隨著電子商務(wù)、電子政務(wù)的發(fā)展，越來越多的重點單位和企業(yè)在安全上投入了巨大的精力和資金，但有時候用戶會有這樣的感受：當(dāng)基本的軟硬件設(shè)施配置好之后，安全防衛(wèi)水平就到了一個相對的瓶頸，再加大投入并不能明顯提高安全水平。實際上，這種"安全玻璃天花板"在很多行業(yè)和企業(yè)中都存在，近期興起的"滲透測試"成為了解決這個問題的新角度之一。

滲透測試是一種全新的安全防護思路，將安全防護從被動轉(zhuǎn)換成了主動。正是因為看到了這一點，很多重點行業(yè)的企業(yè)越來越多地通過獨立的第三方安全機構(gòu)來進(jìn)行"滲透測試"，以求更好的安全防護效果。

據(jù)瑞星安全專家介紹，早在二三十年前，滲透測試曾經(jīng)在整個安全界風(fēng)行一時，但在后來也遭到了一些批評。批評者認(rèn)為，花費高額費用來請外部安全機構(gòu)的性價比不高，而且滲透測試的效果難以準(zhǔn)確衡量，還會受到執(zhí)行團隊的技術(shù)水平制約。因此，在看不到明顯效果的情況下，很多企業(yè)轉(zhuǎn)而尋求"看得見的安全保護"，大力部署軟硬件安全設(shè)備。伴隨著安全行業(yè)的發(fā)展和企業(yè)安全意識的提高，以滲透測試為代表的"安全服務(wù)"正在得到越來越多人的認(rèn)可。

圖1：不久前，暴雪公司宣布戰(zhàn)網(wǎng)內(nèi)部安全網(wǎng)絡(luò)被黑客攻破，建議用戶更改賬號密碼

什么是滲透測試

滲透測試是由專業(yè)安全公司模仿黑客，針對授權(quán)企業(yè)網(wǎng)絡(luò)進(jìn)行安全檢測的方法。這個檢測過程包括對系統(tǒng)的任何弱點、技術(shù)缺陷或漏洞的主動分析，這種分析是站在攻擊者角度進(jìn)行的主動性探測，因此會發(fā)現(xiàn)使用傳統(tǒng)檢測方法無法發(fā)現(xiàn)的攻擊路徑、攻擊方法和技術(shù)弱點。

早在上世紀(jì)70年代，美國軍方就曾利用"滲透測試"發(fā)現(xiàn)了許多未知漏洞，甚至曾經(jīng)雇傭黑客對目標(biāo)鏡像進(jìn)行試探性攻擊，從而促使軟件編寫者構(gòu)建更強壯的計算機網(wǎng)絡(luò)系統(tǒng)。后來，越來越多具有軍方背景的機構(gòu)開始使用這種方法，使得漏洞在暴露之前就被修復(fù)。

圖2：滲透測試基本流程

事實上，曾經(jīng)在國內(nèi)流行一時的"公開邀請黑客攻擊自己網(wǎng)站，攻擊成功可獲大獎"的商業(yè)活動，其最初的模仿來源就是滲透測試，只不過加入了更多的商業(yè)元素，與市場活動結(jié)合有更好的推廣效果。

但值得注意的是，企業(yè)一般在部署了相對完善的軟硬件安全防護體系（包括企業(yè)版安全軟件、防火墻、入侵檢測設(shè)備等）之后，才需要進(jìn)行滲透測試。如果一個企業(yè)網(wǎng)絡(luò)缺乏基本的保護措施，那會大大增加滲透測試工程師不必要的工作量。#p#

滲透測試的四大類

滲透測試的效果依賴于操作范圍，即測試主流的攻擊手段，目前可分為以下四大類：

1.拒絕服務(wù)攻擊測試

拒絕服務(wù)測試指的是嘗試通過耗盡測試目標(biāo)的資源的方式來發(fā)現(xiàn)系統(tǒng)的特定弱點，這種方法會導(dǎo)致系統(tǒng)停止對合法請求的響應(yīng)。通俗的講，黑客可以控制幾千臺肉雞，使用這些肉雞向攻擊目標(biāo)發(fā)起大量連接請求，因為網(wǎng)站的帶寬和系統(tǒng)資源總是有限的，當(dāng)肉雞把這些資源都消耗掉之后，正常的用戶就無法正常使用了。

拒絕服務(wù)攻擊通過配置一定的軟硬件可以削弱和過濾，進(jìn)行拒絕服務(wù)攻擊測試，就是為了檢查所配置的軟硬件設(shè)備有沒有達(dá)到應(yīng)有的效果。如果沒有達(dá)到效果，可以通過繼續(xù)添加攻擊特征來加強過濾。

