综合安全测试粗探

詹治中

[摘要]在简要介绍和讨论安全测试在当今的安全形势下的作用，通过几个侧面来说明综合安全测试的作用及产生的影响。

[关键词]安全测试漏洞风险

中图分类号：TP3文献标识码：A文章编号：1671-7597(2009)0610087-02

一、前言

本论文概述了综合安全测试作为定位和漏洞评起到的作用，综合性安全测试作为一种综合性检测方式已经逐渐被公认。对当前安全系统所面临的日益加剧的安全和潜在的问题一以及主动进行的综合安全测试将成为漏洞评估中最重要的因素进行了说明。

二、信息安全面临的问题

在目前数字化网络化的时代里，安全问题越来越成为大家瞩目的重点。不同类型的攻击，恶意软件与黑客联盟的攻击一直以来都是危机的主要问题之一，在目前来自政府和各类机构对安全调控需要的日益增长，已经导致越来越多的单位和机构要定期对自身的技术漏洞和安全防御机制进行评估。多年以来，各个方面都进行了大量的资金的投入，力求通过建立信息系统的防御，特别是在一系列基于网络底层协议和终端的设施上面的加强来达到安全的目的。但事实却清楚地表明，安全保护工作仍然令许多单位和组织疲于奔命，他们的信息和资源依旧为外部的风险入侵，业务中断和数据丢失等问题所困扰着。

而且种种迹象表明，随着计算机及网络的发展在接下来的时间里我们将看到更具危害的安全威胁在信息系统中出现。随着计算机网络的日益普及，越来越多越来越先进的服务器的出现同样为这情况提供了基础，成为用来攻击最新反病毒技术的工具，同时也为这些攻击躲避入侵检测系统提供了环境与条件。

就目前而言，特定群体与最终用户也开始成为被威胁和攻击的目标，通过社会工程学或假冒相关的邮件等手段吸引最终用户点击仿造正规网站的页面手段从而获取相关的个人隐私信息的“网络钓鱼”也正在成为目前的信息系统安全中的新的危害。

对于这些问题已经有些国家已经提出了相应的应对策略，包括最初美国国会在1996年通过了相关诸如支付卡行业的数据安全标准(Payment Card Industry3 Data Security Standard—PCI DSS)以及健康保险流通与责任法案(Health Insurance Portability and Accountability Act—HIPAA)，尽管美国的这些办法有起到一定的作用，但是这些严格的信息标准也无法彻底避免信息系统会遭受被攻击从而造成数据流失的危害。

这让我们觉察到我们正面对着一个多样化的环境，面临的信息系统安全问题比以往更加复杂和严峻，信息方面正面临着比以往任何时候都更复杂的潜在安全问题，

三、目前安全机制的主要问题

尽管几十年来在信息系统安全方面的产品相当丰富，从传统的单机方面的防护软件、网络方面的防护软件系统，到新型的数据丢失防护工具技术(Data Loss Prevention-DLP)，现实情况是，许多单位组织或者个人仍然很容易受到攻击和信息泄漏。

相关的数据已证明，许多领军的安全厂商已经认识到最常用的桌面和网络防病毒系统正在被大量的形式多样存在不同的针对性攻击所包围，并且像DLP这类技术还不够成熟无法成功应用到企业。

同时现在的单位往往都有建立相关的安全机制措施，但在实际工作中，实际工作人员与管理人员间的彼此沟通仍在结构上存在问题，例如为了提升网络安全进行统一的网络性能方面的维护、各个用户终端应用软件的统一升级、以及对工作人员进行软件应用培训上，都存在着不连续与脱节。另一方面我们目前使用的信息系统安全体系都存在这一个普遍的问题，那就是传统防御机制甚至一些新的安全管理和漏洞扫描解决的方案都会在运行中产生大量的记录数据，而这些数据往往需要通过大量的计算任务来处理，对所在服务器造成巨大的负担，在提升了安全的同时却降低了系统的效率及稳定程度。

