公務(wù)員期刊網(wǎng) 論文中心 正文

數(shù)據(jù)加密技術(shù)下的計(jì)算機(jī)網(wǎng)絡(luò)安全

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了數(shù)據(jù)加密技術(shù)下的計(jì)算機(jī)網(wǎng)絡(luò)安全范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。

數(shù)據(jù)加密技術(shù)下的計(jì)算機(jī)網(wǎng)絡(luò)安全

摘要:滲透測(cè)試作為網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)的一種補(bǔ)充和驗(yàn)證,能夠?qū)Φ缺y(cè)評(píng)的風(fēng)險(xiǎn)判定和結(jié)論形成提供有力的支撐。本文從滲透測(cè)試的方法、使用的工具、實(shí)施流程和結(jié)果等方面,闡述了滲透測(cè)試在網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中的應(yīng)用以及對(duì)于等級(jí)保護(hù)測(cè)評(píng)結(jié)論的影響,為等級(jí)保護(hù)中的滲透測(cè)試實(shí)施和結(jié)果的應(yīng)用提供了參考。

關(guān)鍵詞:等級(jí)保護(hù);滲透測(cè)試;灰盒測(cè)試

自1994年國(guó)務(wù)院頒布《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)以來(lái),等級(jí)保護(hù)工作經(jīng)過(guò)了近25年的發(fā)展歷程,中途經(jīng)歷了工作試點(diǎn)、管理辦法、1.0標(biāo)準(zhǔn)、標(biāo)準(zhǔn)修訂、2.0標(biāo)準(zhǔn)等歷程,成了我國(guó)網(wǎng)絡(luò)安全保護(hù)的重要舉措之一[1]。而與之伴隨的則是網(wǎng)絡(luò)安全與信息技術(shù)的飛速發(fā)展帶來(lái)的層出不窮的新漏洞與攻擊手段。為應(yīng)對(duì)這些新的挑戰(zhàn)與要求,在等級(jí)保護(hù)測(cè)評(píng)過(guò)程中合理應(yīng)用滲透測(cè)試手段,成了及時(shí)發(fā)現(xiàn)系統(tǒng)存在的安全風(fēng)險(xiǎn)、驗(yàn)證網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求的防護(hù)能力、落實(shí)網(wǎng)絡(luò)安全法對(duì)于網(wǎng)絡(luò)的安全防護(hù)要求的一個(gè)重要舉措。

1滲透測(cè)試概述及流程

1.1滲透測(cè)試概述

滲透測(cè)試主要是由測(cè)試人員通過(guò)模擬黑客的真實(shí)攻擊手段,結(jié)合掌握的漏洞信息、攻擊方法、攻擊策略等,對(duì)目標(biāo)系統(tǒng)采用工具和人工的方式進(jìn)行脆弱性分析和利用的過(guò)程[2]。在這個(gè)過(guò)程中,測(cè)試人員會(huì)靈活運(yùn)用所掌握的各類方式,以期發(fā)現(xiàn)通過(guò)單一工具測(cè)試、漏洞掃描等自動(dòng)化檢測(cè)手段難以檢測(cè)到的、可以被利用的“系統(tǒng)脆弱性”,因此對(duì)于工具測(cè)試是一種更全面和更準(zhǔn)確的補(bǔ)充[3]。同時(shí)又由于滲透測(cè)試通常是基于授權(quán)的黑盒或灰盒測(cè)試,因此又具有危害低的特點(diǎn)。

