綜合安全測試粗探

詹治中

[摘要]在簡要介紹和討論安全測試在當今的安全形勢下的作用，通過幾個側(cè)面來說明綜合安全測試的作用及產(chǎn)生的影響。

[關(guān)鍵詞]安全測試漏洞風險

中圖分類號：TP3文獻標識碼：A文章編號：1671-7597(2009)0610087-02

一、前言

本論文概述了綜合安全測試作為定位和漏洞評起到的作用，綜合性安全測試作為一種綜合性檢測方式已經(jīng)逐漸被公認。對當前安全系統(tǒng)所面臨的日益加劇的安全和潛在的問題一以及主動進行的綜合安全測試將成為漏洞評估中最重要的因素進行了說明。

二、信息安全面臨的問題

在目前數(shù)字化網(wǎng)絡(luò)化的時代里，安全問題越來越成為大家矚目的重點。不同類型的攻擊，惡意軟件與黑客聯(lián)盟的攻擊一直以來都是危機的主要問題之一，在目前來自政府和各類機構(gòu)對安全調(diào)控需要的日益增長，已經(jīng)導致越來越多的單位和機構(gòu)要定期對自身的技術(shù)漏洞和安全防御機制進行評估。多年以來，各個方面都進行了大量的資金的投入，力求通過建立信息系統(tǒng)的防御，特別是在一系列基于網(wǎng)絡(luò)底層協(xié)議和終端的設(shè)施上面的加強來達到安全的目的。但事實卻清楚地表明，安全保護工作仍然令許多單位和組織疲于奔命，他們的信息和資源依舊為外部的風險入侵，業(yè)務(wù)中斷和數(shù)據(jù)丟失等問題所困擾著。

而且種種跡象表明，隨著計算機及網(wǎng)絡(luò)的發(fā)展在接下來的時間里我們將看到更具危害的安全威脅在信息系統(tǒng)中出現(xiàn)。隨著計算機網(wǎng)絡(luò)的日益普及，越來越多越來越先進的服務(wù)器的出現(xiàn)同樣為這情況提供了基礎(chǔ)，成為用來攻擊最新反病毒技術(shù)的工具，同時也為這些攻擊躲避入侵檢測系統(tǒng)提供了環(huán)境與條件。

就目前而言，特定群體與最終用戶也開始成為被威脅和攻擊的目標，通過社會工程學或假冒相關(guān)的郵件等手段吸引最終用戶點擊仿造正規(guī)網(wǎng)站的頁面手段從而獲取相關(guān)的個人隱私信息的“網(wǎng)絡(luò)釣魚”也正在成為目前的信息系統(tǒng)安全中的新的危害。

對于這些問題已經(jīng)有些國家已經(jīng)提出了相應(yīng)的應(yīng)對策略，包括最初美國國會在1996年通過了相關(guān)諸如支付卡行業(yè)的數(shù)據(jù)安全標準(Payment Card Industry3 Data Security Standard—PCI DSS)以及健康保險流通與責任法案(Health Insurance Portability and Accountability Act—HIPAA)，盡管美國的這些辦法有起到一定的作用，但是這些嚴格的信息標準也無法徹底避免信息系統(tǒng)會遭受被攻擊從而造成數(shù)據(jù)流失的危害。

這讓我們覺察到我們正面對著一個多樣化的環(huán)境，面臨的信息系統(tǒng)安全問題比以往更加復雜和嚴峻，信息方面正面臨著比以往任何時候都更復雜的潛在安全問題，

三、目前安全機制的主要問題

盡管幾十年來在信息系統(tǒng)安全方面的產(chǎn)品相當豐富，從傳統(tǒng)的單機方面的防護軟件、網(wǎng)絡(luò)方面的防護軟件系統(tǒng)，到新型的數(shù)據(jù)丟失防護工具技術(shù)(Data Loss Prevention-DLP)，現(xiàn)實情況是，許多單位組織或者個人仍然很容易受到攻擊和信息泄漏。

相關(guān)的數(shù)據(jù)已證明，許多領(lǐng)軍的安全廠商已經(jīng)認識到最常用的桌面和網(wǎng)絡(luò)防病毒系統(tǒng)正在被大量的形式多樣存在不同的針對性攻擊所包圍，并且像DLP這類技術(shù)還不夠成熟無法成功應(yīng)用到企業(yè)。

