葛琳琳，張威

（遼寧石油化工大學(xué)遼寧　撫順　113001）

?

高校學(xué)生信息服務(wù)系統(tǒng)滲透測試研究

葛琳琳，張威

（遼寧石油化工大學(xué)遼寧撫順113001）

摘要：高校學(xué)生信息服務(wù)系統(tǒng)為高校整體信息化建設(shè)帶來了很大的便利，但系統(tǒng)的信息化安全問題受到很大的關(guān)注，網(wǎng)絡(luò)和信息安全問題已經(jīng)成為急需解決的問題，特別是Web安全問題，已成為高校學(xué)生信息服務(wù)系統(tǒng)安全瓶頸。本文根據(jù)高校學(xué)生信息服務(wù)系統(tǒng)的特點，論述了針對高校學(xué)生信息服務(wù)系統(tǒng)的滲透入侵測試服務(wù)的步驟，詳述了對高校學(xué)生信息服務(wù)系統(tǒng)在不影響正常運行的情況下，具體進行滲透入侵測試實施過程和完成后的效果評估。

關(guān)鍵詞：信息服務(wù)系統(tǒng)；滲透測試；信息收集；效果評估

隨著學(xué)校規(guī)模的不斷擴大，學(xué)生數(shù)量急劇增加，有關(guān)學(xué)生的各種信息量也成倍增長。面對龐大的信息量，需要一個高校學(xué)生信息服務(wù)系統(tǒng)來提高學(xué)生管理工作及信息傳輸?shù)男?。通過該系統(tǒng)，提高學(xué)生管理效率，節(jié)約管理成本，加快信息傳播的速度及透明度，增強學(xué)生管理的安全性。從而滿足學(xué)校領(lǐng)導(dǎo)、教育管理單位、學(xué)生管理人員、教師和學(xué)生的不同層次和不同方面的需要，為學(xué)校將來的整體信息化建設(shè)提供必要的支持。然而，高校學(xué)生信息服務(wù)系統(tǒng)給使用者帶來極大的便利的同時，不可避免地會遇到一些新情況、新問題。比如，系統(tǒng)的信息安全、保密技術(shù)問題；信息的訪問形式與安全控制問題；這些都是對高校學(xué)生信息服務(wù)系統(tǒng)的人為的攻擊（例如高校學(xué)生信息泄漏、竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添和計算機病毒等），特別高等學(xué)校是高技術(shù)人群集中的場所。所以，為了確保高校學(xué)生信息服務(wù)系統(tǒng)的真實性和完整性，需要對高校學(xué)生信息服務(wù)系統(tǒng)進行不定期的滲透入侵測試來進行安全檢測。

1　高校學(xué)生信息服務(wù)系統(tǒng)滲透測試的步驟

滲透入侵測試是一種全新的安全防護思路，將安全防護從傳統(tǒng)的被動防護轉(zhuǎn)換成了主動防護。對高校學(xué)生信息服務(wù)系統(tǒng)進行滲透入侵測試是從第3方角度對學(xué)生信息服務(wù)系統(tǒng)的安全性進行檢查，能夠讓學(xué)生信息服務(wù)系統(tǒng)的管理者了解系統(tǒng)中安全漏洞可以被利用的情況。高校學(xué)生信息服務(wù)系統(tǒng)滲透測試的步驟如圖1所示。

圖1　高校學(xué)生信息服務(wù)系統(tǒng)滲透測試步驟

1）立項：由高校學(xué)生信息服務(wù)系統(tǒng)安全保障部門提出滲透入侵測試服務(wù)需求，招標或議標，確定服務(wù)提供商；

2）授權(quán)：由高校學(xué)生信息服務(wù)系統(tǒng)的領(lǐng)導(dǎo)與滲透入侵測試服務(wù)提供商簽訂滲透入侵測試服務(wù)授權(quán)書，允許滲透入侵測試服務(wù)提供商在規(guī)定的時間段內(nèi)，對高校學(xué)生信息服務(wù)系統(tǒng)的協(xié)議目標進行滲透入侵測試的相關(guān)活動；

3）目標：明確對高校學(xué)生信息服務(wù)系統(tǒng)滲透入侵測試服務(wù)的具體目標、希望的滲透入侵測試的結(jié)果等級，確定具體的滲透入侵測試方式，滲透入侵測試服務(wù)的有效時間段，對滲透入侵測試可能對系統(tǒng)運行帶來的影響進行評估，并制定相應(yīng)的應(yīng)急方案；評估滲透入侵測試服務(wù)的工作量與技術(shù)難度；

