信息系统审计中的渗透测试研究

张骄 刘舰

【摘要】渗透检测作为一种新的网络安全技术，对网络安全具有重要的现实意义。渗透检测作为一种专业的服务安全性在国外应用越来越广泛，中国的大多数企业都不了解渗透检测的意义，只有少数从事安全工作的資讯公司能成功通过渗透测试。事实上，内部渗透试验无论从理论上还是实践上与国外先进水平相比都还处于初始阶段。本研究的目的是介绍信息系统审计的发展现状及渗透测试对满足当前信息系统审计需求的意义，并总结了信息系统审计中重要的渗透测试方法，建议采用渗透测试方法进行安全性评价。

【关键词】信息系统审计;渗透测试;关键技术;方法

一、信息系统审计发展的现状

信息时代企业的经营管理和产品销售依赖于信息系统和网络环境，但是，由于信息系统自身的特点，控制信息系统在环境中的运行所带来的风险，对于审计造成风险越来越大，这与基于会计系统和客户内部信息系统的新特性有关。[1]通过更多地使用计算机和网络，经过多年的发展和进步，中国的信息系统审计工作取得了一定的共识，国内企业和学术界对信息系统审计的理论和实践研究取得了一定的成果。

（一）审计信息化投资持续增长

近年来，国家高度重视审计信息化，国家各级审计机关信息化建设投入逐年增加，许多地方审计机关都配备了电脑，主要集中在硬件布局上，同时开始开发审计软件，但在培训检查员的过程中，资金仍然不足。许多当地检查员都有计算机，但仅仅是简单的取样工作，无法对信息系统进行审计。此外，由于我国的特殊情况，东西部地区特别是西部边远地区发展不平衡。

（二）审计管理信息化建设初见成效

随着国家信息化进程的推进，各级政府机关信息化水平不断提高，而审计系统也不例外。目前，在国家审计署的底层，国家各级机关都建立了自己的局域网，建立了因特网上的官方网站。[2]各级审计机构之间建立网络有助于它们之间交流信息和文件。

（三）信息系统软件开发走向商品化

由于建立信息系统的延误，许多管理人员对风险认识不足，国内企业信息系统审计服务需求连续下降，导致国内市场萎缩，软件公司对这个小市场的功能审计软件开发缺乏热情。目前国内审计机构的研发能力薄弱，难以测试其软件测试能力。

二、信息系统审计中渗透测试的意义

渗透测试俗称安全评估。所谓的渗透测试是指评估人员扮演黑客的角色，以攻击企业的网络，根据黑客的想法和专家们自己的经验，模拟黑客进入企业网络。发现黑客能在公司网络上能做些什么，可以得到什么有价值的信息。评估人员可以发现企业安全系统的缺陷。这项测试的结果必须准备好并向客户提供安全报告，并提供建议和证据。渗透测试不仅仅是风险评估的一部分，成功的渗透测试可以检测到企业网络中最脆弱的部分。渗透测试可以从系统外部模拟真正的攻击者，不像从系统管理者角度考虑系统的安全性，渗透试验报告可作为评估风险的重要原始数据，可为网络安全总体形势提供具体证据，用于投资者或管理者。

三、信息系统审计中渗透测试关键技术研究

计算机网络渗透测试通过结合测试者自身的经验，模拟黑客攻击，来测试系统-对象安全的薄弱环节。因此，具体的渗透测试方法基本上等同于破解方法，攻击过程主要分为两个阶段，即：

（一）预攻击阶段渗透测试技术

目前，地址扫描分析方法已被许多使用ICMP协议的扫描方法所采用。当网络协议部分发生错误时，收件人将自动生成ICMP错误消息。如果在IP消息中发现代码或版本验证错误，目标服务器将删除该分组。[4]

操作系统检测方法可根据检测程序分为被动检测协议和主动检测协议。根据无源协议，并使用现有工具检测操作系统并分析其漏洞。通过检测远程节点而不是被动操作系统。其主要目的是捕获从远程节点发送的分组，并基于该子群获取一些操作系统信息。主动控制原理利用TCP/IP协议的网络特性，在与TCP的通信中，使用不同的识别操作系统，在分析后出现在TCP/IP组中的操作系统可以被精确识别。

脆弱性分析是对当前系统的脆弱性进行分析，并在确保找出潜在的危险和可能的安全漏洞安全。霍尔扫描包括内部和外部扫描，通过网络进行外部扫描，网络使用服务器扫描作为外部属性，自动定义服务端口并提供服务。

（二）攻击阶段渗透测试技术

拒绝提供服务的主要目的，是防止电脑系统或互联网系统无法正常运作，包括通信攻击和宽带网络攻击。在单位时间内请求相当数量的连接时，会给包括网络资源和操作系统资源造成巨大压力。攻击是根据系统的脆弱性和对目标系统的直接攻击来执行。最常用的是缓冲区。在这些攻击中，使用了ARP欺骗、IP欺骗、网络欺骗等方法。在报告MAC地址网络错误后，无法通过Internet正常获取返回信息，并欺骗了被篡改的PC发送数据的网关。

网络监视器设计用于拦截数据流和传输网络内容。通过侦听端口传输的信息由攻击者分析，而信息如果能控制网络，网络可以在的任何地方被监听，但最好是网关、路由器，防火墙等等。

四、信息系统审计中渗透测试方法研究

目前，许多国家渗透检测机构为目标用户提供渗透检测服务。这会对提高用户的安全意识，填补用户安全系统的空白，减少用户网络攻击造成的破坏。

（一）外网测试

首先，黑客总是从网络的外侧开始攻击。这样从黑客的角度来看，渗透测试人员也处于一个完整的外网中，通过互联网进入目标网络，模仿外部攻击者的行为。外部网络测试分为黑匣子和秘密测试两类。用户可要求控制测试过程过滤整个网络，然后使用黑匣子进行测试，而不是秘密测试。

外部网络测试的主要参数包括对网络设备的远程攻击。验证密码管理的安全性。验证网站和其他开放应用程序的安全性。在外部网络上发现的漏洞对网络是致命的，这意味着黑客可以从外部攻击用户网络，应立即纠正网络的缺陷。

（二）内网测试

内部网络测试主要模拟两种场景：一是外部攻击者通过获得网络中的共享用户权限成功地渗透到网络中，但应在获得网络超级用户权限之前。二是内部网络测试模拟外部和外部攻击者跨越网络防火墙边界的可能攻击。

（三）网间测试

如果攻击者完全控制网络的某一部分，网络间测试允许其在突破后评估子网对其他子网的影响。此外，为了评估交换机和路由器的安全性，通常可以使用跨网络测试来完成。

参考文献：

[1]申亚君.大数据环境下的信息系统审计分析[J].无线互联科技，2020，17（01）：40-41.

[2]陈跃辉.渗透测试在网络安全等级保护测评中的应用探讨[J].网络安全和信息化，2021（07）：36-38.