前言：尋找寫作靈感？中文期刊網用心挑選的信息系統審計中的滲透測試，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：滲透測試是指經授權對網絡或主機進行攻擊測試，以評估計算機系統安全性的一種評估方法。本文借鑒了當前滲透測試的常見方式，結合近年來人民銀行信息系統開展滲透測試的實踐經驗，提煉了信息系統審計的滲透測試的思路和方法，并給出了相關建議。

關鍵詞：內部審計；信息系統；滲透測試；信息安全

近年來，隨著信息系統在央行履職中的支持作用不斷增強，央行信息系統逐漸向外部機構或互聯網開放，其面臨的入侵風險與日俱增。在信息系統審計中，如何運用各種可信安全工具對信息系統安全性進行滲透測試審計，是當前信息系統審計工作的一個嘗試。

一、信息系統安全審計的4種方式

在近兩年的信息系統審計中，審計人員已不單局限于傳統看配置的檢查方式，而是逐漸延伸到挖漏洞、看代碼、查日志等多種審計方式。以下是信息系統安全審計的4種方式。

（一）配置檢查（看配置）

配置檢查是指分析操作系統、數據庫、網絡設備和中間件的配置文件，評估其是否安全。在傳統信息系統審計中，對系統安全的審計通常指配置檢查，而近年來對人民銀行信息系統的審計，已通過程序化腳本逐步實現對操作系統、數據庫和網絡設備的自動化配置檢查。配置檢查的優點是標準化程度高，檢查人員只須逐項核對標準，或使用腳本檢查即可完成。但配置檢查也存在難以評估的問題，并且在配置合規的情況下，由于固有漏洞的存在，信息系統仍可能存在安全風險。傳統的配置檢查已難以達到信息安全的要求。

（二）滲透測試（挖漏洞）

滲透測試是信息系統審計的重要環節。審計署和中國內部審計協會均對滲透測試方式進行了闡述。審計署《信息系統審計指南》提出工具檢測方法：安全工具檢測，即利用入侵檢測、漏洞掃描等工具的監測結果進行分析評價。中國內部審計協會《內部審計具體準則——信息系統審計》提出“內部審計人員在充分考慮安全的前提下，可以利用可靠的信息安全偵測工具進行滲透性測試”。通過滲透測試，審計人員可以對配置檢查發現的問題予以確認并評估影響，使審計結論更具說服力；還可以從攻擊者的視角挖掘配置檢查難以發現的問題，找出系統安全的薄弱環節，為內審部門對系統安全進行深層次的審計分析和預警提供新思路。

（三）業務邏輯漏洞挖掘和代碼審計（看代碼）

業務邏輯漏洞是指與業務邏輯相關的漏洞，如身份認證安全、業務一致性、業務數據篡改等漏洞。代碼審計是指檢查關鍵代碼中的安全缺陷，以發現安全隱患。業務邏輯漏洞可通過黑盒測試發現，也可通過白盒測試（代碼審計）發現。

（四）日志審計（查日志）

日志審計是指基于信息系統中的日志，檢查內部人員的操作是否合規，并檢查系統是否被外部成功攻擊。對內而言，通過檢查堡壘機日志、數據庫操作日志、操作系統日志等，可以發現是否存在影響系統安全的非授權操作；對外而言，通過檢查應用日志、Web日志等，可以檢查是否有黑客曾經成功入侵信息系統，并獲取數據。當前，人民銀行信息系統安全通常由科技部門、審計和第三方安全公司進行檢查。配置方面，各種檢查均有涉及，且較為成熟；挖漏洞方面，科技部門和安全公司通常借助安全工具進行檢查，審計較少涉及；看代碼方面，各項檢查均較少涉及；查日志方面，科技部門和審計通常能檢查內部訪問日志和外部入侵日志，安全公司因保密所限通常只檢查外部入侵日志。由于在挖漏洞和看代碼方面仍存在一定的檢查盲區，近年來，在人民銀行信息系統審計中，審計人員也嘗試逐步固化滲透測試流程，并在個別項目中嘗試代碼審計，取得了一定進展。