4）合同：由高校學(xué)生信息服務(wù)系統(tǒng)的領(lǐng)導(dǎo)與滲透入侵測試服務(wù)提供商簽訂滲透服務(wù)的商務(wù)合同；

5）準備：準備滲透入侵測試所需的目標信息，選擇合適的滲透入侵測試場所，準備滲透入侵測試所需的各種工具（滲透服務(wù)中使用的所有攻擊類工具，全部由滲透入侵測試服務(wù)提供商自己配備，由專業(yè)的滲透入侵測試工作人員操作，不銷售、不拷貝給其他人員，包括用戶方）；

6）滲透：具體的滲透入侵測試工作，一般是隱蔽的，高校學(xué)生信息服務(wù)系統(tǒng)工作人員不增加比平時維護更多的關(guān)注；

7）總結(jié)：滲透入侵測試時間到期，或滲透入侵測試提前成功，評估滲透入侵測試結(jié)果，編寫滲透入侵測試總結(jié)報告，給出系統(tǒng)整改建議報告，在滲透入侵測試過程中要嚴格遵守授權(quán)的時間，提前結(jié)束、延期、中斷后繼續(xù)等變化，都需要高校學(xué)生信息服務(wù)系統(tǒng)安全保障部門書面授權(quán)；

8）匯報：滲透入侵測試服務(wù)提供商把滲透的過程與結(jié)果、建議向高校學(xué)生信息服務(wù)系統(tǒng)安全保障部門匯報，可以展示滲透的有關(guān)結(jié)果截圖，或直接查看系統(tǒng)狀態(tài)；

9）清理：恢復(fù)高校學(xué)生信息服務(wù)系統(tǒng)修改過的目標配置，恢復(fù)修改過的數(shù)據(jù)與文件，徹底清除現(xiàn)場使用過的滲透工具拷貝；

10）結(jié)束：滲透入侵測試服務(wù)結(jié)束。滲透入侵測試服務(wù)提供商交回所有涉及高校學(xué)生信息服務(wù)系統(tǒng)的資料，并承諾對滲透入侵測試過程中得知的用戶敏感信息保密，不向第3方擴散。

2　高校學(xué)生信息服務(wù)系統(tǒng)滲透測試的實施

由滲透入侵測試服務(wù)提供商向高校學(xué)生信息服務(wù)系統(tǒng)安全保障部門主管提出申請，申請開始進行滲透測試，并落實學(xué)生信息服務(wù)系統(tǒng)安全保障部門需要配合的工作。

1）高校學(xué)生信息服務(wù)系統(tǒng)信息收集

高校學(xué)生信息服務(wù)系統(tǒng)安全評估的第一步是最大程度地收集目標系統(tǒng)的信息，這同樣也是滲透測試的關(guān)鍵性步驟。信息的收集和分析伴隨著滲透測試的每一個步驟。實現(xiàn)信息收集有很多種方法，例如：使用搜索引擎、掃描器或發(fā)送特殊構(gòu)造的HTTP請求等，這些手段都可以使服務(wù)器端的應(yīng)用程序返回一些錯誤信息或系統(tǒng)運行環(huán)境的信息，通過分析這些信息，可以為后期的滲透測試工作提供很大幫助，如：減小了滲透測試的范圍，加強了針對性；工作簡潔高效，避免做無關(guān)滲透測試；提高滲透測試效率，減少不必要的麻煩。

信息收集工作包括5類：Web服務(wù)器和應(yīng)用程序指紋探測、后臺應(yīng)用程序發(fā)掘、爬網(wǎng)和Goog1jng、錯誤代碼挖掘、應(yīng)用程序配置管理測試。

2）滲透測試實施

通過對高校學(xué)生信息服務(wù)系統(tǒng)的信息收集，可以簡單的描繪出目標系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，如高校學(xué)生信息服務(wù)系統(tǒng)網(wǎng)絡(luò)所在區(qū)域，IP地址分布，VPN接入地址等。對于高校學(xué)生信息服務(wù)系統(tǒng)進行專業(yè)滲透測試特別要注意一些比較偏門的HOST名稱地址，如一些backup開頭或者temp開關(guān)的域名很可能就是一臺備份服務(wù)器，其安全性很可能做的不夠。

