張驕 劉艦

【摘要】滲透檢測作為一種新的網(wǎng)絡(luò)安全技術(shù)，對(duì)網(wǎng)絡(luò)安全具有重要的現(xiàn)實(shí)意義。滲透檢測作為一種專業(yè)的服務(wù)安全性在國外應(yīng)用越來越廣泛，中國的大多數(shù)企業(yè)都不了解滲透檢測的意義，只有少數(shù)從事安全工作的資訊公司能成功通過滲透測試。事實(shí)上，內(nèi)部滲透試驗(yàn)無論從理論上還是實(shí)踐上與國外先進(jìn)水平相比都還處于初始階段。本研究的目的是介紹信息系統(tǒng)審計(jì)的發(fā)展現(xiàn)狀及滲透測試對(duì)滿足當(dāng)前信息系統(tǒng)審計(jì)需求的意義，并總結(jié)了信息系統(tǒng)審計(jì)中重要的滲透測試方法，建議采用滲透測試方法進(jìn)行安全性評(píng)價(jià)。

【關(guān)鍵詞】信息系統(tǒng)審計(jì);滲透測試;關(guān)鍵技術(shù);方法

一、信息系統(tǒng)審計(jì)發(fā)展的現(xiàn)狀

信息時(shí)代企業(yè)的經(jīng)營管理和產(chǎn)品銷售依賴于信息系統(tǒng)和網(wǎng)絡(luò)環(huán)境，但是，由于信息系統(tǒng)自身的特點(diǎn)，控制信息系統(tǒng)在環(huán)境中的運(yùn)行所帶來的風(fēng)險(xiǎn)，對(duì)于審計(jì)造成風(fēng)險(xiǎn)越來越大，這與基于會(huì)計(jì)系統(tǒng)和客戶內(nèi)部信息系統(tǒng)的新特性有關(guān)。[1]通過更多地使用計(jì)算機(jī)和網(wǎng)絡(luò)，經(jīng)過多年的發(fā)展和進(jìn)步，中國的信息系統(tǒng)審計(jì)工作取得了一定的共識(shí)，國內(nèi)企業(yè)和學(xué)術(shù)界對(duì)信息系統(tǒng)審計(jì)的理論和實(shí)踐研究取得了一定的成果。

（一）審計(jì)信息化投資持續(xù)增長

近年來，國家高度重視審計(jì)信息化，國家各級(jí)審計(jì)機(jī)關(guān)信息化建設(shè)投入逐年增加，許多地方審計(jì)機(jī)關(guān)都配備了電腦，主要集中在硬件布局上，同時(shí)開始開發(fā)審計(jì)軟件，但在培訓(xùn)檢查員的過程中，資金仍然不足。許多當(dāng)?shù)貦z查員都有計(jì)算機(jī)，但僅僅是簡單的取樣工作，無法對(duì)信息系統(tǒng)進(jìn)行審計(jì)。此外，由于我國的特殊情況，東西部地區(qū)特別是西部邊遠(yuǎn)地區(qū)發(fā)展不平衡。

（二）審計(jì)管理信息化建設(shè)初見成效

隨著國家信息化進(jìn)程的推進(jìn)，各級(jí)政府機(jī)關(guān)信息化水平不斷提高，而審計(jì)系統(tǒng)也不例外。目前，在國家審計(jì)署的底層，國家各級(jí)機(jī)關(guān)都建立了自己的局域網(wǎng)，建立了因特網(wǎng)上的官方網(wǎng)站。[2]各級(jí)審計(jì)機(jī)構(gòu)之間建立網(wǎng)絡(luò)有助于它們之間交流信息和文件。

（三）信息系統(tǒng)軟件開發(fā)走向商品化

由于建立信息系統(tǒng)的延誤，許多管理人員對(duì)風(fēng)險(xiǎn)認(rèn)識(shí)不足，國內(nèi)企業(yè)信息系統(tǒng)審計(jì)服務(wù)需求連續(xù)下降，導(dǎo)致國內(nèi)市場萎縮，軟件公司對(duì)這個(gè)小市場的功能審計(jì)軟件開發(fā)缺乏熱情。目前國內(nèi)審計(jì)機(jī)構(gòu)的研發(fā)能力薄弱，難以測試其軟件測試能力。

