如何规范等级测评中渗透测试行为
“网络安全的本质是攻防对抗,对抗的本质在攻防两端能力较量”,在网络空间中,网络安全问题就像‘幽灵’一样,常常是来自未知威胁。渗透测试作为一种通过模拟使用黑客的技术和方法,挖掘目标系统的安全漏洞,取得系统的控制权,访问系统的机密数据,并发现可能影响业务持续运作安全隐患的一种安全测试和评估方式,对提前感知网络和信息系统可能存在的漏洞、风险或威胁有着重要的作用。
网络安全等级保护作为国家的一项基本制度,网络运营者开展等级测评工作是检验网络和信息系统的网络安全防护能力,发现网络和信息系统可能存在的安全风险以及规避网络安全风险被威胁利用的可能性。在开展等级测评工作时,“访谈”、“核查”等测评方法得到的符合性测评结果具有一定的主观不确定性,而工具测试(渗透测试和漏洞扫描)是发现和验证网络信息系统安全风险的重要手段,且能够对符合性检查结果进行有力补充。
根据网络安全等级保护制度相关要求,网络安全保护等级为第三级以上(含第三级)的信息系统,在进行等级测评时必须实施渗透测试,那么究竟该如何在等级测评工作中开展渗透测试工作,又该如何规范化等级测评过程中的渗透测试行为?
1、渗透测试的必要性
渗透测试是检测、评估网络和信息系统安全能力的有效方法,可以直观地让网络运营者了解其所管理(运营)的网络和信息系统面临哪些安全问题。此外,渗透测试还可以弥补其他评估方法的不足,发现深层次、较复杂的网络安全问题。在开展网络安全等级保护测评过程中,渗透测试的主要功能有:
● 渗透测试可有效检测网络和信息系统已采取安全措施是否真实有效,安全策略和安全状态是否达到网络运营者的预期,是否能有效阻挡可能存在的威胁;
● 渗透测试可直观反映出网络和信息系统中存在的安全漏洞,有助于网络运营者进行针对性地修复控制,提前降低或规避安全漏洞被利用地风险;
● 实现网络系统安全影响因素的全面评估,验证“符合性”评估结论的准确性,增加等级测评结果的可信度;
● 渗透测试的结果可作为内部安全意识培训的案例,在对相关的接口人员进行安全教育时使用。
渗透测试帮助网络运营者更好地检验经过安全防护后的网络和信息系统是否真正的达到了预期安全防护目标、遵循了安全策略、符合安全合规的要求。渗透测试作为“以测验防”的有效手段,为网络运营者提供了有效的安全防护思路,变被动防护为主动防护,可验证落实等级保护制度所建立的“安全技术”+“安全管理”体系的有效性与合理性,助力网络运营者健全安全建设体系。
2、渗透测试流程
渗透测试的流程主要包括前期准备、实施测试、复测实施以及测试结果汇总四个阶段。
第一阶段,渗透测试前期准备阶段。该阶段主要目的是为保证渗透测试顺利实施而采取的准备性工作,工作内容包括渗透测试技术沟通、确定测试时间与测试对象、签署授权书并提交测试人员IP及相关信息等。这一阶段,签订授权书是重中之重,只有在获得被测对象运营者的书面授权后,才能开始着手编制规范的测试方案。测试人员才能够利用提交的IP对约定的测试的对象在规定的测试时间内进行测试工作。此外,监督管理也是在这一阶段的一项重要内容。在展开此项工作时,可与相关单位进行沟通,以对测试过程的可行性与风险性保持最小。同时,还可通过建立联动管控小组,以实施全过程监督。
第二阶段,测试阶段实施。本阶段首先进行信息探测收集,在进行信息探测时,渗透测试人员利用各种信息来源与搜集技术方法,尝试获取更多关于目标测试对象的网络拓扑、系统配置与安全防护措施等信息。情报搜集是否充分对后续渗透测试工作开展的成败具有决定性的作用。在完成信息收集和分析后,渗透测试人员开展渗透测试活动,在这一环节中,渗透测试人员需要利用他们所挖掘到的目标系统安全漏洞,来入侵系统当中,获得访问控制权。当然,在网络安全等级测评工作中,是在已获取部分信息的前提下进行渗透测试,并在利用发现的漏洞时,证明其可被利用即可,输出并提交相关报告给网络运营者。