同時現(xiàn)在的單位往往都有建立相關(guān)的安全機制措施，但在實際工作中，實際工作人員與管理人員間的彼此溝通仍在結(jié)構(gòu)上存在問題，例如為了提升網(wǎng)絡(luò)安全進行統(tǒng)一的網(wǎng)絡(luò)性能方面的維護、各個用戶終端應(yīng)用軟件的統(tǒng)一升級、以及對工作人員進行軟件應(yīng)用培訓上，都存在著不連續(xù)與脫節(jié)。另一方面我們目前使用的信息系統(tǒng)安全體系都存在這一個普遍的問題，那就是傳統(tǒng)防御機制甚至一些新的安全管理和漏洞掃描解決的方案都會在運行中產(chǎn)生大量的記錄數(shù)據(jù)，而這些數(shù)據(jù)往往需要通過大量的計算任務(wù)來處理，對所在服務(wù)器造成巨大的負擔，在提升了安全的同時卻降低了系統(tǒng)的效率及穩(wěn)定程度。

當今，從防火墻、入侵檢測／預(yù)防系統(tǒng)(intrusion detection／prevention systems-IDS／IPS)，到新興的安全事件／信息管理系統(tǒng)(securityevent／information management—SEM／SIM)都遍布我們的工作當中，這些防范的機制讓那些相關(guān)安全防范的人員可以詳細地了解到系統(tǒng)目前的安全狀態(tài)，其中包括被黑客攻擊的相關(guān)記錄。雖然隨著這些應(yīng)用的發(fā)展，大多數(shù)的安全負責人員都會通過運用篩選技術(shù)來提高系統(tǒng)的效率，但是對于一個單位的來說，對于安全上面的投入所產(chǎn)生的效益是無法進行相應(yīng)的估計和衡量的，而且在這一方面實際出現(xiàn)的情況往往需要安全管理人員在進行安全工作室也需利用到其他的工具，這些工具對于安全系統(tǒng)來說不會帶來安全上的加權(quán)。這些情況一直在向我們說明這么一個問題，安全系統(tǒng)的有效性與相關(guān)的投資也需要有一個有效的測試評估手段。

四、安全測試的范圍

進行綜合性的安全測試的目的就是對于目前安全所面臨的問題，進行綜合的測試從而能更加全面地對總體的安全狀態(tài)進行評估。

正如日常運行中的系統(tǒng)都必須進行定期進行檢查，以確保在一定的時間內(nèi)和相關(guān)信息系統(tǒng)沒有問題保持其運行的穩(wěn)定，現(xiàn)有的安全設(shè)備也逐漸越來越多地進行頻繁的審查，防止可能存在的漏洞或者安全隱患。在這一系列的測試與檢查中，一種更加綜合性的安全測試正悄然而生，以用來幫組相關(guān)的安全人員對相關(guān)的安全系統(tǒng)及安全策略進行評估，以便相關(guān)的人員了解自己信息系統(tǒng)的存在哪些可以利用的優(yōu)勢性能或者不足。

為了達到全面的測試檢測效果，在目前這類型的安全測試中，先由系統(tǒng)架構(gòu)師對整個總體的系統(tǒng)進行分析驗證，從基礎(chǔ)框架開始對整個系統(tǒng)進行測試，查找被測系統(tǒng)的不足或者潛在的各種問題，并針對不同的相關(guān)功能進行具體性質(zhì)的安全檢測；最后再投入試運行在運行過程中找出潛在的問題與不足。現(xiàn)今許多的軟件開發(fā)商也已開始在自己的產(chǎn)品中整合上軟件的自我測試功能，以幫助客戶確保其軟件系統(tǒng)運作正常。但這一情況存在著一定的片面性，因為大部分這些測試通常旨在確保用戶在產(chǎn)品能在完成最基礎(chǔ)的功能的情況下順利運行而已，而不是積極尋求全方位的進行測試，大多數(shù)并沒有對于潛在安全風險進行相關(guān)的測試工作。