二、信息系統(tǒng)審計(jì)中滲透測試的意義

滲透測試俗稱安全評(píng)估。所謂的滲透測試是指評(píng)估人員扮演黑客的角色，以攻擊企業(yè)的網(wǎng)絡(luò)，根據(jù)黑客的想法和專家們自己的經(jīng)驗(yàn)，模擬黑客進(jìn)入企業(yè)網(wǎng)絡(luò)。發(fā)現(xiàn)黑客能在公司網(wǎng)絡(luò)上能做些什么，可以得到什么有價(jià)值的信息。評(píng)估人員可以發(fā)現(xiàn)企業(yè)安全系統(tǒng)的缺陷。這項(xiàng)測試的結(jié)果必須準(zhǔn)備好并向客戶提供安全報(bào)告，并提供建議和證據(jù)。滲透測試不僅僅是風(fēng)險(xiǎn)評(píng)估的一部分，成功的滲透測試可以檢測到企業(yè)網(wǎng)絡(luò)中最脆弱的部分。滲透測試可以從系統(tǒng)外部模擬真正的攻擊者，不像從系統(tǒng)管理者角度考慮系統(tǒng)的安全性，滲透試驗(yàn)報(bào)告可作為評(píng)估風(fēng)險(xiǎn)的重要原始數(shù)據(jù)，可為網(wǎng)絡(luò)安全總體形勢提供具體證據(jù)，用于投資者或管理者。

三、信息系統(tǒng)審計(jì)中滲透測試關(guān)鍵技術(shù)研究

計(jì)算機(jī)網(wǎng)絡(luò)滲透測試通過結(jié)合測試者自身的經(jīng)驗(yàn)，模擬黑客攻擊，來測試系統(tǒng)-對(duì)象安全的薄弱環(huán)節(jié)。因此，具體的滲透測試方法基本上等同于破解方法，攻擊過程主要分為兩個(gè)階段，即：

（一）預(yù)攻擊階段滲透測試技術(shù)

目前，地址掃描分析方法已被許多使用ICMP協(xié)議的掃描方法所采用。當(dāng)網(wǎng)絡(luò)協(xié)議部分發(fā)生錯(cuò)誤時(shí)，收件人將自動(dòng)生成ICMP錯(cuò)誤消息。如果在IP消息中發(fā)現(xiàn)代碼或版本驗(yàn)證錯(cuò)誤，目標(biāo)服務(wù)器將刪除該分組。[4]

操作系統(tǒng)檢測方法可根據(jù)檢測程序分為被動(dòng)檢測協(xié)議和主動(dòng)檢測協(xié)議。根據(jù)無源協(xié)議，并使用現(xiàn)有工具檢測操作系統(tǒng)并分析其漏洞。通過檢測遠(yuǎn)程節(jié)點(diǎn)而不是被動(dòng)操作系統(tǒng)。其主要目的是捕獲從遠(yuǎn)程節(jié)點(diǎn)發(fā)送的分組，并基于該子群獲取一些操作系統(tǒng)信息。主動(dòng)控制原理利用TCP/IP協(xié)議的網(wǎng)絡(luò)特性，在與TCP的通信中，使用不同的識(shí)別操作系統(tǒng)，在分析后出現(xiàn)在TCP/IP組中的操作系統(tǒng)可以被精確識(shí)別。

脆弱性分析是對(duì)當(dāng)前系統(tǒng)的脆弱性進(jìn)行分析，并在確保找出潛在的危險(xiǎn)和可能的安全漏洞安全?；魻枓呙璋▋?nèi)部和外部掃描，通過網(wǎng)絡(luò)進(jìn)行外部掃描，網(wǎng)絡(luò)使用服務(wù)器掃描作為外部屬性，自動(dòng)定義服務(wù)端口并提供服務(wù)。

（二）攻擊階段滲透測試技術(shù)