2.應(yīng)用安全性測試

現(xiàn)代企業(yè)的核心業(yè)務(wù)越來越多地通過Web應(yīng)用實現(xiàn)，比如網(wǎng)絡(luò)視頻會議系統(tǒng)、全球性公司的內(nèi)部業(yè)務(wù)系統(tǒng)、在線財務(wù)系統(tǒng)等，與網(wǎng)絡(luò)連通之后必然會帶來新的安全漏洞，使用防火墻和其他監(jiān)控系統(tǒng)只能提高安全等級，但并不能徹底杜絕網(wǎng)絡(luò)威脅。

應(yīng)用安全性測試的目標(biāo)是評估對應(yīng)用的控制和在應(yīng)用中流動信息的安全性。評估的方面包括應(yīng)用是否使用加密方法來保護信息的保密性和完整性、用戶是如何驗證的、Internet用戶會話與主機應(yīng)用的完整性，以及Cookie的使用等。

3.無線網(wǎng)絡(luò)和移動終端測試

隨著WIFI、3G等無線網(wǎng)絡(luò)在企業(yè)中應(yīng)用的逐漸增多，其帶來的安全風(fēng)險也在與日俱增。因為WIFI等協(xié)議在創(chuàng)建的時候，其使用環(huán)境的定義與現(xiàn)有應(yīng)用環(huán)境不同，導(dǎo)致其安全性標(biāo)準(zhǔn)達(dá)不到現(xiàn)有企業(yè)安全性的標(biāo)準(zhǔn)。但是，作為企業(yè)網(wǎng)絡(luò)的重要組成部分，很多企業(yè)業(yè)務(wù)需要構(gòu)建在無線網(wǎng)絡(luò)之上，比如很多企業(yè)在進(jìn)行支付、現(xiàn)場活動等時候，需要通過3G進(jìn)行通信，這時，嚴(yán)格限制無線應(yīng)用顯然是不可接受的。

因此，在進(jìn)行滲透測試時，應(yīng)把無線網(wǎng)絡(luò)和企業(yè)員工使用的智能終端（iPad、智能手機等）列入到監(jiān)測范圍。一個不好笑的笑話是："美國和以色列特工對伊朗核電站進(jìn)行了很多次攻擊，因為核電站與互聯(lián)網(wǎng)物理隔離，未達(dá)到攻擊效果，直到他們撿到了一個俄羅斯專家丟失的手機，連上了3G……"。

4.社會工程學(xué)測試

社會工程學(xué)是個很時髦的詞，但實際上含義很簡單：通過欺騙和偽裝，獲取目標(biāo)對象的好感和信任，從而獲得想獲取的信息。例如，國內(nèi)有個公司是其他公司挖角的對象，但大家嘗試了種種辦法無法獲取內(nèi)部通訊錄。有一天，有人在這個公司樓下貼了個小廣告：小店開張全場八折，使用某公司的工卡購物，更能享受五折超低價……結(jié)果，你懂的。#p#

進(jìn)行滲透測試需要注意的幾個問題

滲透測試一般由用戶企業(yè)發(fā)起，尋找有資質(zhì)的第三方安全機構(gòu)來進(jìn)行，在進(jìn)行中需要著重注意以下幾點：

A.事先應(yīng)做好受測對象的監(jiān)測。用戶應(yīng)事先部署各種記錄工具，準(zhǔn)確了解模擬攻擊給系統(tǒng)帶來的異常狀態(tài)表現(xiàn)，比如記錄帶寬波動、網(wǎng)絡(luò)內(nèi)應(yīng)用在攻擊狀態(tài)下的表現(xiàn)、攻擊利用的端口等，這些將給以后的防護提供寶貴經(jīng)驗和資料。

B.在進(jìn)行滲透測試時，應(yīng)最小限度地讓內(nèi)部人員知曉。這樣可以考驗整個團隊在異常狀態(tài)下的反映，同時也可以避免一些不太具備安全資質(zhì)的團隊通過采用收買內(nèi)部人員、收買內(nèi)部信息的方式來完成測試。

C.在測試前，雙方應(yīng)規(guī)定透露給測試團隊的信息，比如受測試網(wǎng)站的域名、網(wǎng)址、機房配置等。理論上，應(yīng)該保證測試團隊獲取的信息與黑客一致，不能透露過多的信息，否則就失去了滲透測試的意義。