在這個問題上，很多的安全人員與專家們認識到，進行獨立的技術(shù)測試，能最全面和客觀地檢測到潛在的風險。

目前流行的用來最普遍的進行安全檢測及進行定期系統(tǒng)自我檢查的獨立檢測方式有如下三種：

1．源代碼分析檢測針對軟件開發(fā)的底層代碼進行相應(yīng)的檢測；

2．漏洞掃描檢測針對網(wǎng)絡(luò)基礎(chǔ)設(shè)備或者相關(guān)的網(wǎng)絡(luò)應(yīng)用程序進行相關(guān)的漏洞掃描，以便查明在其網(wǎng)絡(luò)的應(yīng)用上是否配置不當存在漏洞或者潛在的威脅；

3．安全性測試系統(tǒng)模擬真實的使用環(huán)境，以最真實地暴露系統(tǒng)安全弱點，并對軟件的安全功能及安全政策的有效性進行測試分析，并制定相

應(yīng)的防災(zāi)應(yīng)對機制以減輕相應(yīng)的軟件安全問題。

根據(jù)近一階段發(fā)表的報告6，相當多的機構(gòu)開始對自身的系統(tǒng)環(huán)境進行更積極主動的評測，特別是漏洞測試方面。將測試所獲得的信息結(jié)合以往的數(shù)據(jù)，通過制定安全事件處理優(yōu)先級的方式來降低安全系統(tǒng)的運行風險，從而提高安全系統(tǒng)的性能，以及滿足外部評審的要求。許多安全測試系統(tǒng)的支持者，包括許多大型的安全機構(gòu)都聲稱，他們目前使用的技術(shù)已經(jīng)使他們具備對安全事件的操作定位能力8，對于相關(guān)的安全問題，能夠進行有效的標記和進行處理優(yōu)先級的劃分。相應(yīng)的未能主動進行安全測試的公司其商務(wù)上的合作伙伴及客戶會逐漸認識到其存在技術(shù)上的落伍。

IT行業(yè)分析師，安全審計和相關(guān)的業(yè)者都將采用公認的漏洞評估與檢測能力樣本對系統(tǒng)進行評估，并針對現(xiàn)實中所采集到的實時指標做出在不同安全等級要求的可視圖表報告。

比如說，作為PCI DSS標準的一部分(需要所有商業(yè)貸款或信用卡交易提供可靠的電子數(shù)據(jù)安全性)，從事這方面業(yè)務(wù)的銀行部門都被要求進行在系統(tǒng)和應(yīng)用上進行此類的測試6(包括以上列舉的三種檢測方式)以降低信息泄露的風險。

目前許多機構(gòu)都有每年聘請外部顧問常駐，或者進行兩年一度的安全測試，然而許多的專家都開始認為進行主動的自我評估是最理想的方式9：一來可以經(jīng)常性地進行來保障安全工作的有效；二來，日常的測評的記錄也能夠為每年一度的測評工作作出補充。對應(yīng)的測試系統(tǒng)還可以依照不同的評測標準為機構(gòu)提供相關(guān)的參考，這方面已開始接近許多專業(yè)服務(wù)公司提供的信息分析服務(wù)內(nèi)容了。并且這項技術(shù)是在眾多專家對于漏洞分析的長期工作總結(jié)出的最有效方法的基礎(chǔ)上建立起來的，能夠從數(shù)據(jù)方面檢測相關(guān)的安全工作是否達到原來預(yù)期的目標。

不難看出，基于以上的種種原因，所有這些采用的安全測試技術(shù)的跡象都表明，越來越成為當今普遍的檢測方式；而且就目前的效果而言，這正在迅速成為漏洞評估的最基本最有效的方法。更甚一步，安全測試系統(tǒng)工作范圍十分廣泛，將安全測試系統(tǒng)整合進其它領(lǐng)域似乎也是十分合乎情理的，或者說安全測試可以很容易地與其他類似的技術(shù)進行結(jié)合。在不久的未來也許這類檢測機制就能夠按照使用者的需要在不同領(lǐng)域不同系統(tǒng)的要求下對系統(tǒng)進行自我檢測，而相關(guān)的檢測機構(gòu)也可以不用專門為了某個安全系統(tǒng)進行定制測試內(nèi)容而在那個領(lǐng)域進行主動深入的了解分析。