当今，从防火墙、入侵检测／预防系统(intrusion detection／prevention systems-IDS／IPS)，到新兴的安全事件／信息管理系统(securityevent／information management—SEM／SIM)都遍布我们的工作当中，这些防范的机制让那些相关安全防范的人员可以详细地了解到系统目前的安全状态，其中包括被黑客攻击的相关记录。虽然随着这些应用的发展，大多数的安全负责人员都会通过运用筛选技术来提高系统的效率，但是对于一个单位的来说，对于安全上面的投入所产生的效益是无法进行相应的估计和衡量的，而且在这一方面实际出现的情况往往需要安全管理人员在进行安全工作室也需利用到其他的工具，这些工具对于安全系统来说不会带来安全上的加权。这些情况一直在向我们说明这么一个问题，安全系统的有效性与相关的投资也需要有一个有效的测试评估手段。

四、安全测试的范围

进行综合性的安全测试的目的就是对于目前安全所面临的问题，进行综合的测试从而能更加全面地对总体的安全状态进行评估。

正如日常运行中的系统都必须进行定期进行检查，以确保在一定的时间内和相关信息系统没有问题保持其运行的稳定，现有的安全设备也逐渐越来越多地进行频繁的审查，防止可能存在的漏洞或者安全隐患。在这一系列的测试与检查中，一种更加综合性的安全测试正悄然而生，以用来帮组相关的安全人员对相关的安全系统及安全策略进行评估，以便相关的人员了解自己信息系统的存在哪些可以利用的优势性能或者不足。

为了达到全面的测试检测效果，在目前这类型的安全测试中，先由系统架构师对整个总体的系统进行分析验证，从基础框架开始对整个系统进行测试，查找被测系统的不足或者潜在的各种问题，并针对不同的相关功能进行具体性质的安全检测；最后再投入试运行在运行过程中找出潜在的问题与不足。现今许多的软件开发商也已开始在自己的产品中整合上软件的自我测试功能，以帮助客户确保其软件系统运作正常。但这一情况存在着一定的片面性，因为大部分这些测试通常旨在确保用户在产品能在完成最基础的功能的情况下顺利运行而已，而不是积极寻求全方位的进行测试，大多数并没有对于潜在安全风险进行相关的测试工作。

在这个问题上，很多的安全人员与专家们认识到，进行独立的技术测试，能最全面和客观地检测到潜在的风险。

目前流行的用来最普遍的进行安全检测及进行定期系统自我检查的独立检测方式有如下三种：

1．源代码分析检测针对软件开发的底层代码进行相应的检测；

2．漏洞扫描检测针对网络基础设备或者相关的网络应用程序进行相关的漏洞扫描，以便查明在其网络的应用上是否配置不当存在漏洞或者潜在的威胁；

3．安全性测试系统模拟真实的使用环境，以最真实地暴露系统安全弱点，并对软件的安全功能及安全政策的有效性进行测试分析，并制定相

应的防灾应对机制以减轻相应的软件安全问题。

根据近一阶段发表的报告6，相当多的机构开始对自身的系统环境进行更积极主动的评测，特别是漏洞测试方面。将测试所获得的信息结合以往的数据，通过制定安全事件处理优先级的方式来降低安全系统的运行风险，从而提高安全系统的性能，以及满足外部评审的要求。许多安全测试系统的支持者，包括许多大型的安全机构都声称，他们目前使用的技术已经使他们具备对安全事件的操作定位能力8，对于相关的安全问题，能够进行有效的标记和进行处理优先级的划分。相应的未能主动进行安全测试的公司其商务上的合作伙伴及客户会逐渐认识到其存在技术上的落伍。

IT行业分析师，安全审计和相关的业者都将采用公认的漏洞评估与检测能力样本对系统进行评估，并针对现实中所采集到的实时指标做出在不同安全等级要求的可视图表报告。

比如说，作为PCI DSS标准的一部分(需要所有商业贷款或信用卡交易提供可靠的电子数据安全性)，从事这方面业务的银行部门都被要求进行在系统和应用上进行此类的测试6(包括以上列举的三种检测方式)以降低信息泄露的风险。

