解析工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全滲透測試技術

李琪

【摘要】? ? 在新形勢下，隨著我國信息技術以及互聯(lián)網(wǎng)技術的深入發(fā)展，先進的科學技術逐漸與制造業(yè)進行深度融合，工業(yè)互聯(lián)網(wǎng)實現(xiàn)了快速地發(fā)展，能夠滿足工業(yè)智能化的發(fā)展需求。但在實際的應用過程中，如何構建網(wǎng)絡、平臺、安全三大功能體系，加強工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡安全，強化工業(yè)互聯(lián)網(wǎng)的安全保障成為了大眾廣為關注的話題。基于此，本文主要分析我國工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全存在的問題，并對網(wǎng)絡安全滲透測試技術進行分析，從而提高我國工業(yè)互聯(lián)網(wǎng)的安全水平。

【關鍵詞】? ? 工業(yè)互聯(lián)網(wǎng)? ? 網(wǎng)絡安全? ?滲透測試技術

引言：

在信息技術高度發(fā)展的今天，各種網(wǎng)絡技術以及技術產(chǎn)品不斷發(fā)展，逐漸融入到人們生產(chǎn)生活的各個領域，特別是在社會當中的重要性越來越受到關注，人們在很多環(huán)境下都需要使用到互聯(lián)網(wǎng)技術。在這樣的背景下，就導致網(wǎng)絡技術不斷發(fā)展，為人民群眾帶來更高便捷性的同時，也提升了黑客攻擊的可能性，極大的影響輔導人們的日常使用。因此，要加強工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡安全，彌補工業(yè)互聯(lián)網(wǎng)的安全漏洞，抵抗黑客入侵和攻擊。

一、我國工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全存在的問題

工業(yè)互聯(lián)網(wǎng)能夠滿足工業(yè)的智能化發(fā)展需求，能夠讓工業(yè)發(fā)展跟隨著時代和社會進步的步伐，具有覆蓋面廣、可靠性高、延時性低的特點，是信息技術與先進制造業(yè)深度融合的產(chǎn)物，在我國國民經(jīng)濟發(fā)展中具有重要的地位。也正是工業(yè)互聯(lián)網(wǎng)的重要性，使它成為網(wǎng)絡攻擊的首要目標，黑客入侵、網(wǎng)絡攻擊事件不斷出現(xiàn)，相比較西方一些先進國家而言，我國在工業(yè)互聯(lián)網(wǎng)領域的起步較晚，使得網(wǎng)絡的整體安全性不足，出現(xiàn)大量的漏洞，在一些先進技術的會用上也存在著較為明顯的差距，因此當下在主要的領域當中，有著幾方面網(wǎng)絡安全問題：

1.1核心技術發(fā)展不足

我國工業(yè)規(guī)模非常龐大，產(chǎn)業(yè)密集集群性較高，在新形勢下得到了迅速地發(fā)展和推廣，但在工業(yè)互聯(lián)網(wǎng)的核心領域比如核心芯片、公共系統(tǒng)以及相應的公共軟件一直受制于人，從西方先進國家進行引進，本國的工業(yè)市場擁有的自身核心技術和科技產(chǎn)品較少，在進行網(wǎng)絡安全工作時，容易受制于人，不利于我國工業(yè)互聯(lián)網(wǎng)的安全發(fā)展。因此，我國要加強核心技術的研發(fā)和創(chuàng)新，并不利于我國當下的網(wǎng)路空間技術的發(fā)展，因此就需要在未來發(fā)展中，提升對該領域技術的研發(fā)。

