測評工作是檢驗網絡和信息系統的網絡安全防護能力,發現網絡和信息系統可能存在的安全風險以及規避網絡安全風險被威脅利用的可能性。在開展等級測評工作時,“訪談”、“核查”等測評方法得到的符合性測評結果具有一定的主觀不確定性,而工具測試(滲透測試和漏洞掃描)是發現和驗證網絡信息系統安全風險的重要手段,且能夠對符合性檢查結果進行有力補充。
根據網絡安全等級保護制度相關要求,網絡安全保護等級為第三級以上(含第三級)的信息系統,在進行等級測評時必須實施滲透測試,那么究竟該如何在等級測評工作中開展滲透測試工作,又該如何規范化等級測評過程中的滲透測試行為?
一、滲透測試的必要性
滲透測試是檢測、評估網絡和信息系統安全能力的有效方法,可以直觀地讓網絡運營者了解其所管理(運營)的網絡和信息系統面臨哪些安全問題。此外,滲透測試還可以彌補其他評估方法的不足,發現深層次、較復雜的網絡安全問題。在開展網絡安全等級保護測評過程中,滲透測試的主要功能有:
● 滲透測試可有效檢測網絡和信息系統已采取安全措施是否真實有效,安全策略和安全狀態是否達到網絡運營者的預期,是否能有效阻擋可能存在的威脅;
● 滲透測試可直觀反映出網絡和信息系統中存在的安全漏洞,有助于網絡運營者進行針對性地修復控制,提前降低或規避安全漏洞被利用地風險;
● 實現網絡系統安全影響因素的全面評估,驗證“符合性”評估結論的準確性,增加等級測評結果的可信度;
● 滲透測試的結果可作為內部安全意識培訓的案例,在對相關的接口人員進行安全教育時使用。
滲透測試幫助網絡運營者更好地檢驗經過安全防護后的網絡和信息系統是否真正的達到了預期安全防護目標、遵循了安全策略、符合安全合規的要求。滲透測試作為“以測驗防”的有效手段,為網絡運營者提供了有效的安全防護思路,變被動防護為主動防護,可驗證落實等級保護制度所建立的“安全技術”+“安全管理”體系的有效性與合理性,助力網絡運營者健全安全建設體系。
二、滲透測試流程
滲透測試的流程主要包括前期準備、實施測試、復測實施以及測試結果匯總四個階段。
第一階段,滲透測試前期準備階段。
該階段主要目的是為保證滲透測試順利實施而采取的準備性工作,工作內容包括滲透測試技術溝通、確定測試時間與測試對象、簽署授權書并提交測試人員IP及相關信息等。這一階段,簽訂授權書是重中之重,只有在獲得被測對象運營者的書面授權后,才能開始著手編制規范的測試方案。測試人員才能夠利用提交的IP對約定的測試的對象在規定的測試時間內進行測試工作。此外,監督管理也是在這一階段的一項重要內容。在展開此項工作時,可與相關單位進行溝通,以對測試過程的可行性與風險性保持最小。同時,還可通過建立聯動管控小組,以實施全過程監督。
第二階段,測試階段實施。
本階段首先進行信息探測收集,在進行信息探測時,滲透測試人員利用各種信息來源與搜集技術方法,嘗試獲取更多關于目標測試對象的網絡拓撲、系統配置與安全防護措施等信息。情報搜集是否充分對后續滲透測試工作開展的成敗具有決定性的作用。在完成信息收集和分析后,滲透測試人員開展滲透測試活動,在這一環節中,滲透測試人員需要利用他們所挖掘到的目標系統安全漏洞,來入侵系統當中,獲得訪問控制權。當然,在網絡安全等級測評工作中,是在已獲取部分信息的前提下進行滲透測試,并在利用發現的漏洞時,證明其可被利用即可,輸出并提交相關報告給網絡運營者。
第三階段,復測實施階段。
針對上一階段測試發現的安全問題在整改完成后進行二次測試,驗證前次發現的安全問題所采取的安全整改措施是否有效。在完成本階段滲透測試工作后,需提交復測報告,并對報告內容進行有效溝通,確認滲透測試結果。
第四階段,測試結果匯總階段。
