李琪

【摘要】? ? 在新形勢下，隨著我國信息技術(shù)以及互聯(lián)網(wǎng)技術(shù)的深入發(fā)展，先進的科學(xué)技術(shù)逐漸與制造業(yè)進行深度融合，工業(yè)互聯(lián)網(wǎng)實現(xiàn)了快速地發(fā)展，能夠滿足工業(yè)智能化的發(fā)展需求。但在實際的應(yīng)用過程中，如何構(gòu)建網(wǎng)絡(luò)、平臺、安全三大功能體系，加強工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全，強化工業(yè)互聯(lián)網(wǎng)的安全保障成為了大眾廣為關(guān)注的話題?；诖?，本文主要分析我國工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全存在的問題，并對網(wǎng)絡(luò)安全滲透測試技術(shù)進行分析，從而提高我國工業(yè)互聯(lián)網(wǎng)的安全水平。

【關(guān)鍵詞】? ? 工業(yè)互聯(lián)網(wǎng)? ? 網(wǎng)絡(luò)安全? ?滲透測試技術(shù)

引言：

在信息技術(shù)高度發(fā)展的今天，各種網(wǎng)絡(luò)技術(shù)以及技術(shù)產(chǎn)品不斷發(fā)展，逐漸融入到人們生產(chǎn)生活的各個領(lǐng)域，特別是在社會當(dāng)中的重要性越來越受到關(guān)注，人們在很多環(huán)境下都需要使用到互聯(lián)網(wǎng)技術(shù)。在這樣的背景下，就導(dǎo)致網(wǎng)絡(luò)技術(shù)不斷發(fā)展，為人民群眾帶來更高便捷性的同時，也提升了黑客攻擊的可能性，極大的影響輔導(dǎo)人們的日常使用。因此，要加強工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全，彌補工業(yè)互聯(lián)網(wǎng)的安全漏洞，抵抗黑客入侵和攻擊。

一、我國工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全存在的問題

工業(yè)互聯(lián)網(wǎng)能夠滿足工業(yè)的智能化發(fā)展需求，能夠讓工業(yè)發(fā)展跟隨著時代和社會進步的步伐，具有覆蓋面廣、可靠性高、延時性低的特點，是信息技術(shù)與先進制造業(yè)深度融合的產(chǎn)物，在我國國民經(jīng)濟發(fā)展中具有重要的地位。也正是工業(yè)互聯(lián)網(wǎng)的重要性，使它成為網(wǎng)絡(luò)攻擊的首要目標(biāo)，黑客入侵、網(wǎng)絡(luò)攻擊事件不斷出現(xiàn)，相比較西方一些先進國家而言，我國在工業(yè)互聯(lián)網(wǎng)領(lǐng)域的起步較晚，使得網(wǎng)絡(luò)的整體安全性不足，出現(xiàn)大量的漏洞，在一些先進技術(shù)的會用上也存在著較為明顯的差距，因此當(dāng)下在主要的領(lǐng)域當(dāng)中，有著幾方面網(wǎng)絡(luò)安全問題：

1.1核心技術(shù)發(fā)展不足

我國工業(yè)規(guī)模非常龐大，產(chǎn)業(yè)密集集群性較高，在新形勢下得到了迅速地發(fā)展和推廣，但在工業(yè)互聯(lián)網(wǎng)的核心領(lǐng)域比如核心芯片、公共系統(tǒng)以及相應(yīng)的公共軟件一直受制于人，從西方先進國家進行引進，本國的工業(yè)市場擁有的自身核心技術(shù)和科技產(chǎn)品較少，在進行網(wǎng)絡(luò)安全工作時，容易受制于人，不利于我國工業(yè)互聯(lián)網(wǎng)的安全發(fā)展。因此，我國要加強核心技術(shù)的研發(fā)和創(chuàng)新，并不利于我國當(dāng)下的網(wǎng)路空間技術(shù)的發(fā)展，因此就需要在未來發(fā)展中，提升對該領(lǐng)域技術(shù)的研發(fā)。

