首页 - 理财 - 产品动态 - 正文

网络安全 “渗透”一下

关注证券之星官方微博:

渗透一词,在汉语中通常比喻某种事物或势力逐渐进入其他方面。而在IT互联网领域,渗透是一个专业的网络技术词汇,它具有两种含义,即网络渗透(Network Penetration)和渗透测试(Penetration Test)。二者实际上所指的都是同一内容,也就是研究如何一步步的攻击入侵某个大型网络主机服务器群组。只不过从实施的角度上看,前者是攻击者的非法行为,而后者则是安全人员通过模拟入侵攻击,进而寻找最佳安全防护方案的正当手段。对于即能给网络系统造成严重破坏,也可以为维护网络安全做出巨大贡献的渗透行为,各个机构、企业的网络管理人员有必要对其进行深入了解并给予高度重视。


无孔不入的网络渗透

随着网络技术在政府、金融、教育、通信等各个行业应用的普遍化、网络系统规模的扩大化及网络结构的复杂化,各种网络维护工作也变得极为重要。一旦网络出现问题,将会影响机构、企业的正常运作。而在各种网络维护工作中,网络安全工作更是重中之重,它保障着网络的正常运行,避免因黑客入侵带来可怕的损失。

面对越来越多的攻击事件,网络管理员们采取了大量积极、有效的应对措施,大大提高了网络的安全性,使黑客很难直接攻破一个防御到位的网络系统。于是,黑客改变了策略。第一次世界大战期间,德军发现他们的大规模进攻不仅无力突破日复一日增强的防御体系,而且还要付出数量惊人的伤亡。痛定思痛后,德军开始利用小股作战单位,利用对方防御的间隙和接合部,渗透到敌方的防御体系当中,打击重要目标、切断交通线,取得了很好的战果,这一战术被称为“渗透战术”。现代的黑客似乎继承了这一战术,他们在一个个看似安全的网络系统上,耐心的寻找到一个个小漏洞、小缺口、小缺陷,然后一步一步地渗透、渗透、再渗透,最终进入网络系统的核心,瓦解掉整条安全防线。

普通的网络攻击通常是利用WEB服务器漏洞入侵网站,进行更改网页、网页挂马等操作。其攻击具有目标随机、目的单一等特性。而渗透攻击的攻击目标是明确的,目的也比较复杂,例如对特定企业进行攻击并窃取商业机密、进行网络破坏等。为达到目的,攻击者实施攻击的步骤是非常系统的,攻击手段也不会限于简单的Web脚本漏洞攻击,而是综合运用如嗅探、远程溢出、ARP欺骗等多种攻击方式,逐步控制网络。作为一种系统渐进型的综合攻击方式,渗透攻击可谓无孔不入,危害巨大,且极难防范。因为不论网络安全工作如何细致,都有可能存在疏漏。而多数管理员由于缺乏丰富的网络攻防经验和专业的攻防技能与知识,无法及时发现漏洞。那么,如何才能及时发现漏洞、修补防线呢?这就需要请专业的安全人员来一场攻防演练,也就是渗透测试。

必不可少的攻防演习-渗透测试

在战场上,检验防线是否坚固要通过实战演习,而网络安全防线同样需要攻防演练来检验防御体系的完善程度。这种网络攻防演练由专业的安全服务人员实施,他们使用渗透技术手段对目标系统发起模拟攻击,这种模拟攻击行为就是渗透测试。

渗透测试的目的在于充分挖掘和暴露系统的弱点,从而让管理人员了解其系统所面临的威胁。由于紧贴“实战”,所以渗透测试的模拟攻击往往能暴露出一条甚至多条被人们所忽视的漏洞,从而发现整个网络系统的威胁所在。例如,如果网络防线在模拟攻击中“失守”,根源一般不是因为某一个系统的某个单一问题所致,而是由一系列看似没有关联而又不严重的缺陷组合而导致的。此类缺陷组合恰恰是最容易被管理员忽略,而被渗透攻击者利用的,但专业的测试人员却可以靠丰富的经验和技能将它们进行串联并展示出来,以此明确系统中的安全隐患点。

渗透测试可有效督促网络管理员杜绝任何一处小的缺陷,从而降低整体风险。另外,部分行业监管部门对于新业务系统有上线前安全测试、检测、评估的要求,渗透测试完成后形成的《系统渗透测试报告》是应用系统上线前所需的重要技术合规性文件。因此,不论从系统的安全性还是合规性来说,渗透测试都是网络安全工作中不可或缺的一环。  


网络安全,“渗透”一下

那么,为了保障网络和系统的安全,现在就着手来一场渗透测试吧。为了保障渗透测试的专业性、合规性及测试结果的独立、公正、客观,测试需要由第三方信息安全机构开展。例如对网络安全有着极高要求的银行业,在网络系统需要进行渗透测试时,一般会将测试工作委托给CFCA中国金融认证中心下属的信息安全实验室。CFCA信息安全实验室的渗透团队由具备信息安全领域从业6年以上经验的技术骨干组成,其项目经验较为丰富,目前已为数十家全国性、外资银行及城商行和大批企事业单位提供了渗透测试服务。

根据CFCA信息安全实验室的测试人员介绍,渗透测试的范围主要包括了操作系统、数据库、应用服务的已知漏洞、不安全配置以及 Web 应用程序的常见漏洞、常见的业务安全测试。以业务安全测试为例,如果系统有涉及支付、交易的业务功能,测试人员会对业务过程中产生的数据包进行抓取,对交易、支付过程中的订单号及交易数量、金额、日期、用户等所有能影响支付结果的参数数据进行模拟篡改攻击,逐一挖掘这些业务功能是否存在漏洞。

在完成系统各个部分的渗透测试后,测试人员会出具一份详细的《渗透测试报告》。报告不仅针对每种威胁、漏洞进行详细描述,还包含解决方案和安全建议,为管理员化解威胁、修补漏洞提供重要参考。在网站管理员完成漏洞修复并提出漏洞复查请求的3个工作日内,测试人员将完成漏洞修补的复查工作并提交《漏洞复查报告》,至此测试即告完成。经过渗透测试的网络系统如同经过战火洗礼的防线一样,可以更好的抵御网络渗透攻击。而通过与测试人员的学习交流,网站管理员也能更为专业、严谨的完成日常的网络安全维护工作。

微信
扫描二维码
关注
证券之星微信
APP下载
下载证券之星
郑重声明:以上内容与证券之星立场无关。证券之星发布此内容的目的在于传播更多信息,证券之星对其观点、判断保持中立,不保证该内容(包括但不限于文字、数据及图表)全部或者部分内容的准确性、真实性、完整性、有效性、及时性、原创性等。相关内容不对各位读者构成任何投资建议,据此操作,风险自担。股市有风险,投资需谨慎。如对该内容存在异议,或发现违法及不良信息,请发送邮件至jubao@stockstar.com,我们将安排核实处理。
网站导航 | 公司简介 | 法律声明 | 诚聘英才 | 征稿启事 | 联系我们 | 广告服务 | 举报专区
欢迎访问证券之星!请点此与我们联系 版权所有: Copyright © 1996-