1.2網(wǎng)絡安全問題不夠重視

目前，我國工業(yè)互聯(lián)網(wǎng)雖然得到了大規(guī)模的發(fā)展，但工業(yè)互聯(lián)網(wǎng)企業(yè)普遍缺乏網(wǎng)絡安全意識，對網(wǎng)絡安全重視程度不高，往往重視經(jīng)營管理工作，重視獲取企業(yè)的經(jīng)濟效益，卻忽略了相應互聯(lián)網(wǎng)產(chǎn)品以及機器設備的功能，導致我國工業(yè)互聯(lián)網(wǎng)安全隱患越來越突出，造成了一系列的安全問題，不利于我國工業(yè)互聯(lián)網(wǎng)的持續(xù)發(fā)展和壯大。其次，我國工業(yè)互聯(lián)網(wǎng)雖然得到了大規(guī)模普及，但發(fā)展速度過快，也導致相應的專業(yè)技術人員匹配程度不高，專業(yè)人才儲備缺乏，但為了適應工業(yè)互聯(lián)網(wǎng)的發(fā)展，部分企業(yè)聘請了一些專業(yè)資質(zhì)不高的工作人員或是從其他工作部門臨時調(diào)配工作人員進行網(wǎng)絡安全維護工作，不僅沒有達到工業(yè)互聯(lián)網(wǎng)安全工作的目標，沒有對工業(yè)互聯(lián)網(wǎng)的安全進行保障，還會增加企業(yè)的投資成本，造成人力資源的浪費。

1.3安全防護能力較弱

在實際應用過程中，我國部分企業(yè)在工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡安全方面防護能力較弱，普遍缺乏專業(yè)的防護措施和防護技術，沒有及時地對工業(yè)互聯(lián)網(wǎng)存在的漏洞進行填補，給黑客侵入以及非法分子攻擊提供了契機，影響了我國工業(yè)互聯(lián)網(wǎng)安全。其次，傳統(tǒng)工業(yè)在與互聯(lián)網(wǎng)進行連接時，沒有按照規(guī)定的標準和流程進行，埋下了安全隱患，如果缺乏相應的安全防護手段，沒有及時清理安全隱患，就會導致我國工業(yè)互聯(lián)網(wǎng)以及相關系統(tǒng)處于“裸奔”的狀態(tài)，不能夠實現(xiàn)工業(yè)互聯(lián)網(wǎng)的優(yōu)勢和積極作用，給工業(yè)企業(yè)自身安全以及信息安全帶來了嚴重的威脅[1]。

二、網(wǎng)絡滲透測試技術分析

2.1端口掃描技術

在當下工業(yè)互聯(lián)網(wǎng)體系當中，其端口就是一種互聯(lián)網(wǎng)在運行中的進程地址，而相關數(shù)據(jù)的出現(xiàn)，則是需要在到達計算機端之后，基于端口當中的地質(zhì)，將其信息數(shù)據(jù)傳遞到服務進程當中。在端口掃描的過程中，可以實現(xiàn)對地質(zhì)端口的掃描，因此確定出目標系統(tǒng)的基本信息，以及對其開放的服務類型進行分析之后，工作人員可以根據(jù)調(diào)查分析，及時找出目標系統(tǒng)可能存在的安全漏洞和安全弱點，為網(wǎng)絡滲透提供基礎和依據(jù)。其次，端口掃描技術是滲透測試技術的基礎，在實踐應用過程中得到了規(guī)范的推廣和應用，常用的端口掃描工具主要有SSPort、ScanPort等[2]。