1.2網(wǎng)絡(luò)安全問題不夠重視

目前，我國工業(yè)互聯(lián)網(wǎng)雖然得到了大規(guī)模的發(fā)展，但工業(yè)互聯(lián)網(wǎng)企業(yè)普遍缺乏網(wǎng)絡(luò)安全意識，對網(wǎng)絡(luò)安全重視程度不高，往往重視經(jīng)營管理工作，重視獲取企業(yè)的經(jīng)濟效益，卻忽略了相應(yīng)互聯(lián)網(wǎng)產(chǎn)品以及機器設(shè)備的功能，導(dǎo)致我國工業(yè)互聯(lián)網(wǎng)安全隱患越來越突出，造成了一系列的安全問題，不利于我國工業(yè)互聯(lián)網(wǎng)的持續(xù)發(fā)展和壯大。其次，我國工業(yè)互聯(lián)網(wǎng)雖然得到了大規(guī)模普及，但發(fā)展速度過快，也導(dǎo)致相應(yīng)的專業(yè)技術(shù)人員匹配程度不高，專業(yè)人才儲備缺乏，但為了適應(yīng)工業(yè)互聯(lián)網(wǎng)的發(fā)展，部分企業(yè)聘請了一些專業(yè)資質(zhì)不高的工作人員或是從其他工作部門臨時調(diào)配工作人員進行網(wǎng)絡(luò)安全維護工作，不僅沒有達到工業(yè)互聯(lián)網(wǎng)安全工作的目標(biāo)，沒有對工業(yè)互聯(lián)網(wǎng)的安全進行保障，還會增加企業(yè)的投資成本，造成人力資源的浪費。

1.3安全防護能力較弱

在實際應(yīng)用過程中，我國部分企業(yè)在工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全方面防護能力較弱，普遍缺乏專業(yè)的防護措施和防護技術(shù)，沒有及時地對工業(yè)互聯(lián)網(wǎng)存在的漏洞進行填補，給黑客侵入以及非法分子攻擊提供了契機，影響了我國工業(yè)互聯(lián)網(wǎng)安全。其次，傳統(tǒng)工業(yè)在與互聯(lián)網(wǎng)進行連接時，沒有按照規(guī)定的標(biāo)準(zhǔn)和流程進行，埋下了安全隱患，如果缺乏相應(yīng)的安全防護手段，沒有及時清理安全隱患，就會導(dǎo)致我國工業(yè)互聯(lián)網(wǎng)以及相關(guān)系統(tǒng)處于“裸奔”的狀態(tài)，不能夠?qū)崿F(xiàn)工業(yè)互聯(lián)網(wǎng)的優(yōu)勢和積極作用，給工業(yè)企業(yè)自身安全以及信息安全帶來了嚴(yán)重的威脅[1]。

二、網(wǎng)絡(luò)滲透測試技術(shù)分析

2.1端口掃描技術(shù)

在當(dāng)下工業(yè)互聯(lián)網(wǎng)體系當(dāng)中，其端口就是一種互聯(lián)網(wǎng)在運行中的進程地址，而相關(guān)數(shù)據(jù)的出現(xiàn)，則是需要在到達計算機端之后，基于端口當(dāng)中的地質(zhì)，將其信息數(shù)據(jù)傳遞到服務(wù)進程當(dāng)中。在端口掃描的過程中，可以實現(xiàn)對地質(zhì)端口的掃描，因此確定出目標(biāo)系統(tǒng)的基本信息，以及對其開放的服務(wù)類型進行分析之后，工作人員可以根據(jù)調(diào)查分析，及時找出目標(biāo)系統(tǒng)可能存在的安全漏洞和安全弱點，為網(wǎng)絡(luò)滲透提供基礎(chǔ)和依據(jù)。其次，端口掃描技術(shù)是滲透測試技術(shù)的基礎(chǔ)，在實踐應(yīng)用過程中得到了規(guī)范的推廣和應(yīng)用，常用的端口掃描工具主要有SSPort、ScanPort等[2]。

2.2漏洞掃描技術(shù)