二、信息系統審計中滲透測試的基本流程

本節參考滲透測試執行標準（PenetrationTestingExecutionStandard，PTES），并結合人民銀行信息系統審計的實際情況，對審計中的滲透測試（含業務邏輯漏洞挖掘）流程進行介紹。

（一）前期交互

在前期交互中，確定滲透測試的范圍、環境、使用的工具等，并提前告知，經授權后方可實施。其中，范圍指需要測試的系統和設備，應全面覆蓋所有子站和設備；環境指測試或生產環境，應盡量選擇非工作時間在測試環境進行測試，并限制掃描頻率，必要情況下可在生產環境進行驗證；工具指測試用的硬件或軟件，包括漏洞掃描設備或軟件等，在生產環境中進行測試驗證應選擇可信的軟件，防止工具帶有病毒影響生產環境。

（二）信息收集

1.信息系統資產信息

收集所有服務的系統和設備，包括IP地址、域名和端口等。對內網的系統，可使用掃描工具收集所有在用IP和端口；對外網的系統，可以通過搜索引擎搜索指定網站的后臺管理等敏感頁面。

2.操作系統、中間件和應用版本信息

獲取各操作系統、數據庫、服務、應用和中間件的版本信息，通常未更新的系統或中間件可能存在漏洞。

3.安全防護軟件信息

信息系統的網站配有安全防護軟件，用以防護惡意掃描及滲透測試。檢查對應安全防護軟件是存在能繞過，并確定漏洞掃描策略。

4.歷史漏洞信息

通過國家信息安全漏洞共享平臺等網站獲取已發現的歷史漏洞，檢查漏洞是否被修復，或是否有相似的漏洞。此外，對審計人員而言，除上述渠道外，還可直接調閱相關資料。如針對信息系統資產，可調閱被審計單位IP分配表、運維操作手冊、網絡設備配置來獲取相關信息；針對操作系統、中間件、應用、安全防護軟件信息，可調取部署和變更文檔；針對歷史漏洞信息，可調閱第三方安全公司的滲透測試報告等。在必要情況下，審計人員還可調閱涉及輸入、流程管理等核心部分的代碼進行檢查。

（三）漏洞挖掘

漏洞挖掘是滲透測試中最重要的環節，主要有以下方法。

1.漏洞掃描

一是使用通用掃描工具進行掃描。包括AWVS，Nessus等工具，其中AWVS主要針對網站進行漏洞掃描，Nessus除掃描網站漏洞外還可掃描系統漏洞。二是使用專用掃描工具進行掃描。包括Sqlmap，Xsser等工具，其中Sqlmap主要針對數據庫注入漏洞，Xsser主要針對跨站漏洞。三是代碼掃描。使用代碼掃描軟件，檢查代碼關鍵節點（如輸入框、上傳文件位置）是否存在漏洞。

2.查找系統和中間件漏洞

一是檢查舊版本存在的漏洞。根據前期信息收集中的版本信息，通過CVEDetail等查找對應版本存在的漏洞，并查找是否存在相關漏洞利用代碼。二是檢查系統和中間件是否使用弱口令。通過Hashcat等工具檢查系統、數據庫等中間件是否存在弱口令。

3.挖掘業務邏輯漏洞

即使用各種工具，挖掘關鍵業務流程中是否存在業務邏輯漏洞。一是使用各種工具。包括瀏覽器自帶的開發者工具、Wireshark，Fiddler，Burpsuite等抓包和改包工具。二是挖掘關鍵業務流程。關鍵業務流程包括信息修改、密碼修改、支付流程，以及手機或郵箱驗證的流程等。三是發現業務邏輯漏洞。常見的業務邏輯漏洞包括重放攻擊、數據篡改、流程繞過、驗證模塊暴力破解、越權漏洞等。對涉及資金的業務而言，業務邏輯漏洞的危害性更大。在上述漏洞挖掘過程中，漏洞掃描可以發現大部分安全問題。但是在無法使用掃描工具的情況下，需要通過抓包和改包軟件對業務邏輯進行黑盒測試，或進一步通過代碼審計進行白盒測試才能發現安全漏洞。