本階段是檢測結果呈現階段,在這一階段,需嚴格以測試結果為依據,對測試報告進行規范編制,其包括的內容主要涉及測試結果、漏洞結果評估以及整改建議。該階段需注意的是測試人員需將結果準確且全面地呈現出來。對于滲透測試發現的問題進行科學、合理的分析,結合網絡安全等級保護的要求,提出有效可執行的整改建議,保證被測試的系統可以穩定且安全地運行。
三、滲透測試中行為規范化
在開展網絡安全等級保護工作時,滲透測試作為第三級及以上網絡和信息系統必須開展的活動,滲透測試人員在開展測試工作時,應了解相關法律法規要求,規范化自我行為。
《網絡安全法》第二十七條 規定:
任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動;不得提供專門用于從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具;明知他人從事危害網絡安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。
在《網絡安全法》 第六十三條規定違反本法第二十七條規定,承擔下列責任:
1、行政責任:尚不構成犯罪的,由公安機關沒收違法所得,處五日以下拘留,可以并處一萬元以上十萬元以下罰款;情節較重的,處五日以上十五日以下拘留,可以并處五萬元以上五十萬元以下罰款。
2、單位有前款規定行為的,由公安機關沒收違法所得,處十萬元以上五十萬元以下罰款,并對其直接負責的主管人員和其他責任人員依照前款規定處罰。
3、禁入規則:受到治安管理處罰的人員,五年內不得從事網絡安全管理和網絡運營關鍵崗位的工作;受到刑事處罰的人員,終身不得從事網絡安全管理和網絡運營關鍵崗位的工作。
基于網絡安全法律法規的相關要求,為規范化滲透測試人員行為,應注意下列事宜:
● 開展滲透測試必須在經授權的情形下,利用約定的人員信息(如IP、人員真實身份)開始滲透測試工作;
● 滲透測試時間必須在客戶授權的時間內,且測試對象必須是客戶授權范圍內的;
● 在滲透測試過程中,杜絕因“好奇心”或“操作不當”竊取或篡改客戶數據;
● 對于滲透測試中發現的客戶系統漏洞,應該及時聯系客戶修復,切勿對外公布;
● 開展滲透測試過程中,切勿將帶有惡意代碼的程序對目標系統進行“試探性”攻擊;
● 對于開展滲透測試所獲取的信息應遵循《保密法》及相關保密約定,禁止非法泄露任何獲取到的信息;
● 在滲透測試結束后,對工作中獲取的信息進行及時歸檔、清除,防止因操作不當導致信息非法泄露。
在開展等級測評工作中,一定程度上,測試工具及方法的使用會對網絡系統的運行造成一定影響,加大設備運行的風險性。因此,在滲透測試過程中,應注重滲透風險的有效評估和規避,而不應“系統存在高風險漏洞”而放棄滲透測試。
滲透測試中風險控制的方法有:
● 應確保滲透測試的評審方案獲得雙方認可,確保網絡安全等級測試的合法性;
● 測試過程中應注重測試時間和范圍的嚴格控制,同時測試人員應和被測單位建立高效化的溝通機制,避免滲透測試對目標單位的業務開展造成影響;
● 為避免測試潛在風險發生,應減少核心業務系統的滲透測試數量,避免發生業務系統損傷,可在部署環境一致或類似的系統中開展滲透測試工作。
“焉知攻,未知防”,滲透測試作為檢驗網絡信息系統安全防護能力有效性的重要手段,同時也便于網絡運營者了解攻擊者可能發起的攻擊路徑(可能被利用地風險)。在開展網絡安全等級工作中,滲透測試具有重要的意義,可有效地強化網絡和信息系統基礎安全防護能力,盡可能地規避安全風險,同時可助力網絡運營者實現網絡信息系統“零事故”,但在開展滲透測試過程中,各參與方應積極規范化自我行為,確保滲透測試工作順利進行,發揮其應有的價值。