安全漏洞是影響工業(yè)互聯(lián)網(wǎng)正常運行的重要影響因素，在新形勢下網(wǎng)絡(luò)安全問題引發(fā)了越來越多人的關(guān)注。隨著我國先進科學(xué)技術(shù)發(fā)展的同時，導(dǎo)致安全漏洞被利用的速度越來越快，利用程度越來越高，破壞效果以及影響也越來越大。因此，在進行工業(yè)互聯(lián)網(wǎng)的安全保護工作時，也要使用漏洞掃描技術(shù)，檢測目標(biāo)系統(tǒng)的脆弱性和安全性，發(fā)現(xiàn)目標(biāo)系統(tǒng)存在的漏洞并針對安全漏洞進行進一步的滲透測試，從而明確工業(yè)互聯(lián)網(wǎng)的薄弱地點。漏洞掃描技術(shù)相比較端口掃描技術(shù)更加先進，效率更高，這樣更加有效的獲取到更多的端口上處于監(jiān)控狀態(tài)的服務(wù)信息。在接下來的分析過程中，以及相對應(yīng)的版本中的安全性，以及一些錢在的安全漏洞問題，也會得到進一步的分析。當(dāng)下進行漏洞掃描技術(shù)的試用下，是一種對工業(yè)互聯(lián)網(wǎng)的內(nèi)外同時開展的掃描工作，進行外部掃描的過程中，是一種基于真實環(huán)境下的操作方式，因此可以實現(xiàn)外部特征的全方位掃描處理，之后對服務(wù)器進行各種類型端口的檢查，對已經(jīng)知曉的漏洞等進行及時地檢測和維護。內(nèi)部掃描可以從系統(tǒng)內(nèi)部出發(fā)去檢測系統(tǒng)內(nèi)部的軟件配置，檢查軟件配置的缺陷以及存在的漏洞，及時發(fā)現(xiàn)系統(tǒng)內(nèi)部存在的錯誤配置以及容易受攻擊的配置，從而達到安全防護的目的，達到網(wǎng)絡(luò)安全的目標(biāo)。常用的漏洞掃描技術(shù)主要有HTTP漏洞掃描、SSH漏洞掃描、FTP漏洞掃描等。常用的工具有Windows、Scanner等[3]。

2.3緩沖區(qū)溢出技術(shù)

緩沖區(qū)的溢出攻擊，就是一種基于緩沖區(qū)的基本原理，對其攻擊技術(shù)進行研究。緩沖區(qū)就是一種在程序進行實際分配的過程中，將其臨時存放數(shù)據(jù)信息的區(qū)域。而緩沖區(qū)的溢出，也是一種程序的緩沖區(qū)，因此在進入到緩沖區(qū)長度的數(shù)據(jù)之后，其超出了應(yīng)有的長度范疇，就會直接導(dǎo)致相關(guān)數(shù)據(jù)出現(xiàn)一定的溢出問題。另外，在溢出之后，由于破壞了程序的數(shù)據(jù)存放區(qū)域，直接導(dǎo)致程序出現(xiàn)了一定程度轉(zhuǎn)變，因此就是的對其供給目的造成了影響。程序當(dāng)中的內(nèi)存，基本上可以分為出程序段、數(shù)據(jù)段、堆棧這三部分。在各類網(wǎng)絡(luò)安全威脅中，被廣泛利用的就是緩沖區(qū)溢出攻擊，黑客常常會利用堆棧溢出為契機，在函數(shù)返回時改變程序的地址和命令，讓程序運行非法指令達到攻擊的目的，、篡改甚至刪除目標(biāo)系統(tǒng)中的數(shù)據(jù)信息，對工業(yè)互聯(lián)網(wǎng)的安全造成了極大的影響和威脅。

2.4 SQL注入技術(shù)

SQL注入技術(shù)，就是一種利用特殊的SQL依據(jù)，當(dāng)做傳輸過程中的參數(shù)，并將其傳輸?shù)匠绦虍?dāng)中，同時也利用執(zhí)行特殊的SQL語句，對其執(zhí)行攻擊者所需要的各種操作與步驟，進行針對性的操作。在使用SQL注入技術(shù)是程序開發(fā)者， 并沒有針對用戶的輸入相關(guān)數(shù)據(jù)信息，進行針對性的判斷與分析，因此就導(dǎo)致其評估信息的過程中，無法確定合法性與準(zhǔn)確性，進而導(dǎo)致在日后的實際使用過程中，出現(xiàn)一定的安全隱患。黑客針對這一漏洞會向應(yīng)用程序提交一段SQL查詢代碼，然后讓程序運行這串代碼，黑客通過查詢程序返回的結(jié)果和數(shù)據(jù)就能夠獲得想要知道的內(nèi)容，從而破壞了工業(yè)互聯(lián)網(wǎng)的安全性和保密性，造成了嚴(yán)重的信息危機。對于SQL技術(shù)而言，由于自身的技術(shù)難度不高，但是危害性較高，就使得能夠輕易的利用免費的SQL技術(shù)，就對部分目標(biāo)系統(tǒng)的網(wǎng)站或應(yīng)用程序進行攻擊，對人們的生產(chǎn)生活甚至是企業(yè)的發(fā)展造成了嚴(yán)重的影響。