（四）報告

1.描述過程

描述產生業務影響的漏洞攻擊的過程，包括漏洞發現、利用和驗證的全過程。

2.評估風險

綜合考慮發現的所有漏洞，評估可能產生的業務風險。如當系統交易數據庫同時存在弱口令和網絡訪問控制不嚴的漏洞時，攻擊者可以遠程修改數據威脅資金安全。

3.評估影響

對發現的漏洞，從日志層面評估相關數據是否已泄露或被篡改。目前，國家法規和行業規范均對日志提出要求，如《網絡安全法》規定網絡日志不少于6個月，因此可以根據日志評估漏洞已經造成的影響。

4.提出改進

從防御角度分析安全防御體系中的薄弱環節，并提出修補與升級的方案。

三、滲透測試審計發現的問題及應對方法

（一）系統中間件漏洞問題

該類問題通常使用漏洞掃描工具發現，常見的漏洞包括舊版本Struts2存在的遠程執行漏洞等。通常系統的核心主站安全建設較好，難以發現該類問題，而系統的FTP、郵件系統、后臺管理等旁站，則容易因安全管控不嚴而產生遺漏。為應對該類問題，建議對信息系統所有資產進行漏洞掃描，確保不留遺漏。

（二）系統弱口令問題

該類問題通常可通過窮舉弱口令、Hashcat等工具逆向密碼表的方式發現，常見的漏洞包括操作系統、數據庫和應用用戶使用弱口令。審計過程中發現，由于應用使用的操作系統和數據庫用戶通常在系統上線時設置了初始口令，而后期因配置相對固定，口令不會變更，因此，應用相關用戶更易存在弱口令問題。為應對該類問題，建議信息系統將應用使用的口令單獨保存成配置文件，而非固化在代碼中。

（三）系統代碼漏洞問題

該類問題通常使用漏洞掃描工具或代碼審計發現，常見的代碼漏洞包括注入、任意文件讀寫、跨站等。審計中發現，部分信息系統針對代碼漏洞，僅在安全防護軟件中增加相應的屏蔽規則進行修復，而并未從根源上修復代碼中的漏洞。為應對該類問題，建議加強代碼審計工作，力求在代碼源頭修復漏洞。

（四）業務邏輯漏洞問題

該類問題通常使用網絡數據截包、改包軟件發現常見的漏洞，包括流程繞過、數據篡改等。審計中發現，部分信息系統因在內網環境中運行，認為內部用戶難以發現相關漏洞，而忽視了對業務邏輯漏洞的檢查。為應對該類問題，建議在系統上線測試時，就測試是否存在業務邏輯漏洞。

（五）移動App及硬件設備漏洞問題

由于傳統的漏洞掃描等工具均無法對移動App或硬件設備進行掃描，因此，目前相關平臺的漏洞還只能通過手工測試的方式發現。為應對該類問題，建議在相關平臺上線前，增加對業務邏輯漏洞的手工測試環節。

四、推進信息系統安全審計的建議

（一）扎實編程基礎

信息系統安全審計，特別是滲透測試及代碼審計，對審計人員的編程水平要求較高。檢查人員首先要看得懂代碼，才能查代碼。因此，相關審計人員要扎實學習編程基礎，及時更新知識結構。

（二）緊跟技術趨勢

網絡安全的發展日新月異，新漏洞層出不窮。審計人員也應不斷跟蹤網絡安全情報，嘗試新的安全工具，了解最新的漏洞信息，關注大數據云平臺等新架構的安全問題。確保在審計前有所準備，在審計時有所應用。

（三）注重審計實踐

一是在審計前，可在各類CTF（奪旗賽）在線平臺中實踐滲透測試流程，在比賽中學習。二是在審計中，嘗試將滲透性測試固化在審計流程中，在審計實踐中學習。

參考文獻：

[1]王世軼，吳江，張輝. 滲透測試在網絡安全等級保護測評中的應用[J]. 計算機應用與軟件，2018(11):190-193.

[2]劉陽. 基于滲透測試的漏洞危害實例分析與防范策略[J]. 網絡空間安全，2018(2):76-78.

[3]嚴俊龍. 基于Metasploit框架自動化滲透測試研究[J]. 信息網絡安全，2013(2):53-56.

作者:陳唯源 單位:中國人民銀行福州中心支行