從獲取的地址列表中進行系統(tǒng)判斷，了解高校學(xué)生信息服務(wù)系統(tǒng)組織架構(gòu)及操作系統(tǒng)使用情況。最常用的方法的是目標所有IP網(wǎng)段掃描和端口/服務(wù)信息收集。

3）通常按以下幾個級別進行逐層的滲透測試

①漏洞掃描

這一步主要針對具體系統(tǒng)目標進行。對于前面的信息收集，已經(jīng)得到了高校學(xué)生信息服務(wù)系統(tǒng)的IP地址分布及對應(yīng)的域名，并且已經(jīng)通過一些分析過濾出少許的幾個攻擊目標，這時，就可以針對它們進行有針對性的漏洞掃描。

②漏洞利用

有時候通過服務(wù)/應(yīng)用掃描后，可以跳過漏洞掃描部分，直接到漏洞利用。因為很多情況下根據(jù)目標服務(wù)/應(yīng)用的版本就可以到一些安全網(wǎng)站上獲取針對該目標系統(tǒng)的漏洞利用代碼；如果沒有可利用的代碼，也可以嘗試在GOOGLE上搜索“應(yīng)用名稱exp1ojt”、“應(yīng)用名稱vu1nerabj1jty”等關(guān)鍵字。

Web安全測試主要圍繞幾塊進行：

Informatjon Gatherjng：也就是一般的信息泄漏，包括異常情況下的路徑泄漏、文件歸檔查找等。

Busjness 1ogjc testjng：業(yè)務(wù)邏輯處理攻擊，很多情況下用于進行業(yè)務(wù)繞過或者欺騙等。

Authentjcatjon Testjng：有無驗證碼、有無次數(shù)限制等，總之就是看能不能暴力破解或者說容不容易通過認證，比較直接的就是“默認口令”或者弱口令了。

Sessjon Management Testjng：會話管理攻擊在COOKIE攜帶認證信息時最有效。

Data Va1jdatjon Testjng：數(shù)據(jù)驗證最好理解了，就是SQL Injectjon和Cross Sjte Scrjpt等。

③權(quán)限提升

在前面的一些工作中，已經(jīng)得到了一些控制權(quán)限，但是對于進一步攻擊來說卻還是不夠。例如：你可能很容易的能夠獲取Orac1e數(shù)據(jù)庫的訪問權(quán)限，或者是得到了UNIX（AIX，HPUX，SUNOS）的一個基本賬號權(quán)限，但是當進行進一步的滲透測試的時候，會發(fā)現(xiàn)沒有足夠的權(quán)限打開一些密碼存儲文件、沒有辦法安裝一個SNIFFER、甚至沒有權(quán)限執(zhí)行一些很基本的命令。這時候就需要進行權(quán)限提升了。

目前一些系統(tǒng)對于補丁管理存在很大問題，或許根本就沒有想過對一些服務(wù)器或者應(yīng)用進行補丁更新，或者是延時更新。這時候就是可以利用這些不及時的補丁進行滲透。

④密碼破解

有時候，高校學(xué)生信息服務(wù)系統(tǒng)任何方面的配置都是無懈可擊的，但是并不是說就完全沒辦法進入。最簡單的說，一個缺少密碼完全策略的論證系統(tǒng)就等于安裝了一個不能關(guān)閉的防盜門。很多情況下，一些安全技術(shù)研究人員對此不屑一顧，但是無數(shù)次的安全事故結(jié)果證明，往往破壞力最大的攻擊起源于最小的弱點，例如弱口令、目錄列表、SQL注入繞過論證等。

3　高校學(xué)生數(shù)字化檔案服務(wù)系統(tǒng)滲透測試的效果評估

對高校學(xué)生數(shù)字化檔案服務(wù)系統(tǒng)進行滲透入侵測試服務(wù)的交付結(jié)果應(yīng)該是“可以理解的”，作為滲透入侵測試服務(wù)的最終結(jié)果，可以通過下面4種服務(wù)目標來驗證滲透的效果：

1）竊取到高校學(xué)生數(shù)字化檔案服務(wù)系統(tǒng)內(nèi)的特定、敏感或有價值的信息；

2）修改了高校學(xué)生數(shù)字化檔案服務(wù)系統(tǒng)內(nèi)的特定、敏感或有價值的信息；

3）建立了遠程控制高校學(xué)生數(shù)字化檔案服務(wù)系統(tǒng)的后門通道；

4）成功潛伏在高校學(xué)生數(shù)字化檔案服務(wù)系統(tǒng)內(nèi)沒有被發(fā)現(xiàn)。

滲透入侵測試作為系統(tǒng)安全檢測服務(wù)，并不是在規(guī)定的時間內(nèi)都可以完成預(yù)定的滲透入侵測試任務(wù)，為了可以衡量滲透入侵測試服務(wù)的質(zhì)量，根據(jù)滲透入侵測試的實現(xiàn)程度把滲透入侵測試服務(wù)的效果如下分級，如表1所示。