1.2滲透測(cè)試流程

網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程中的滲透測(cè)試與傳統(tǒng)的滲透測(cè)試有一定的區(qū)別,在項(xiàng)目實(shí)施的過(guò)程中,滲透測(cè)試往往是伴隨著等級(jí)保護(hù)測(cè)評(píng)現(xiàn)場(chǎng)測(cè)評(píng)階段開(kāi)展的,以對(duì)等級(jí)保護(hù)測(cè)評(píng)的測(cè)評(píng)結(jié)果進(jìn)行補(bǔ)充。同時(shí)由于等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目的特性,測(cè)試人員對(duì)于被測(cè)系統(tǒng)的系統(tǒng)構(gòu)成、網(wǎng)絡(luò)運(yùn)營(yíng)者信息、管理人員信息、安全防護(hù)措施等都有一定程度的了解,而且還能夠獲得被測(cè)系統(tǒng)的特定賬號(hào),因此網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程中的滲透測(cè)試更像是一種介于灰盒和白盒之間的滲透測(cè)試[4]。那么在伴隨著現(xiàn)場(chǎng)測(cè)評(píng)階段的前提下,等級(jí)保護(hù)測(cè)評(píng)過(guò)程中的滲透測(cè)試往往會(huì)與等級(jí)保護(hù)測(cè)評(píng)流程相結(jié)合,可以分為如下幾個(gè)步驟:(1)現(xiàn)場(chǎng)授權(quán)在等級(jí)保護(hù)測(cè)評(píng)的測(cè)評(píng)準(zhǔn)備階段,測(cè)評(píng)項(xiàng)目組會(huì)連同等級(jí)保護(hù)現(xiàn)場(chǎng)測(cè)評(píng)組,向被測(cè)單位申請(qǐng)滲透測(cè)試的授權(quán),以確定在此次項(xiàng)目實(shí)施的過(guò)程中是否開(kāi)展?jié)B透測(cè)試工作,若不開(kāi)展則要求被測(cè)單位出具《自愿放棄驗(yàn)證測(cè)試聲明》。(2)信息收集在對(duì)被測(cè)系統(tǒng)開(kāi)展測(cè)試工作之前,通過(guò)收集等級(jí)保護(hù)測(cè)評(píng)相關(guān)信息、公開(kāi)信息查詢等方式,對(duì)被測(cè)系統(tǒng)的網(wǎng)絡(luò)構(gòu)成、資產(chǎn)構(gòu)成等信息進(jìn)行收集和整理,以便后續(xù)開(kāi)展?jié)B透測(cè)試。(3)測(cè)試實(shí)施根據(jù)前期收集到的信息和授權(quán)書(shū)中約定的時(shí)間,正式開(kāi)展?jié)B透測(cè)試,包含了人工測(cè)試和工具測(cè)試,可以從等級(jí)保護(hù)方案中約定的不同接入點(diǎn)進(jìn)行滲透測(cè)試,作為工具測(cè)試的補(bǔ)充和驗(yàn)證。(4)風(fēng)險(xiǎn)分析根據(jù)測(cè)試過(guò)程中發(fā)現(xiàn)的系統(tǒng)弱點(diǎn)以及利用的難易程度進(jìn)行風(fēng)險(xiǎn)分析,并與等級(jí)保護(hù)相關(guān)測(cè)評(píng)項(xiàng)關(guān)聯(lián)起來(lái),對(duì)等級(jí)保護(hù)測(cè)評(píng)進(jìn)行一定程度地補(bǔ)充。(5)報(bào)告編制整理前期的工作內(nèi)容,編制《滲透測(cè)試報(bào)告》。

2等級(jí)保護(hù)測(cè)評(píng)中滲透測(cè)試實(shí)施

對(duì)于網(wǎng)絡(luò)安全等級(jí)保護(hù)中的滲透測(cè)試,由于在測(cè)評(píng)初期已經(jīng)掌握了被測(cè)系統(tǒng)的資產(chǎn)情況、運(yùn)營(yíng)情況以及業(yè)務(wù)運(yùn)行情況,因此基本都采用灰盒測(cè)試的方式開(kāi)展?jié)B透測(cè)試工作。

2.1測(cè)評(píng)準(zhǔn)備階段

在測(cè)評(píng)準(zhǔn)備階段,滲透測(cè)試人員應(yīng)當(dāng)在項(xiàng)目經(jīng)理的帶領(lǐng)下,根據(jù)調(diào)研階段收集到的系統(tǒng)構(gòu)成、業(yè)務(wù)流程、測(cè)試需求等信息,進(jìn)行滲透測(cè)試的相關(guān)工具、腳本和策略的準(zhǔn)備,并且同被測(cè)系統(tǒng)運(yùn)維人員協(xié)商,做好測(cè)試和評(píng)估前的備份等準(zhǔn)備工作。在滲透測(cè)試中,常用到的工具主要有如表1所示幾大類。