2.2漏洞掃描技術

安全漏洞是影響工業(yè)互聯(lián)網(wǎng)正常運行的重要影響因素，在新形勢下網(wǎng)絡安全問題引發(fā)了越來越多人的關注。隨著我國先進科學技術發(fā)展的同時，導致安全漏洞被利用的速度越來越快，利用程度越來越高，破壞效果以及影響也越來越大。因此，在進行工業(yè)互聯(lián)網(wǎng)的安全保護工作時，也要使用漏洞掃描技術，檢測目標系統(tǒng)的脆弱性和安全性，發(fā)現(xiàn)目標系統(tǒng)存在的漏洞并針對安全漏洞進行進一步的滲透測試，從而明確工業(yè)互聯(lián)網(wǎng)的薄弱地點。漏洞掃描技術相比較端口掃描技術更加先進，效率更高，這樣更加有效的獲取到更多的端口上處于監(jiān)控狀態(tài)的服務信息。在接下來的分析過程中，以及相對應的版本中的安全性，以及一些錢在的安全漏洞問題，也會得到進一步的分析。當下進行漏洞掃描技術的試用下，是一種對工業(yè)互聯(lián)網(wǎng)的內(nèi)外同時開展的掃描工作，進行外部掃描的過程中，是一種基于真實環(huán)境下的操作方式，因此可以實現(xiàn)外部特征的全方位掃描處理，之后對服務器進行各種類型端口的檢查，對已經(jīng)知曉的漏洞等進行及時地檢測和維護。內(nèi)部掃描可以從系統(tǒng)內(nèi)部出發(fā)去檢測系統(tǒng)內(nèi)部的軟件配置，檢查軟件配置的缺陷以及存在的漏洞，及時發(fā)現(xiàn)系統(tǒng)內(nèi)部存在的錯誤配置以及容易受攻擊的配置，從而達到安全防護的目的，達到網(wǎng)絡安全的目標。常用的漏洞掃描技術主要有HTTP漏洞掃描、SSH漏洞掃描、FTP漏洞掃描等。常用的工具有Windows、Scanner等[3]。

2.3緩沖區(qū)溢出技術

緩沖區(qū)的溢出攻擊，就是一種基于緩沖區(qū)的基本原理，對其攻擊技術進行研究。緩沖區(qū)就是一種在程序進行實際分配的過程中，將其臨時存放數(shù)據(jù)信息的區(qū)域。而緩沖區(qū)的溢出，也是一種程序的緩沖區(qū)，因此在進入到緩沖區(qū)長度的數(shù)據(jù)之后，其超出了應有的長度范疇，就會直接導致相關數(shù)據(jù)出現(xiàn)一定的溢出問題。另外，在溢出之后，由于破壞了程序的數(shù)據(jù)存放區(qū)域，直接導致程序出現(xiàn)了一定程度轉變，因此就是的對其供給目的造成了影響。程序當中的內(nèi)存，基本上可以分為出程序段、數(shù)據(jù)段、堆棧這三部分。在各類網(wǎng)絡安全威脅中，被廣泛利用的就是緩沖區(qū)溢出攻擊，黑客常常會利用堆棧溢出為契機，在函數(shù)返回時改變程序的地址和命令，讓程序運行非法指令達到攻擊的目的，、篡改甚至刪除目標系統(tǒng)中的數(shù)據(jù)信息，對工業(yè)互聯(lián)網(wǎng)的安全造成了極大的影響和威脅。

2.4 SQL注入技術

SQL注入技術，就是一種利用特殊的SQL依據(jù)，當做傳輸過程中的參數(shù)，并將其傳輸?shù)匠绦虍斨?，同時也利用執(zhí)行特殊的SQL語句，對其執(zhí)行攻擊者所需要的各種操作與步驟，進行針對性的操作。在使用SQL注入技術是程序開發(fā)者， 并沒有針對用戶的輸入相關數(shù)據(jù)信息，進行針對性的判斷與分析，因此就導致其評估信息的過程中，無法確定合法性與準確性，進而導致在日后的實際使用過程中，出現(xiàn)一定的安全隱患。黑客針對這一漏洞會向應用程序提交一段SQL查詢代碼，然后讓程序運行這串代碼，黑客通過查詢程序返回的結果和數(shù)據(jù)就能夠獲得想要知道的內(nèi)容，從而破壞了工業(yè)互聯(lián)網(wǎng)的安全性和保密性，造成了嚴重的信息危機。對于SQL技術而言，由于自身的技術難度不高，但是危害性較高，就使得能夠輕易的利用免費的SQL技術，就對部分目標系統(tǒng)的網(wǎng)站或應用程序進行攻擊，對人們的生產(chǎn)生活甚至是企業(yè)的發(fā)展造成了嚴重的影響。