五、對綜合測試的結(jié)論及展望

綜合測試為組織在安全方面的檢測能力提供保證，能使他們快速準確地找出系統(tǒng)中存在的弱點與不足，讓被檢測的單位可以根據(jù)檢測報告進行有針對性的安全工作，使得安全工作方面在人力與財力做到有的放矢。而且在用戶終端、網(wǎng)絡(luò)，所進行的綜合的，多層次的測試為最終用戶和企業(yè)提供全面，集中的方法來進行安全管理。

與只參與軟件開發(fā)過程的源代碼分析工具或是提供組織長期列出潛在的弱點的漏洞掃描工作不同的是，全面的安全測試軟件解決方案的可以協(xié)助用戶對重大風險中的數(shù)據(jù)進行操作，使用戶能在第一時間內(nèi)對嚴重的問題做出反應(yīng)。

目前許多平臺進行評估的方式是讓各種安全機構(gòu)在系統(tǒng)不同的部分進行獨立的漏洞檢測，如針對Web應(yīng)用程序的漏洞檢查就是個很好的例子說明這點。但只有綜合性的安全測試則是一種綜合性的安全檢查評估方式，它從底層設(shè)備乃至最終的用戶安全策略開始抓起，反復對可能存在風險的問題進行檢測，并對出現(xiàn)的問題做出適當?shù)难a救和反應(yīng)。

許多的漏洞檢測機構(gòu)在完成工作后會提供一份關(guān)于漏洞的解決報告，相關(guān)的單位機構(gòu)可以根據(jù)相應(yīng)的內(nèi)容對存在的問題進行解決改善。可以看到的是這項內(nèi)容已于作為一個具體的要求寫入PCI DSS標準的第11.3節(jié)10。

除了這些具體的要求，漏洞檢測系統(tǒng)也有助于從某些方面增加組織安全制度的可執(zhí)行性，讓相應(yīng)的防御機制和安全政策能更加廣泛地得到貫徹與執(zhí)行，這也使得綜合測試越來越成為安全技術(shù)領(lǐng)域所推崇的做法。在復雜的威脅面前，嚴格遵守法規(guī)和生產(chǎn)過度信息的傳統(tǒng)的安全系統(tǒng)已漸漸不能適應(yīng)需要，許多單位將考慮應(yīng)該如何將加強安全工作組織人員進行安全作為安全工作的重點，這顯然靠一個安全軟件是遠遠做不到的。

此外，無論是在目前或未來的時間里安全防范人員，執(zhí)行業(yè)者還是業(yè)務(wù)線管理人員都在努力積極地尋找著有助于他們降低潛在的安全問題的方法，以提高他們在信息方面的安全程度。目前由于安全方面的原因，行業(yè)在信息系統(tǒng)上提出了越來越多的需求，隨著第三方調(diào)查機構(gòu)對于入侵與數(shù)據(jù)丟失的調(diào)查的深入與增多，全面系統(tǒng)地進行安全測試也正在成為被各個機構(gòu)部門普遍接受并認為是高效且負責的做法

全面安全測試方案提供了能夠通過的最有效方法檢查出被測機構(gòu)系統(tǒng)中存在的最關(guān)鍵的漏洞，從而降低經(jīng)營風險，并確保系統(tǒng)的安全策略能有效地發(fā)揮作用。

安全工作的最迫切的目的就是，盡最大可能保護他們的工作和敏感的數(shù)據(jù)，而要做到這些就必須解決以下的重要問題，包括：

1．我們應(yīng)牢牢把握對我們來說重要的風險和漏洞存在的情況，及時對這些潛在的問題做出相應(yīng)的檢查與評估；

2．避免成為攻擊的目標，做好針對攻擊進行檢測的工作：

3保障現(xiàn)有的安全機制有效地運作，能直觀地對作出分析與判斷；

4．單位里的工作人員遵照單位制定的安全策略進行工作，對于安全策略中存在的不足進行改進，保證相應(yīng)的貫徹執(zhí)行。

這里所提出的這些問題，獨立的綜合性安全測試將提高系統(tǒng)的安全程度與反映速度，可以說主動進行綜合性安全測試的時代即將到來。