目前许多机构都有每年聘请外部顾问常驻，或者进行两年一度的安全测试，然而许多的专家都开始认为进行主动的自我评估是最理想的方式9：一来可以经常性地进行来保障安全工作的有效；二来，日常的测评的记录也能够为每年一度的测评工作作出补充。对应的测试系统还可以依照不同的评测标准为机构提供相关的参考，这方面已开始接近许多专业服务公司提供的信息分析服务内容了。并且这项技术是在众多专家对于漏洞分析的长期工作总结出的最有效方法的基础上建立起来的，能够从数据方面检测相关的安全工作是否达到原来预期的目标。

不难看出，基于以上的种种原因，所有这些采用的安全测试技术的迹象都表明，越来越成为当今普遍的检测方式；而且就目前的效果而言，这正在迅速成为漏洞评估的最基本最有效的方法。更甚一步，安全测试系统工作范围十分广泛，将安全测试系统整合进其它领域似乎也是十分合乎情理的，或者说安全测试可以很容易地与其他类似的技术进行结合。在不久的未来也许这类检测机制就能够按照使用者的需要在不同领域不同系统的要求下对系统进行自我检测，而相关的检测机构也可以不用专门为了某个安全系统进行定制测试内容而在那个领域进行主动深入的了解分析。

五、对综合测试的结论及展望

综合测试为组织在安全方面的检测能力提供保证，能使他们快速准确地找出系统中存在的弱点与不足，让被检测的单位可以根据检测报告进行有针对性的安全工作，使得安全工作方面在人力与财力做到有的放矢。而且在用户终端、网络，所进行的综合的，多层次的测试为最终用户和企业提供全面，集中的方法来进行安全管理。

与只参与软件开发过程的源代码分析工具或是提供组织长期列出潜在的弱点的漏洞扫描工作不同的是，全面的安全测试软件解决方案的可以协助用户对重大风险中的数据进行操作，使用户能在第一时间内对严重的问题做出反应。

目前许多平台进行评估的方式是让各种安全机构在系统不同的部分进行独立的漏洞检测，如针对Web应用程序的漏洞检查就是个很好的例子说明这点。但只有综合性的安全测试则是一种综合性的安全检查评估方式，它从底层设备乃至最终的用户安全策略开始抓起，反复对可能存在风险的问题进行检测，并对出现的问题做出适当的补救和反应。

许多的漏洞检测机构在完成工作后会提供一份关于漏洞的解决报告，相关的单位机构可以根据相应的内容对存在的问题进行解决改善。可以看到的是这项内容已于作为一个具体的要求写入PCI DSS标准的第11.3节10。

除了这些具体的要求，漏洞检测系统也有助于从某些方面增加组织安全制度的可执行性，让相应的防御机制和安全政策能更加广泛地得到贯彻与执行，这也使得综合测试越来越成为安全技术领域所推崇的做法。在复杂的威胁面前，严格遵守法规和生产过度信息的传统的安全系统已渐渐不能适应需要，许多单位将考虑应该如何将加强安全工作组织人员进行安全作为安全工作的重点，这显然靠一个安全软件是远远做不到的。

此外，无论是在目前或未来的时间里安全防范人员，执行业者还是业务线管理人员都在努力积极地寻找着有助于他们降低潜在的安全问题的方法，以提高他们在信息方面的安全程度。目前由于安全方面的原因，行业在信息系统上提出了越来越多的需求，随着第三方调查机构对于入侵与数据丢失的调查的深入与增多，全面系统地进行安全测试也正在成为被各个机构部门普遍接受并认为是高效且负责的做法

全面安全测试方案提供了能够通过的最有效方法检查出被测机构系统中存在的最关键的漏洞，从而降低经营风险，并确保系统的安全策略能有效地发挥作用。

安全工作的最迫切的目的就是，尽最大可能保护他们的工作和敏感的数据，而要做到这些就必须解决以下的重要问题，包括：

1．我们应牢牢把握对我们来说重要的风险和漏洞存在的情况，及时对这些潜在的问题做出相应的检查与评估；

2．避免成为攻击的目标，做好针对攻击进行检测的工作：

3保障现有的安全机制有效地运作，能直观地对作出分析与判断；

4．单位里的工作人员遵照单位制定的安全策略进行工作，对于安全策略中存在的不足进行改进，保证相应的贯彻执行。

这里所提出的这些问题，独立的综合性安全测试将提高系统的安全程度与反映速度，可以说主动进行综合性安全测试的时代即将到来。