第三阶段,复测实施阶段。针对上一阶段测试发现的安全问题在整改完成后进行二次测试,验证前次发现的安全问题所采取的安全整改措施是否有效。在完成本阶段渗透测试工作后,需提交复测报告,并对报告内容进行有效沟通,确认渗透测试结果。
第四阶段,测试结果汇总阶段。本阶段是检测结果呈现阶段,在这一阶段,需严格以测试结果为依据,对测试报告进行规范编制,其包括的内容主要涉及测试结果、漏洞结果评估以及整改建议。该阶段需注意的是测试人员需将结果准确且全面地呈现出来。对于渗透测试发现的问题进行科学、合理的分析,结合网络安全等级保护的要求,提出有效可执行的整改建议,保证被测试的系统可以稳定且安全地运行。
3、渗透测试中行为规范化
在开展网络安全等级保护工作时,渗透测试作为第三级及以上网络和信息系统必须开展的活动,渗透测试人员在开展测试工作时,应了解相关法律法规要求,规范化自我行为。
《网络安全法》第二十七条 规定:
任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
在《网络安全法》 第六十三条规定违反本法第二十七条规定,承担下列责任:
1、行政责任:尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处一万元以上十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处五万元以上五十万元以下罚款。
2、单位有前款规定行为的,由公安机关没收违法所得,处十万元以上五十万元以下罚款,并对其直接负责的主管人员和其他责任人员依照前款规定处罚。
3、禁入规则:受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。
基于网络安全法律法规的相关要求,为规范化渗透测试人员行为,应注意下列事宜:
● 开展渗透测试必须在经授权的情形下,利用约定的人员信息(如IP、人员真实身份)开始渗透测试工作;
● 渗透测试时间必须在客户授权的时间内,且测试对象必须是客户授权范围内的;
● 在渗透测试过程中,杜绝因“好奇心”或“操作不当”窃取或篡改客户数据;
● 对于渗透测试中发现的客户系统漏洞,应该及时联系客户修复,切勿对外公布;
● 开展渗透测试过程中,切勿将带有恶意代码的程序对目标系统进行“试探性”攻击;
● 对于开展渗透测试所获取的信息应遵循《保密法》及相关保密约定,禁止非法泄露任何获取到的信息;
● 在渗透测试结束后,对工作中获取的信息进行及时归档、清除,防止因操作不当导致信息非法泄露。
在开展等级测评工作中,一定程度上,测试工具及方法的使用会对网络系统的运行造成一定影响,加大设备运行的风险性。因此,在渗透测试过程中,应注重渗透风险的有效评估和规避,而不应“系统存在高风险漏洞”而放弃渗透测试。渗透测试中风险控制的方法有:
● 应确保渗透测试的评审方案获得双方认可,确保网络安全等级测试的合法性;
● 测试过程中应注重测试时间和范围的严格控制,同时测试人员应和被测单位建立高效化的沟通机制,避免渗透测试对目标单位的业务开展造成影响;
● 为避免测试潜在风险发生,应减少核心业务系统的渗透测试数量,避免发生业务系统损伤,可在部署环境一致或类似的系统中开展渗透测试工作。
“焉知攻,未知防”,渗透测试作为检验网络信息系统安全防护能力有效性的重要手段,同时也便于网络运营者了解攻击者可能发起的攻击路径(可能被利用地风险)。在开展网络安全等级工作中,渗透测试具有重要的意义,可有效地强化网络和信息系统基础安全防护能力,尽可能地规避安全风险,同时可助力网络运营者实现网络信息系统“零事故”,但在开展渗透测试过程中,各参与方应积极规范化自我行为,确保渗透测试工作顺利进行,发挥其应有的价值。
声明:本文来自等级保护测评 ,作者山志,版权归作者所有。文章内容仅代表作者独立观点,不代表万方安全立场,转载目的在于传递更多信息。如有侵权,请联系删除。