表1　滲透入侵測試服務(wù)效果級別

滲透效果的取得與限定的滲透服務(wù)時間長度有很重要的關(guān)系，尤其是模擬APT攻擊的滲透，需要躲避用戶信息安全防護體系的種種監(jiān)控，不驚擾被滲透的目標人，一般不能直接掃描或暴力破解，采用慢掃描、誘騙等方式逐步滲透，有時時間可以長達幾個月，因此，要達到第4級滲透效果一般很難，若是用戶簽訂長期的滲透服務(wù)合同，或許可以獲得滿意的效果。

4　結(jié)束語

高校學(xué)生檔案數(shù)字化檔案服務(wù)系統(tǒng)能夠不斷地改善和提高檔案服務(wù)部門的服務(wù)質(zhì)量和效率，但在高等學(xué)校高技術(shù)人群聚集的單位，需要對學(xué)生的數(shù)字化檔案的安全性和完整性有完善的保障措施和保障體系，以確保高校學(xué)生的數(shù)字化檔案的真實性和可用性。所以，對于高校學(xué)生數(shù)字化檔案服務(wù)系統(tǒng)必須要進行不定期的滲透入侵測試，能夠準確的發(fā)現(xiàn)系統(tǒng)的漏洞并及時補救。

參考文獻：

［1］宋超臣，王希忠，黃俊強，等.Web滲透測試流程研究［J］.電子設(shè)計工程.2014，22（17）：165-167.

［2］張威，葛琳琳.一種抗幾何失真的非對稱圖像水印算法的設(shè)計［J］.遼寧石油化工大學(xué)學(xué)報：自然科學(xué)版，2014（34），6：71-73.

［3］葛琳琳，張威.數(shù)字化檔案IP網(wǎng)網(wǎng)絡(luò)設(shè)計方法的研究與應(yīng)用［J］.遼寧石油化工大學(xué)學(xué)報：自然科學(xué)版，2015，35（1）：62-66.

［4］張博，李偉華.Phjshjng攻擊行為及其防御模型研究［J］.計算機工程.2006，32（14）：125-127.

［5］王強，蔡皖東，姚燁.基于滲透測試的跨站腳本漏洞檢測方法研究［J］.計算機技術(shù)與發(fā)展，2013，23（3）：147-151.

［6］葛琳琳，張威，李平，等.高校黨校數(shù)字化檔案安全等級保護策略［J］.蘭臺世界，2015，469（4）：86-87.

Research on the Penetratlon test of lnformatlon servlce system for unlverslty students

GE Ljn-1jn，ZHANG Wej
（Liaoning Shihua University，F(xiàn)ushun 113001，China）

Abstract:Unjversjty student jnformatjon servjce system has brought a 1ot of convenjence for the constructjon of the who1e jnformatjon system，but the system's jnformatjon securjty has been a great concern. The network and jnformatjon securjty has become a prob1em to be so1ved urgent1y，especja11y the Web securjty has become the bott1eneck of Unjversjty student jnformatjon servjce system. In thjs paper accorded to the characterjstjcs of unjversjty students' jnformatjon servjce system，thjs paper djscussed the jntrusjon steps of penetratjon testjng servjces for unjversjty students' jnformatjon servjce system，detaj1ed the on unjversjty students' jnformatjon servjce system penetratjon jnvasjon test jmp1ementatjon process and after the comp1etjon of the eva1uatjon under does not affect the norma1 operatjon.

Key words:jnformatjon servjce system；penetratjon test；jnformatjon co11ectjon；effect eva1uatjon

中圖分類號：TN918

文獻標識碼：A

文章編號：1674-6236（2016）07-0154-03

收稿日期：2015-07-15稿件編號：201507115

基金項目：撫順市科學(xué)技術(shù)發(fā)展資金計劃項目（FSKJHT201548）；大學(xué)生創(chuàng)新創(chuàng)業(yè)資助項目（201410148060；201510148068）

作者簡介：葛琳琳（1977—），女，遼寧沈陽人，碩士。研究方向：網(wǎng)絡(luò)安全。