拒絕提供服務(wù)的主要目的，是防止電腦系統(tǒng)或互聯(lián)網(wǎng)系統(tǒng)無法正常運(yùn)作，包括通信攻擊和寬帶網(wǎng)絡(luò)攻擊。在單位時(shí)間內(nèi)請(qǐng)求相當(dāng)數(shù)量的連接時(shí)，會(huì)給包括網(wǎng)絡(luò)資源和操作系統(tǒng)資源造成巨大壓力。攻擊是根據(jù)系統(tǒng)的脆弱性和對(duì)目標(biāo)系統(tǒng)的直接攻擊來執(zhí)行。最常用的是緩沖區(qū)。在這些攻擊中，使用了ARP欺騙、IP欺騙、網(wǎng)絡(luò)欺騙等方法。在報(bào)告MAC地址網(wǎng)絡(luò)錯(cuò)誤后，無法通過Internet正常獲取返回信息，并欺騙了被篡改的PC發(fā)送數(shù)據(jù)的網(wǎng)關(guān)。

網(wǎng)絡(luò)監(jiān)視器設(shè)計(jì)用于攔截?cái)?shù)據(jù)流和傳輸網(wǎng)絡(luò)內(nèi)容。通過偵聽端口傳輸?shù)男畔⒂晒粽叻治?，而信息如果能控制網(wǎng)絡(luò)，網(wǎng)絡(luò)可以在的任何地方被監(jiān)聽，但最好是網(wǎng)關(guān)、路由器，防火墻等等。

四、信息系統(tǒng)審計(jì)中滲透測試方法研究

目前，許多國家滲透檢測機(jī)構(gòu)為目標(biāo)用戶提供滲透檢測服務(wù)。這會(huì)對(duì)提高用戶的安全意識(shí)，填補(bǔ)用戶安全系統(tǒng)的空白，減少用戶網(wǎng)絡(luò)攻擊造成的破壞。

（一）外網(wǎng)測試

首先，黑客總是從網(wǎng)絡(luò)的外側(cè)開始攻擊。這樣從黑客的角度來看，滲透測試人員也處于一個(gè)完整的外網(wǎng)中，通過互聯(lián)網(wǎng)進(jìn)入目標(biāo)網(wǎng)絡(luò)，模仿外部攻擊者的行為。外部網(wǎng)絡(luò)測試分為黑匣子和秘密測試兩類。用戶可要求控制測試過程過濾整個(gè)網(wǎng)絡(luò)，然后使用黑匣子進(jìn)行測試，而不是秘密測試。

外部網(wǎng)絡(luò)測試的主要參數(shù)包括對(duì)網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程攻擊。驗(yàn)證密碼管理的安全性。驗(yàn)證網(wǎng)站和其他開放應(yīng)用程序的安全性。在外部網(wǎng)絡(luò)上發(fā)現(xiàn)的漏洞對(duì)網(wǎng)絡(luò)是致命的，這意味著黑客可以從外部攻擊用戶網(wǎng)絡(luò)，應(yīng)立即糾正網(wǎng)絡(luò)的缺陷。

（二）內(nèi)網(wǎng)測試

內(nèi)部網(wǎng)絡(luò)測試主要模擬兩種場景：一是外部攻擊者通過獲得網(wǎng)絡(luò)中的共享用戶權(quán)限成功地滲透到網(wǎng)絡(luò)中，但應(yīng)在獲得網(wǎng)絡(luò)超級(jí)用戶權(quán)限之前。二是內(nèi)部網(wǎng)絡(luò)測試模擬外部和外部攻擊者跨越網(wǎng)絡(luò)防火墻邊界的可能攻擊。

（三）網(wǎng)間測試

如果攻擊者完全控制網(wǎng)絡(luò)的某一部分，網(wǎng)絡(luò)間測試允許其在突破后評(píng)估子網(wǎng)對(duì)其他子網(wǎng)的影響。此外，為了評(píng)估交換機(jī)和路由器的安全性，通?？梢允褂每缇W(wǎng)絡(luò)測試來完成。

參考文獻(xiàn)：

[1]申亞君.大數(shù)據(jù)環(huán)境下的信息系統(tǒng)審計(jì)分析[J].無線互聯(lián)科技，2020，17（01）：40-41.

[2]陳躍輝.滲透測試在網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)中的應(yīng)用探討[J].網(wǎng)絡(luò)安全和信息化，2021（07）：36-38.