宣傳國家網(wǎng)絡(luò)安全等級保護(hù)政策及網(wǎng)絡(luò)安全相關(guān)法律法規(guī),,分享最新行業(yè)動(dòng)態(tài)、前沿知識,,致力搭建全國性交流平臺,。
“網(wǎng)絡(luò)安全的本質(zhì)是攻防對抗,對抗的本質(zhì)在攻防兩端能力較量”,,在網(wǎng)絡(luò)空間中,,網(wǎng)絡(luò)安全問題就像‘幽靈’一樣,常常是來自未知威脅,。滲透測試作為一種通過模擬使用黑客的技術(shù)和方法,,挖掘目標(biāo)系統(tǒng)的安全漏洞,取得系統(tǒng)的控制權(quán),,訪問系統(tǒng)的機(jī)密數(shù)據(jù),,并發(fā)現(xiàn)可能影響業(yè)務(wù)持續(xù)運(yùn)作安全隱患的一種安全測試和評估方式,對提前感知網(wǎng)絡(luò)和信息系統(tǒng)可能存在的漏洞,、風(fēng)險(xiǎn)或威脅有著重要的作用,。
網(wǎng)絡(luò)安全等級保護(hù)作為國家的一項(xiàng)基本制度,網(wǎng)絡(luò)運(yùn)營者開展等級測評工作是檢驗(yàn)網(wǎng)絡(luò)和信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力,,發(fā)現(xiàn)網(wǎng)絡(luò)和信息系統(tǒng)可能存在的安全風(fēng)險(xiǎn)以及規(guī)避網(wǎng)絡(luò)安全風(fēng)險(xiǎn)被威脅利用的可能性,。在開展等級測評工作時(shí),,“訪談”,、“核查”等測評方法得到的符合性測評結(jié)果具有一定的主觀不確定性,而工具測試(滲透測試和漏洞掃描)是發(fā)現(xiàn)和驗(yàn)證網(wǎng)絡(luò)信息系統(tǒng)安全風(fēng)險(xiǎn)的重要手段,,且能夠?qū)Ψ闲詸z查結(jié)果進(jìn)行有力補(bǔ)充,。
根據(jù)網(wǎng)絡(luò)安全等級保護(hù)制度相關(guān)要求,網(wǎng)絡(luò)安全保護(hù)等級為第三級以上(含第三級)的信息系統(tǒng),,在進(jìn)行等級測評時(shí)必須實(shí)施滲透測試,,那么究竟該如何在等級測評工作中開展?jié)B透測試工作,,又該如何規(guī)范化等級測評過程中的滲透測試行為?
一,、滲透測試的必要性
滲透測試是檢測,、評估網(wǎng)絡(luò)和信息系統(tǒng)安全能力的有效方法,可以直觀地讓網(wǎng)絡(luò)運(yùn)營者了解其所管理(運(yùn)營)的網(wǎng)絡(luò)和信息系統(tǒng)面臨哪些安全問題,。此外,,滲透測試還可以彌補(bǔ)其他評估方法的不足,發(fā)現(xiàn)深層次,、較復(fù)雜的網(wǎng)絡(luò)安全問題,。在開展網(wǎng)絡(luò)安全等級保護(hù)測評過程中,滲透測試的主要功能有:
● 滲透測試可有效檢測網(wǎng)絡(luò)和信息系統(tǒng)已采取安全措施是否真實(shí)有效,,安全策略和安全狀態(tài)是否達(dá)到網(wǎng)絡(luò)運(yùn)營者的預(yù)期,,是否能有效阻擋可能存在的威脅;
● 滲透測試可直觀反映出網(wǎng)絡(luò)和信息系統(tǒng)中存在的安全漏洞,,有助于網(wǎng)絡(luò)運(yùn)營者進(jìn)行針對性地修復(fù)控制,,提前降低或規(guī)避安全漏洞被利用地風(fēng)險(xiǎn);
● 實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全影響因素的全面評估,,驗(yàn)證“符合性”評估結(jié)論的準(zhǔn)確性,,增加等級測評結(jié)果的可信度;
● 滲透測試的結(jié)果可作為內(nèi)部安全意識培訓(xùn)的案例,,在對相關(guān)的接口人員進(jìn)行安全教育時(shí)使用,。
滲透測試幫助網(wǎng)絡(luò)運(yùn)營者更好地檢驗(yàn)經(jīng)過安全防護(hù)后的網(wǎng)絡(luò)和信息系統(tǒng)是否真正的達(dá)到了預(yù)期安全防護(hù)目標(biāo)、遵循了安全策略,、符合安全合規(guī)的要求,。滲透測試作為“以測驗(yàn)防”的有效手段,為網(wǎng)絡(luò)運(yùn)營者提供了有效的安全防護(hù)思路,,變被動(dòng)防護(hù)為主動(dòng)防護(hù),,可驗(yàn)證落實(shí)等級保護(hù)制度所建立的“安全技術(shù)”+“安全管理”體系的有效性與合理性,助力網(wǎng)絡(luò)運(yùn)營者健全安全建設(shè)體系,。
