利用渗透测试优化行业网络安全管控

王 明 政

(上海市教育委员会信息中心 上海 200003)

0 引 言

信息技术的高速发展使得信息系统在各个领域中的应用更为普遍。当前教育领域的信息化建设取得了快速发展，现代信息化技术在教育系统中的应用十分广泛，例如，服务门户、办公自动化、教务管理、财务管理、在线教学等信息系统的使用大幅提高了工作效率和服务水平。因此，提高各个信息系统的网络安全水平变得极为重要。目前，上海市16个区教育局、3 000多家中小学幼儿园、60多所高校、30多个直属事业单位和80多所中职院校涉及的信息系统有上万个。若要适应目前信息安全的形势，提高这些信息系统的安全水平，快速发现安全漏洞并及时修补是保证系统安全运行的重要手段之一。

信息技术更新迭代快速，网络安全漏洞也随之持续出现，在信息系统的生命周期及时发现安全漏洞并快速整改至关重要。因此一套行之有效的管理控制机制，能依托合理的技术手段实现安全漏洞精准定位、精确发现、主动报警、监测整改的信息安全管理控制体系与技术平台变得十分必要。

1 管理控制模型及其要素

1.1 管理控制通用模型[1]

管理中的控制工作就是按标准来确定计划的执行情况，同时通过纠正执行中的偏差以确保计划目标的正确与实现。

管理控制是指管理者影响组织中其他成员以实现组织战略的过程。它是为达到一个预期的目的，将资源进行正确而有效的组织、计划、协调，同时形成并建立一系列正常的工作秩序及管理制度的活动。管理控制的目的是执行战略。如图1所示。

图1 管理控制示意图

1.2 管理控制要素[2]

管理控制的工作过程，如图2所示，一般由以下三个方面的步骤组成：制定控制目标，建立绩效标准;衡量实际工作，获取偏差信息；分析偏差原因，采取矫正措施(它是一种反馈控制)。

图2 控制过程示意图

反馈控制源自信号自动控制理论，根据反馈信号分“正反馈”和“负反馈”两种。反馈控制是指一项任务完成后，将实际结果比较，并判断对下一步行动的执行产生的影响，以起到控制的作用。将其引入控制学中，对应设定三项基本要素节点：控制目标与标准、偏差信息、矫正措施，三者形成整个控制闭环的关键节点。

2 渗透测试

2.1 定 义

在说明渗透测试之前先说明一下漏洞扫描[3]。漏洞扫描是针对信息系统安全的检查，其扫描对象包括连接在网上的系统、应用程序、在线的网络设备组件，通过检测漏洞以及安全薄弱环节。一般的漏洞扫描器会基于漏洞数据库，该库包含了具有安全风险的服务、端口、包类型等已知的安全问题的相关信息。库中的风险列表同时包含了解决漏洞的安全建议。

对于渗透测试[4-5]，目前安全组织达成共识的定义是：利用模拟黑客的恶意攻击方法，测评系统的安全状况，作为一种计算机网络系统安全的评估方法。在整个评估过程中分析者是以一个攻击者的定位主动利用安全漏洞执行的，是基于对系统的各种弱点、技术缺陷以及漏洞的主动分析[6-7]。

将渗透测试应用于网络安全防范成为一种有效的技术手段用来预防攻击的行为，同时，必须立足该测试选择不影响业务系统正常运行的为前提[8-9]。

2.2 分 类[10]

渗透测试参照软件开发测试的分类，可以分为如下三类：

(1) 黑箱测试 测试人员对系统完全处于一无所知的状态，执行这类型测试，基于单位公开对外的服务器中获取信息包括DNS、Web、Email等互联网服务。

(2) 白盒测试 白盒测试[12]与黑箱测试相反，测试人员能够与单位的非信息技术工作人员进行面对面的沟通收集有效信息，包括网络拓扑图、员工信息资料、网站、应用程序的部分代码。其测试的目的就是模拟企业内部人员的越权操作。

(3) 隐秘测试 隐秘测试是针对检验单位的信息安全事件监控、响应以及恢复的能力情况的测试。一般渗透测试执行时使监测网络人员监测网络出现的变化，单位安全管理部门会是事先知晓测试的进行时段，除此之外基本无人知晓，这是为更好达到测试的目的。

3 教育行业网络安全管理控制系统研究与实现

3.1 实现目标

教育行业网络安全管理控制系统的目标为在实现网络安全漏洞的及时发现和修补过程中，在进行技术发现的同时实现管理控制，并覆盖整个行业系统，将管理目标及时落实，其具体流程如图3所示。其中，对漏洞的发现主要通过两个途径：1) 定期的漏洞扫描和渗透性测试；2) 操作系统、系统架构、网络设备厂商的漏洞发布后验证。在漏洞整改环节主要依靠各单位网络安全技术人员的落实。因此，在系统中管理控制实现的同时，也需要从人员管理的角度做相应的设定。

3.2 管理控制要素的确定

教育行业信息系统一个重要的安全管理控制因素就是各个系统在漏洞测试中、以及测试之后整改中的表现。 等级保护测评本身不足以为整套机构输出一个普适而精确的评分。要素的确定需要结合发生的网络安全事件，以及存在的不同级别的网络安全漏洞(高、中、低)数量。一些原本安全评级较低的机构通过积极反馈来提高系统安全水平，而另一些原本评级较高的机构不及时反馈整改，最终出现严重的安全问题。前者的风险潜在性较低，而后者的风险潜在性较高。为了衡量机构对测试的反应以及漏洞带来的风险，本文综合各级漏洞数量、漏洞危险程度、以及整改态度来定义风险系数，用来衡量机构对渗透测试的反应以及漏洞带来的风险。