2.2方案編制階段

在等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目的方案編制階段,滲透測(cè)試人員應(yīng)當(dāng)與測(cè)評(píng)人員相互協(xié)調(diào),確定滲透測(cè)試工作的實(shí)施策略、測(cè)試深度、開(kāi)展時(shí)間以及周期,配合測(cè)評(píng)人員共同完成現(xiàn)場(chǎng)測(cè)評(píng)工作的原始記錄收集以及滲透測(cè)試結(jié)果形成。

2.3現(xiàn)場(chǎng)測(cè)評(píng)階段

在現(xiàn)場(chǎng)測(cè)評(píng)階段,滲透測(cè)試人員根據(jù)前期約定好的測(cè)試時(shí)間、測(cè)試策略以及測(cè)試深度等開(kāi)展?jié)B透測(cè)試工作,通常采用如圖1步驟[5]。

2.4報(bào)告編制階段

滲透測(cè)試完成后,測(cè)試人員根據(jù)測(cè)試結(jié)果進(jìn)行風(fēng)險(xiǎn)分析,總結(jié)滲透測(cè)試過(guò)程、結(jié)果與修復(fù)方案,并編制《滲透測(cè)試報(bào)告》,交由等級(jí)保護(hù)測(cè)評(píng)人員作為等級(jí)保護(hù)測(cè)評(píng)結(jié)果和風(fēng)險(xiǎn)分析的參考與補(bǔ)充,進(jìn)而得出最終的等級(jí)保護(hù)測(cè)評(píng)結(jié)論。

2.5風(fēng)險(xiǎn)規(guī)避

因?yàn)闈B透測(cè)試是一種模擬黑客的行為,因此可能帶來(lái)的風(fēng)險(xiǎn)有:(1)對(duì)被測(cè)網(wǎng)站及服務(wù)器造成異常運(yùn)行或停機(jī)的可能;(2)被測(cè)網(wǎng)站和服務(wù)器的數(shù)據(jù)處理速度可能會(huì)減慢;(3)網(wǎng)絡(luò)的處理能力和傳輸速度可能會(huì)減慢;(4)可能會(huì)產(chǎn)生少部分測(cè)試數(shù)據(jù)。為最大程度規(guī)避上述風(fēng)險(xiǎn),可以采取以下規(guī)避措施:(1)滲透測(cè)試實(shí)施前,制訂測(cè)試方案與策略,經(jīng)過(guò)雙方協(xié)商和確認(rèn)后簽訂測(cè)試授權(quán),并提前做好被測(cè)系統(tǒng)備份工作以及應(yīng)急處置的準(zhǔn)備工作;(2)滲透測(cè)試期間,選擇合適的測(cè)試時(shí)間,并安排運(yùn)維人員實(shí)時(shí)監(jiān)控網(wǎng)站運(yùn)行情況,及時(shí)對(duì)出現(xiàn)的異常問(wèn)題進(jìn)行記錄和處置,盡可能減少滲透測(cè)試對(duì)正常業(yè)務(wù)運(yùn)行造成的影響;(3)對(duì)于攻擊策略,應(yīng)當(dāng)盡量選擇危害性較小的操作,只驗(yàn)證漏洞的存在或只進(jìn)行非危害性利用,而不對(duì)文件、數(shù)據(jù)和原有配置進(jìn)行操作,同時(shí)盡量避免采用DDoS等對(duì)被測(cè)系統(tǒng)帶來(lái)極大壓力的測(cè)試方法;(4)滲透測(cè)試實(shí)施后,測(cè)試人員確認(rèn)清理測(cè)試數(shù)據(jù)及殘留后門程序等,并確認(rèn)網(wǎng)站運(yùn)行恢復(fù)正常,與被測(cè)系統(tǒng)運(yùn)維人員確認(rèn)后簽署測(cè)試結(jié)束確認(rèn)單。