二,、滲透測試流程
滲透測試的流程主要包括前期準(zhǔn)備、實(shí)施測試,、復(fù)測實(shí)施以及測試結(jié)果匯總四個(gè)階段,。
第一階段,滲透測試前期準(zhǔn)備階段,。
該階段主要目的是為保證滲透測試順利實(shí)施而采取的準(zhǔn)備性工作,,工作內(nèi)容包括滲透測試技術(shù)溝通、確定測試時(shí)間與測試對象、簽署授權(quán)書并提交測試人員IP及相關(guān)信息等,。這一階段,,簽訂授權(quán)書是重中之重,只有在獲得被測對象運(yùn)營者的書面授權(quán)后,,才能開始著手編制規(guī)范的測試方案,。測試人員才能夠利用提交的IP對約定的測試的對象在規(guī)定的測試時(shí)間內(nèi)進(jìn)行測試工作。此外,,監(jiān)督管理也是在這一階段的一項(xiàng)重要內(nèi)容,。在展開此項(xiàng)工作時(shí),可與相關(guān)單位進(jìn)行溝通,,以對測試過程的可行性與風(fēng)險(xiǎn)性保持最小,。同時(shí),還可通過建立聯(lián)動(dòng)管控小組,,以實(shí)施全過程監(jiān)督,。
第二階段,測試階段實(shí)施,。
本階段首先進(jìn)行信息探測收集,,在進(jìn)行信息探測時(shí),滲透測試人員利用各種信息來源與搜集技術(shù)方法,,嘗試獲取更多關(guān)于目標(biāo)測試對象的網(wǎng)絡(luò)拓?fù)?、系統(tǒng)配置與安全防護(hù)措施等信息。情報(bào)搜集是否充分對后續(xù)滲透測試工作開展的成敗具有決定性的作用,。在完成信息收集和分析后,,滲透測試人員開展?jié)B透測試活動(dòng),在這一環(huán)節(jié)中,,滲透測試人員需要利用他們所挖掘到的目標(biāo)系統(tǒng)安全漏洞,,來入侵系統(tǒng)當(dāng)中,獲得訪問控制權(quán),。當(dāng)然,,在網(wǎng)絡(luò)安全等級測評工作中,是在已獲取部分信息的前提下進(jìn)行滲透測試,,并在利用發(fā)現(xiàn)的漏洞時(shí),,證明其可被利用即可,輸出并提交相關(guān)報(bào)告給網(wǎng)絡(luò)運(yùn)營者,。
第三階段,,復(fù)測實(shí)施階段。
針對上一階段測試發(fā)現(xiàn)的安全問題在整改完成后進(jìn)行二次測試,,驗(yàn)證前次發(fā)現(xiàn)的安全問題所采取的安全整改措施是否有效,。在完成本階段滲透測試工作后,,需提交復(fù)測報(bào)告,,并對報(bào)告內(nèi)容進(jìn)行有效溝通,,確認(rèn)滲透測試結(jié)果。
第四階段,,測試結(jié)果匯總階段,。
本階段是檢測結(jié)果呈現(xiàn)階段,在這一階段,,需嚴(yán)格以測試結(jié)果為依據(jù),,對測試報(bào)告進(jìn)行規(guī)范編制,其包括的內(nèi)容主要涉及測試結(jié)果,、漏洞結(jié)果評估以及整改建議,。該階段需注意的是測試人員需將結(jié)果準(zhǔn)確且全面地呈現(xiàn)出來。對于滲透測試發(fā)現(xiàn)的問題進(jìn)行科學(xué),、合理的分析,,結(jié)合網(wǎng)絡(luò)安全等級保護(hù)的要求,提出有效可執(zhí)行的整改建議,,保證被測試的系統(tǒng)可以穩(wěn)定且安全地運(yùn)行,。
三、滲透測試中行為規(guī)范化
在開展網(wǎng)絡(luò)安全等級保護(hù)工作時(shí),,滲透測試作為第三級及以上網(wǎng)絡(luò)和信息系統(tǒng)必須開展的活動(dòng),,滲透測試人員在開展測試工作時(shí),應(yīng)了解相關(guān)法律法規(guī)要求,,規(guī)范化自我行為,。
《網(wǎng)絡(luò)安全法》第二十七條 規(guī)定:
任何個(gè)人和組織不得從事非法侵入他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能,、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動(dòng),;不得提供專門用于從事侵入網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能及防護(hù)措施,、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全活動(dòng)的程序,、工具;明知他人從事危害網(wǎng)絡(luò)安全的活動(dòng)的,,不得為其提供技術(shù)支持,、廣告推廣、支付結(jié)算等幫助,。