D.雙方簽訂嚴(yán)格的保密協(xié)議和相應(yīng)的文字資料，規(guī)定滲透測試可對網(wǎng)絡(luò)應(yīng)用、數(shù)據(jù)庫、網(wǎng)絡(luò)配置的影響限度。在進(jìn)行滲透測試時，有時候需要更改網(wǎng)絡(luò)配置、修改網(wǎng)絡(luò)的安全防護策略來達(dá)到進(jìn)一步測試的目的，但這種測試不能影響到網(wǎng)絡(luò)的正常運行。

E.為了進(jìn)行測試，企業(yè)可以為測試團隊提供一些方便。比如某些只允許內(nèi)部IP訪問的網(wǎng)絡(luò)，為了進(jìn)行測試需要可以對測試團隊開放，但這種開放首先不能超過必要的限度，其次，在進(jìn)行測試之后應(yīng)及時關(guān)閉，避免測試團隊以外的黑客順手牽羊，帶來不必要的麻煩。

F.如果是安全性較高的網(wǎng)絡(luò)不方便開放給測試團隊，但又需要進(jìn)行測試的，可以根據(jù)測試對象的具體情況，搭建一個仿真鏡像來進(jìn)行測試，這樣可以最大限度地保證網(wǎng)絡(luò)的安全運行，又能達(dá)到測試的效果。#p#

測試報告及彌補措施

在滲透測試完成之后，執(zhí)行公司應(yīng)提供良好的測試報告。一份典型的測試報告包括：項目概述、測試結(jié)論、測試過程、測試過程中產(chǎn)生的數(shù)據(jù)證據(jù)和解決方案描述等，在整個報告中，解決方案是體現(xiàn)報告價值最重要的部分。

圖3：一份典型測試報告的目錄模版

因為滲透測試包含了關(guān)系到安全風(fēng)險的各個部分：軟件、硬件配置、網(wǎng)絡(luò)和服務(wù)器運行維護等，因此解決方案同樣涉及到了龐雜的領(lǐng)域和系統(tǒng)，很多中小公司往往會專注于安全的某一塊，有的專注于web安全，有的專注于安全審計，還有的專注于漏洞掃描和滲透。在最理想的狀態(tài)下，一個專業(yè)的滲透測試團隊?wèi)?yīng)包含了各個方向的人才，這樣才能保證最終解決方案的完整和整體高水平。

選擇滲透測試的執(zhí)行團隊

作為一種高端安全服務(wù)，"滲透測試"的整個流程嚴(yán)重依賴執(zhí)行團隊的經(jīng)驗和專業(yè)能力。目前國內(nèi)安全行業(yè)魚龍混雜，有很多中小安全公司號稱可以進(jìn)行"滲透測試"，但其實并沒有專業(yè)的執(zhí)行團隊和能力。

實際上，除了使用各種自動化檢測工具之外，如何判別、收集、整理工具所產(chǎn)生的結(jié)果，尤其是滲透測試之后的安全方案制定，需要測試執(zhí)行團隊擁有豐富的專業(yè)經(jīng)驗、案例積累等專業(yè)技能，如此才能給用戶提供更好的服務(wù)。

以瑞星滲透測試服務(wù)為例，早在2010年，瑞星就與國家信息中心聯(lián)合成立了"國信-瑞星軟件安全評測實驗室"，該實驗室匯聚了雙方的資源和技術(shù)優(yōu)勢，為各級政府、企事業(yè)單位和社會各界提供專業(yè)化的安全檢測服務(wù)。

圖4：國信-瑞星軟件安全評測實驗室

瑞星在安全行業(yè)擁有超過20年的專業(yè)經(jīng)驗，一直專注于企業(yè)安全和個人安全，為用戶提供從殺毒軟件到高端企業(yè)安全設(shè)備的全系列產(chǎn)品，并提供相應(yīng)的各種專業(yè)級安全服務(wù)。"滲透測試"就是針對國內(nèi)企業(yè)和重點單位提供的高級安全服務(wù)，目前已為中央政府、軍隊、各大央企進(jìn)行了近千次滲透測試服務(wù)，得到了廣大用戶的認(rèn)可和贊揚。

作為國內(nèi)技術(shù)最強、安全資質(zhì)最高的專業(yè)安全公司，瑞星在滲透測試方面制訂了嚴(yán)格的流程和標(biāo)準(zhǔn)，在測試過程中堅持透明化原則，用戶隨時可以觀察到測試的過程和動作，并通過監(jiān)測軟件記錄下來操作數(shù)據(jù)。這樣一方面可以為以后的安全防護提供實際操作經(jīng)驗，另一方面還可以最大限度地保證測試不會傷及核心應(yīng)用和數(shù)據(jù)。