信息系统渗透测试原理及模型分析论文

第一篇：信息系统渗透测试原理及模型分析论文信息系统渗透测试原理及模型分析InformationSystemsPenetrationTestingPrincipleAndModelAnalysis姜志坤摘要：信息化是当今世界发展的大趋势，是推动经济社会变革的重要力量。大力推进信息化，是覆盖我国现代化建设全局的战略举措，是贯彻落实科学发展观，全面建设小康社会、构建社会主义和谐社会和建设创新型国家的迫切需要和必然选择。如何以信息化提升综合国力，如何在信息化快速发展的同时确保国家信息安全，这已经成为各国政府关心的热点问题。信息安全已经从国家政治、经济、军事、文化等领域普及到社会团体、企业，直到普通百姓，信息安全已经成为维护国家安全和社会稳定的一个重要因素。随着国家信息安全测评工作的推进和深化，对信息系统安全测试的要求也逐步提高，渗透测试作为信息系统安全测试的一项高级别和高难度的测试项目，在信息安全测评中逐渐受到高度重视并得到推广应用。本文通过对目前渗透测试的过程和原理做了详细的分析,并提出了测试方法和测试模型。关键字：信息安全渗透测试测试项目测试模型1.渗透测试概述作为网络安全防范的一种新技术，对于网络安全组织具有实际应用价值。但要找到一家合适的具有授权资质的公司实施渗透测试并不容易。近来防御黑客与病毒的攻击已经成为一种非常困难的工作。保护自己的信息系统不受恶意攻击者的破坏，维护系统安全已经成了企业里非常重要的工作。以金融业为例，某银行部署了多台防火墙，购买入侵检测系统、网络安全审计系统等，也定期进行漏洞扫描，应该很安全，但黑客入侵、储户数据遭窃、网站遭受攻击等安全事件仍层出不穷，也许被黑客入侵的机率只有0.001%，但发生后就是100%。（一）渗透测试（PenetrationTesting）网络定义定义一：渗透测试是一个在评估目标主机和网络的安全性时模仿黑客特定攻击行为的过程。详细地说，是指安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段，对目标的安全性作深入的探测，发现系统最脆弱环节的过程。全的认知程度，使所有成员意识到自己的岗位在整个组织的安全中不可或缺的地位，有助于整体安全意识的提升。（六）渗透测试的作用渗透测试的作用一方面在于，解释所用测试设备在测试过程中所得到的结果。即使您对信息系统进行漏洞扫描。但也并不能全面地了解漏洞扫描得到的结果，更别提另外进行测试，并证实漏洞扫描系统所得报告的准确性了。（七）怎么进行渗透测试除了找到合适工具以及具备资质的组织进行渗透测试外，还应该准确确定测试范围。攻击者会借助社会工程学、偷窃、贿赂或者破门而入等手法，获得有关信息。真正的攻击者是不会仅仅满足于攻击某个企业网络的。通过该网络再攻击其它公司往往是黑客的惯用伎俩。攻击者甚至会通过这种方法进入企业的ISP。为了从渗透测试上获得最大价值，应该向测试组织提供尽可能详细的信息。同时签署保密协议，这样，您就可以更放心地共享策略、程序及有关网络的其它关键信息。还要确定被测信息系统，哪些系统需要测试。虽然你不想漏掉可能会受到攻击的某个系统，但可能仍想分阶段把渗透测试外包出去，以便每个阶段专注于网络的不同部分；同样您也可以作为一个大的信息系统来测试，对各个子系统进行关联分析，从而有效地降低系统被攻破的风险。2.渗透测试原理2.1渗透测试原理渗透测试就是利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的人工经验对网络中的核心服务器及重要的网络设备，包括服务器、网络设备、防火墙等进行非破坏性质的模拟黑客攻击，侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。2.2渗透测试过程在一个实际的渗透测试过程中，渗透测试项目的实施一般分为三个阶段：前期准备阶段、渗透测试阶段、后期总结阶段。（一）前期准备阶段1）委托书确认签署授权委托书，并同意测试工程师实施渗透测试。3.渗透测试分类及方法3.1测试分类（一）按信息获取方式分类从渗透的前期资料准备和信息获得来看，渗透测试/攻击可分为以下3类。1）黑盒（BlackBox）渗透黑盒（BlackBox）渗透测试通常是从目标网络的外部进行渗透模拟的，这意味着，除了被测试目标的已知公开信息外，不提供任何其他信息。渗透者完全处于对目标网络系统一无所知的状态，只能通过Web、E-mail等网络对外公开提供的各种服务器，进行扫描探测，从而获得公开的信息，以决定渗透的方案与步骤。通常来说，黑盒渗透测试用于模拟来自网络外部的攻击行为。2）白盒（WhiteBox）渗透白盒（WhiteBox）渗透测试与黑盒渗透测试相反，渗透测试者可以通过正常渠道，向请求测试的机构获得目标网络系统的各种资料，包括网络拓扑结构、用户账号、操作系统、服务器类型、网络设备、代码片断等信息。渗透者可从目标网