2.6滲透測(cè)試對(duì)等級(jí)測(cè)評(píng)結(jié)論的影響

滲透測(cè)試作為等級(jí)保護(hù)測(cè)評(píng)的一種補(bǔ)充,在驗(yàn)證工具測(cè)試結(jié)果的同時(shí),與上述關(guān)聯(lián)測(cè)評(píng)項(xiàng)結(jié)合,通過(guò)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)方法中的“測(cè)試”,進(jìn)一步確定相關(guān)測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果以及對(duì)應(yīng)的風(fēng)險(xiǎn)分析,從而影響被測(cè)系統(tǒng)最終的風(fēng)險(xiǎn)分析結(jié)果。例如,通過(guò)滲透測(cè)試發(fā)現(xiàn)被測(cè)系統(tǒng)服務(wù)器存在CVE-2017-0143“永恒之藍(lán)”漏洞,則可以從側(cè)面反映出被測(cè)系統(tǒng)服務(wù)器在安全計(jì)算環(huán)境測(cè)評(píng)中,“應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口”、“應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞,并在經(jīng)過(guò)充分測(cè)試評(píng)估后,及時(shí)修補(bǔ)漏洞”、“應(yīng)能夠檢測(cè)到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為,并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警”三項(xiàng)測(cè)評(píng)項(xiàng)為不符合或部分符合[6],從而為該系統(tǒng)帶來(lái)高危的風(fēng)險(xiǎn),并且直接影響最終的測(cè)評(píng)結(jié)論為“差”。

3結(jié)語(yǔ)

滲透測(cè)試作為等級(jí)保護(hù)測(cè)評(píng)的一種驗(yàn)證機(jī)制和補(bǔ)充,在等級(jí)保護(hù)工作當(dāng)中起了非常重要的作用。明確滲透測(cè)試在等保測(cè)評(píng)中的應(yīng)用方法以及對(duì)測(cè)評(píng)結(jié)論的影響,能幫助測(cè)評(píng)人員更好地確定被測(cè)系統(tǒng)的風(fēng)險(xiǎn)項(xiàng)與測(cè)評(píng)結(jié)論,進(jìn)而更好地幫助網(wǎng)絡(luò)運(yùn)營(yíng)者提升自身的網(wǎng)絡(luò)安全建設(shè)水平。本文通過(guò)對(duì)等級(jí)保護(hù)測(cè)評(píng)各個(gè)階段中滲透測(cè)試實(shí)施方式的闡述,希望能對(duì)滲透測(cè)試在網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中的應(yīng)用提供參考。

參考文獻(xiàn):

[1]馬力,陳廣勇,祝國(guó)邦.網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0國(guó)家標(biāo)準(zhǔn)解讀[J].保密科學(xué)技術(shù),2019,106(07):16-21.

[2]常艷,王冠.網(wǎng)絡(luò)安全滲透測(cè)試研究[J].信息網(wǎng)絡(luò)安全,2012(11):3-4.

[3]王世軼,吳江,張輝.滲透測(cè)試在網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)中的應(yīng)用[J].計(jì)算機(jī)應(yīng)用與軟件,2018,35(11):190-193.

[4]廉承凱,傅爽.滲透測(cè)試在網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0中的應(yīng)用[C]//2019中國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)大會(huì).0.

[5]宋超臣,王希忠,黃俊強(qiáng),等.Web滲透測(cè)試流程研究[J].電子設(shè)計(jì)工程,2014,22(017):165-167.

[6]陳廣勇,祝國(guó)邦,范春玲.《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GB/T28448-2019)標(biāo)準(zhǔn)解讀[J].信息網(wǎng)絡(luò)安全,2019(7).

[7]馬力,祝國(guó)邦,陸磊.《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T22239-2019)標(biāo)準(zhǔn)解讀[J].信息網(wǎng)絡(luò)安全,2019,218(02):77-84.

[8]廉承凱,傅爽.滲透測(cè)試在網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0中的應(yīng)用[C]//2019中國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)大會(huì).

作者:李勁雄 單位:成都安美勤信息技術(shù)股份有限公司