2.5木馬攻擊技術

木馬攻擊技術危害性較高，隱蔽性較強，因此能夠對工業(yè)互聯(lián)網(wǎng)的安全性以及保密性造成極大的影響和威脅，不僅能夠篡改甚至是刪除目標系統(tǒng)中的數(shù)據(jù)信息，甚至還會影響計算機的使用，造成計算機的全面癱瘓。木馬攻擊技術主要有兩部分組成，第一部分是服務端程序，第二部分是客戶端程序。服務端程序通常被安裝在目標計算機上，客戶端程序主要安裝在攻擊者計算機上，在應用木馬攻擊技術時會將服務端程序以及客戶端程序進行有效的連接，從而實現(xiàn)對目標計算機的遠程控制，掌握目標計算機中的各種信息，甚至篡改信息，對目標系統(tǒng)造成了極大的危害，影響我國工業(yè)互聯(lián)網(wǎng)的發(fā)展。

2.6網(wǎng)絡滲透測試流程

網(wǎng)絡滲透測試技術，就是將一種對于黑客進行攻擊行為模擬分析，以此可以收集到更多的數(shù)據(jù)信息，盡可能多地獲得想要參透目標的信息，從而根據(jù)這些信息和數(shù)據(jù)不斷完善安全防護體系，增強工業(yè)互聯(lián)網(wǎng)的安全性能。比如從在社會工程學的角度出發(fā)，需要對目標公司在網(wǎng)站、文件等類型的資料信息當中，進行各種有滲透價值信息的獲取與采集，比如進行服務器種類、系統(tǒng)平臺以及各種相關信息的獲取，這樣便可以很好的實現(xiàn)目標信息的掃描以及處理。之后，還需要對其目標公司的服務器端口進行掃描，以此更加明確的了解到公司計算機系統(tǒng)當中存在的諸多漏洞問題，同時結合起公司發(fā)布的一些漏洞報告，可以推測出可能出現(xiàn)的漏洞問題，實現(xiàn)針對性的攻擊?？焖僬业綕B透的重點，然后根據(jù)相應的實際情況選擇不同的滲透技術可以通過緩沖區(qū)溢出攻擊、SQL注入攻擊、或者木馬攻擊等攻擊形式對目標工業(yè)互聯(lián)網(wǎng)進行滲透攻擊，從而有效獲得目標系統(tǒng)的控制權，達到滲透測試的目的。

三、結束語

綜上所述，網(wǎng)絡安全滲透測試是一種主動式的網(wǎng)絡安全防控方法，應該引起用戶以及工業(yè)互聯(lián)網(wǎng)的重視，不僅要加強網(wǎng)絡安全滲透測試的應用，還要不斷進行理論和研究創(chuàng)新，要對滲透測試技術以及測試流程進行分析和總結，不斷學習和從事網(wǎng)絡滲透測試，提高我國工業(yè)互聯(lián)網(wǎng)的安全性。

參考文獻：

[1]金世堯，劉俊.工業(yè)互聯(lián)網(wǎng)在局域網(wǎng)中的安全問題剖析[J].科技風，2021（13）：95-96.

[2]陳坤華.工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全滲透測試技術研究[J].網(wǎng)絡安全技術與應用，2020（04）：124-126.

[3]張志華.基于滲透測試的網(wǎng)絡安全漏洞實時偵測技術[J].科學技術與工程，2018，18（20）：297-302.

參? 考? 文? 獻

[1]金世堯，劉俊.工業(yè)互聯(lián)網(wǎng)在局域網(wǎng)中的安全問題剖析[J].科技風，2021（13）：95-96.

[2]陳坤華.工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全滲透測試技術研究[J].網(wǎng)絡安全技術與應用，2020（04）：124-126.

[3]張志華.基于滲透測試的網(wǎng)絡安全漏洞實時偵測技術[J].科學技術與工程，2018，18（20）：297-302.