对于某机构，将漏洞认领率定义为认领的安全问题数量占所有安全问题的比例。同样，将整改率定义为已解决的安全问题数量占所有安全问题数量的比例。N1、N2、N3表示高风险、中、低风险漏洞数量，安全事件数量为S(目前安全事件以通报数据为准)，认领率为R1，整改率为R2，整改时间为T。然后，我们可以制定一个称为脆弱性系数的指标来量化安全问题的程度:

CV=whN1+wmN2+wlN3+wsS

(1)

式中：wh、wm、wl、ws是分配给变量的权重。具体来说，单位和为1的wh、wm、wl可以根据各自的重要性来确定，即漏洞数量系数。而ws可以通过利用安全事件和安全漏洞的重要性来确定。为了把漏洞的认领率和整改率纳入全局，我们还制定了整改率相关系数，用来衡量一个机构对漏洞的关注程度:

CR=3-(R1+R2)

(2)

式中：R1和R2的形式是数字而不是百分比。两种速率越大，系数越小。在完全解决问题的情况下，即，R1=R2=1，这个系数是1。更重要的是，为了反映一个机构的反应主动性，我们制定了整改时间系数:

CT=1+max(T-3,0)

(3)

根据上述系数，正式引入风险指数，它反映了机构在阶段性安全测试和整改之后的安全状态:

RI=CV×CR×CT

(4)

该指数通常评价在进行了安全测试之后的机构是否倾向于降低安全问题的风险。一家对先前评级或新发现的漏洞作出及时反应的机构，其风险指数最终将相对较低。为了使该指标更直观、更可行，我们将其标准化为区间[0,1]。效用函数作为决策理论和风险模型中广泛使用的一个凹函数，反映了一个对象对风险的规避态度。该函数的值随自变量的增大而增大，但由于二阶导数为负，增长率呈下降趋势。将指数效用函数应用于风险指数，得到:

(5)

RInormalized可以用来衡量一个机构的安全风险程度。这一风险指数可以作为教育行业信息系统一个重要的安全管理控制要素，其数值越大，安全风险越高。

作为业务指导单位，需要在实施整个管理控制的过程中对网络安全的管理实施人员和时效进行系统设定。人员设定包含：第一责任人(一般为单位主要负责人)、网络安全责任人、网络安全日常联络人、网络安全技术员等。

系统的实现，落实了人员信息及时登记、变更，相关责任的合理分级，实现的职责可控可查的反馈流程如图4所示。

图4 网络安全信息反馈示意图

目前平台的时效设定如下：漏洞认领时间为平台发出认领消息后三天，逾时平台自动向单位上级负责人发送警示消息；漏洞整改时间为漏洞认领后三天内整改完成，逾期每日发送提示消息，若十天内未整改平台自动向单位上级负责人发送警示消息。

3.3 系统实现

教育行业网络安全管理控制系统实现的内容包括：人员信息管理、漏洞管理、渗透漏洞验证、信息登记、短信及警示消息发送、系统管理等几大模块功能，如图5所示。

图5 教育行业网络安全管理控制系统结构示意图

整个管理信息系统对安全漏洞整改时效控制要求严格。在漏洞的可靠性方面，除常规的漏洞验证外，加入了对系统的渗透测试，更全面地掌握教育行业信息系统的安全状况，增强平台的技术可靠性和权威性，同时根据系统的实际应用环境确定各类参数及相应权重。

近阶段教育行业网络安全态势严峻，保障工作压力较大。其中防信息泄露、防主页篡改等工作更是尤为重要。此两类威胁涉及到的跨站脚本攻击(XSS漏洞攻击)、SQL注入漏洞等[13-14]，其权重值应相应调高。

XSS漏洞攻击可能造成如下后果：用户帐号信息盗用；网页篡改、恶意删除；非法转账；伪造邮件发送；网站挂马；控制肉机攻击其他互联网服务器等。目前系统中XSS漏洞的权重值设定较高，为9。

SQL注入漏洞的危害[15]包含：数据库中用户信息泄漏；数据库中的数据项修改实现网页篡改；修改字段嵌入超链接，实施挂马攻击；盗用数据库系统管理员帐户密码实施服务器恶意操作；恶意数据操作，导致全系统瘫痪等。其权重值设定较高，为9。

平台在整个安全管理过程中将专业安全机构的专业技术判定作为重要手段，利用渗透技术检查安全漏洞及其整改情况，实现了网络安全漏洞及时查处、及时整改的管理目标。

4 结 语

本文所讨论的管理控制平台在试运行期间收录行业内网络安全漏洞约600多条，事件数十起，均及时处理和整改，有效提升了行业网络安全管理和防护水平。

通过渗透测试的结果及其整改表现，本文建立了漏洞风险指数，量化了各个机构网络系统的漏洞风险。通过建立漏洞安全分析和评估体系，及时实现漏洞通知、整改、验证，从而有效提高行业网络安全管理水平。

通过项目的实施，强化了网络安全管理和服务的工作体系，从技术层面、行政层面上规范了相关单位的网络安全报告和处理流程，从而加强了行业网络安全管理工作的规范性。