2.5木馬攻擊技術(shù)

木馬攻擊技術(shù)危害性較高，隱蔽性較強，因此能夠?qū)I(yè)互聯(lián)網(wǎng)的安全性以及保密性造成極大的影響和威脅，不僅能夠篡改甚至是刪除目標(biāo)系統(tǒng)中的數(shù)據(jù)信息，甚至還會影響計算機的使用，造成計算機的全面癱瘓。木馬攻擊技術(shù)主要有兩部分組成，第一部分是服務(wù)端程序，第二部分是客戶端程序。服務(wù)端程序通常被安裝在目標(biāo)計算機上，客戶端程序主要安裝在攻擊者計算機上，在應(yīng)用木馬攻擊技術(shù)時會將服務(wù)端程序以及客戶端程序進行有效的連接，從而實現(xiàn)對目標(biāo)計算機的遠(yuǎn)程控制，掌握目標(biāo)計算機中的各種信息，甚至篡改信息，對目標(biāo)系統(tǒng)造成了極大的危害，影響我國工業(yè)互聯(lián)網(wǎng)的發(fā)展。

2.6網(wǎng)絡(luò)滲透測試流程

網(wǎng)絡(luò)滲透測試技術(shù)，就是將一種對于黑客進行攻擊行為模擬分析，以此可以收集到更多的數(shù)據(jù)信息，盡可能多地獲得想要參透目標(biāo)的信息，從而根據(jù)這些信息和數(shù)據(jù)不斷完善安全防護體系，增強工業(yè)互聯(lián)網(wǎng)的安全性能。比如從在社會工程學(xué)的角度出發(fā)，需要對目標(biāo)公司在網(wǎng)站、文件等類型的資料信息當(dāng)中，進行各種有滲透價值信息的獲取與采集，比如進行服務(wù)器種類、系統(tǒng)平臺以及各種相關(guān)信息的獲取，這樣便可以很好的實現(xiàn)目標(biāo)信息的掃描以及處理。之后，還需要對其目標(biāo)公司的服務(wù)器端口進行掃描，以此更加明確的了解到公司計算機系統(tǒng)當(dāng)中存在的諸多漏洞問題，同時結(jié)合起公司發(fā)布的一些漏洞報告，可以推測出可能出現(xiàn)的漏洞問題，實現(xiàn)針對性的攻擊。快速找到滲透的重點，然后根據(jù)相應(yīng)的實際情況選擇不同的滲透技術(shù)可以通過緩沖區(qū)溢出攻擊、SQL注入攻擊、或者木馬攻擊等攻擊形式對目標(biāo)工業(yè)互聯(lián)網(wǎng)進行滲透攻擊，從而有效獲得目標(biāo)系統(tǒng)的控制權(quán)，達到滲透測試的目的。

三、結(jié)束語

綜上所述，網(wǎng)絡(luò)安全滲透測試是一種主動式的網(wǎng)絡(luò)安全防控方法，應(yīng)該引起用戶以及工業(yè)互聯(lián)網(wǎng)的重視，不僅要加強網(wǎng)絡(luò)安全滲透測試的應(yīng)用，還要不斷進行理論和研究創(chuàng)新，要對滲透測試技術(shù)以及測試流程進行分析和總結(jié)，不斷學(xué)習(xí)和從事網(wǎng)絡(luò)滲透測試，提高我國工業(yè)互聯(lián)網(wǎng)的安全性。

參考文獻：

[1]金世堯，劉俊.工業(yè)互聯(lián)網(wǎng)在局域網(wǎng)中的安全問題剖析[J].科技風(fēng)，2021（13）：95-96.

[2]陳坤華.工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全滲透測試技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（04）：124-126.

[3]張志華.基于滲透測試的網(wǎng)絡(luò)安全漏洞實時偵測技術(shù)[J].科學(xué)技術(shù)與工程，2018，18（20）：297-302.

參? 考? 文? 獻

[1]金世堯，劉俊.工業(yè)互聯(lián)網(wǎng)在局域網(wǎng)中的安全問題剖析[J].科技風(fēng)，2021（13）：95-96.

[2]陳坤華.工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全滲透測試技術(shù)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（04）：124-126.

[3]張志華.基于滲透測試的網(wǎng)絡(luò)安全漏洞實時偵測技術(shù)[J].科學(xué)技術(shù)與工程，2018，18（20）：297-302.