在《網(wǎng)絡(luò)安全法》 第六十三條規(guī)定違反本法第二十七條規(guī)定,,承擔(dān)下列責(zé)任:
1、行政責(zé)任:尚不構(gòu)成犯罪的,,由公安機(jī)關(guān)沒收違法所得,,處五日以下拘留,,可以并處一萬元以上十萬元以下罰款;情節(jié)較重的,,處五日以上十五日以下拘留,,可以并處五萬元以上五十萬元以下罰款。
2,、單位有前款規(guī)定行為的,,由公安機(jī)關(guān)沒收違法所得,處十萬元以上五十萬元以下罰款,,并對其直接負(fù)責(zé)的主管人員和其他責(zé)任人員依照前款規(guī)定處罰,。
3、禁入規(guī)則:受到治安管理處罰的人員,,五年內(nèi)不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營關(guān)鍵崗位的工作,;受到刑事處罰的人員,終身不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營關(guān)鍵崗位的工作,。
基于網(wǎng)絡(luò)安全法律法規(guī)的相關(guān)要求,,為規(guī)范化滲透測試人員行為,應(yīng)注意下列事宜:
● 開展?jié)B透測試必須在經(jīng)授權(quán)的情形下,,利用約定的人員信息(如IP,、人員真實(shí)身份)開始滲透測試工作;
● 滲透測試時(shí)間必須在客戶授權(quán)的時(shí)間內(nèi),,且測試對象必須是客戶授權(quán)范圍內(nèi)的,;
● 在滲透測試過程中,杜絕因“好奇心”或“操作不當(dāng)”竊取或篡改客戶數(shù)據(jù),;
● 對于滲透測試中發(fā)現(xiàn)的客戶系統(tǒng)漏洞,,應(yīng)該及時(shí)聯(lián)系客戶修復(fù),切勿對外公布,;
● 開展?jié)B透測試過程中,,切勿將帶有惡意代碼的程序?qū)δ繕?biāo)系統(tǒng)進(jìn)行“試探性”攻擊;
● 對于開展?jié)B透測試所獲取的信息應(yīng)遵循《保密法》及相關(guān)保密約定,,禁止非法泄露任何獲取到的信息,;
● 在滲透測試結(jié)束后,對工作中獲取的信息進(jìn)行及時(shí)歸檔,、清除,,防止因操作不當(dāng)導(dǎo)致信息非法泄露。
在開展等級測評工作中,,一定程度上,,測試工具及方法的使用會對網(wǎng)絡(luò)系統(tǒng)的運(yùn)行造成一定影響,加大設(shè)備運(yùn)行的風(fēng)險(xiǎn)性,。因此,,在滲透測試過程中,,應(yīng)注重滲透風(fēng)險(xiǎn)的有效評估和規(guī)避,而不應(yīng)“系統(tǒng)存在高風(fēng)險(xiǎn)漏洞”而放棄滲透測試,。
滲透測試中風(fēng)險(xiǎn)控制的方法有:
● 應(yīng)確保滲透測試的評審方案獲得雙方認(rèn)可,,確保網(wǎng)絡(luò)安全等級測試的合法性;
● 測試過程中應(yīng)注重測試時(shí)間和范圍的嚴(yán)格控制,,同時(shí)測試人員應(yīng)和被測單位建立高效化的溝通機(jī)制,,避免滲透測試對目標(biāo)單位的業(yè)務(wù)開展造成影響,;
● 為避免測試潛在風(fēng)險(xiǎn)發(fā)生,,應(yīng)減少核心業(yè)務(wù)系統(tǒng)的滲透測試數(shù)量,避免發(fā)生業(yè)務(wù)系統(tǒng)損傷,,可在部署環(huán)境一致或類似的系統(tǒng)中開展?jié)B透測試工作,。
“焉知攻,未知防”,,滲透測試作為檢驗(yàn)網(wǎng)絡(luò)信息系統(tǒng)安全防護(hù)能力有效性的重要手段,,同時(shí)也便于網(wǎng)絡(luò)運(yùn)營者了解攻擊者可能發(fā)起的攻擊路徑(可能被利用地風(fēng)險(xiǎn))。在開展網(wǎng)絡(luò)安全等級工作中,,滲透測試具有重要的意義,,可有效地強(qiáng)化網(wǎng)絡(luò)和信息系統(tǒng)基礎(chǔ)安全防護(hù)能力,盡可能地規(guī)避安全風(fēng)險(xiǎn),,同時(shí)可助力網(wǎng)絡(luò)運(yùn)營者實(shí)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)“零事故”,,但在開展?jié)B透測試過程中,各參與方應(yīng)積極規(guī)范化自我行為,,確保滲透測試工作順利進(jìn)行,,發(fā)揮其應(yīng)有的價(jià)值。