等保培训.07.工具测试方法

工具测试方法
公安部信息安全等级保护中心
尚旭光

1.什么是工具测试

工具测试，是利用各种测试工具，通过对目标系统的扫描、探测等操作，使其产生特定的响应等活动，通过查看、分析响应结果，获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。工具测试包含扫描探测、渗透测试、协议分析等手段。

2.工县测试的目的

利用工具测试，我们不仅可以直接获取到目标系统本身存在的系统、应用等方面的漏洞，同时，也可以可以通过在不同的区域接入测试工具所得到的测试结果，判断不同区域之间的访问控制情况。利用工具测试，结合其他核查手段，可以为测试结果的客观和准确提供保证。

3.工具测试的作用

工具测试作为一种高灵活性的辅助测试手段，在相关的一些标准文件中，无法直接指定工具测试的具体工具、测试方法。但是，如果我们对标准进行一下研究，也不难发现工具测试在其中的作用体现。
这里，我们分别以《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》中对三级系统的等级保护要求为例，来分析一下工具测试在其中的作用
■在《信息系统安全等级保护基本要求》对三级系统的保护基本要求中，“7.1.2网络安全”部分：




■在《信息系统安全等级保护基本要求》对三级系统的保护基本要求中，“7.1.3主机安全”部分：


■在《信息系统安全等级保护测评要求》对三级系统的测评要求中，“7.1.2网络安全”部分：
应对网络访问控制措施进行渗透测试，可通过采用多种渗透测试技术，验证网络访问控制措施是否不存在明显的弱点。
应对边界和主要网络设备进行渗透测试，通过使用各种渗透测试技术对网络设备进行渗透测试，验证网络设备防护能力是否符合要求。
■在《信息系统安全等级保护测评要求》对三级系统的保护基本要求中，“7.1.3主机安全”部分：
应渗透测试主要服务器操作系统，可通过使用口令破解工具等，对服务器操作系统进行用户口令强度检测，查看是否能够破解用户口令，破解口令后是否能够登录进入系统；
应渗透测试主要服务器操作系统，测试是否存在绕过认证方式进行系统登录的方法。
应渗透测试主要应用系统，验证应用系统身份标识和鉴别功能是否不存在明显的弱点。
应渗透测试主要应用系统，进行试图绕过访问控制的操作，验证应用系统的访问控制功能是否不存在明显的弱点。

4.工具测试的流程

一般情况下，工具测试需要如下几个步骤：
■收集目标系统信息
■规划工具测试接入点
■制定《工具测试作业指导书》
■现场测试
■测试结果整理分析

收集目标系统信息

包括方案中选定的：
■网络设备（互联1P地址、端口使用情况）
■安全设备（工作状态：透明、路由模式等；lP地址等）
■主机各设备的类型（操作系统类型、主要应用、IP地址等）
■目标系统网络拓扑结构等相关信息（各区域网络地址段划分情况等）

规划工具测试接入点

接入点的规划，随着网络结构、访问控制、主机位置等等情况的不同而不同，没有固定的模式可循，但是，根据测试经验，也能总结出一些基本的、共性的原则：
■由低级别系统向高级别系统探测；
■同一系统同等重要程度功能区域之间要相互探测；
■由较低重要程度区域向较高重要程度区域探测；
■由外联接口向系统内部探测；
■跨网络隔离设备（包括网络设备和安全设备）要分段探测；
子系统：
■在一个目标系统中，可能存在不同的子系统，这子系统，有可能有二级子系统，同时也有三级子系统，对于不同级别的子系统，我们要用标准中的不同的要求来进行检测。
功能区域：
■在一个被测系统中，可能存在不同的功能区域，比如1类业务前置区域、2类业务前置区域、核心服务器区等等。这些功能区域，根据业务、数据的重要程度、网络结构的综合分析，可以分成重要程度不同的功能区域。
外联接口：
■被测系统与Internet、三方业务单位等外联网络连接链路上的网络边界接口。

制定《工具测试作业指导书》

作业指导书包含内容
■接入点描述
■各个接入点接入lP配置
■被测目标系统的IP地址等系统信息描述
■各个测试点测试开始结束时间
■各个测试点可能出现的异常情况的记录

现场测试

在获取到了现场测试的授权之后，进入现场，根据《工具测试作业指导书》中的测试步骤，进行现场测试。测试过程中，必须详细记录每一接入点测试的起止时间、接入lP地址（包括接入设备的IP地址配置，掩码、网管配置等）。如果测试过程中出现异常情况，要及时记录。测试结果要及时整理、保存，重要验证步骤要抓图取证，为测试结果的整理准备充足必要的证据。
在现场测试过程中，可能要对某些漏洞进行渗透测试，渗透测试需要对检测出的漏洞进行分析、判断之后进行的验证测试，其目的是验证漏洞的真实性以为之后的报告提供测试证据。

测试结果整理分析

测试结果整理分析，是依据报告统一格式对现场测评中取得的各种测试数据进行整理统计。从整理的结果中，可以分析出被测系统中各个被测个体存在的漏洞情况，也可以根据各个接入点测试结果的统计整理，分析出各个区域之间的访问控制策略配置情况。

5.工具测试注意事项

工具测试接入测试设备之前，首先要有被测系统人员确定测试条件是否具备。测试条件包括被测网络设备、主机、安全设备等是否都在正常运行，测试时间段是否为可测试时间段等等。
接入系统的设备、工具的IP地址等配置要经过被测系统相关人员确认。
对于测试过程可能造成的对目标系统的网络流量及主机性能等等方面的影响（例如口令探测可能会造成的帐号锁定等情况），要事先告知被测系统相关人员。
对于测试过程中的关键步骤、重要证据，要及时利用抓图等取证工具取证。
对于测试过程中出现的异常情况（服务器出现故障、网络中断等等）要及时记录测试结束后，需要被测方人员确认被测系统状态正常并签字后离场。

6.工具测试实例解析

系统逻辑上划分为五个区。

区域划分

序号	区域	业务说明	内容
1	Internet接入区	略	提供internet访问接入的通信链路、接口和网络设备。
2	WEB服务器区	略	对来自于Internet访问用户提供WEB查询功能
3	城域网办公接入区	略	提供城域网办公接入的通信链路、接口和网络设备。
4	前置应用区	略	对来自于城域网办公用户提供应用服务
5	核心数据库区	略	存储核心数据，对WEB服务子系统以及城域网办公子系统提供服务。

注：接心交换机SW1为带防火墙镁块的核心交换，作为两个子系统的边界。

安全设备列表

序号	设备名称	用途	版本
1	Internet接入防火墙FW1	对Internet接入进行访问控制	V1.0
2	IDS	对Internet接入进行访问控制	V1.0
3	城域网接入防火墙FW2	对城域网接入进行访问控制	V1.0
4	WEB服务器区防火墙FW3	核心交换机上的防火墙模块，对WEB服务器区向内部访问提供访问控制	V1.0

服务器及主机检查列表

序号	设备名称	用途	版本
1	WEB应用服务器	提供WEB应用	Windows2003server+sp1 IIS
1	前置业务应用服务器	前置业务应用	Windows2003server+sp1 IIS
1	核心数据库服务器	核心数据库	AIX-V1.0、Oracle V1.0

设置接入点

五个区域：
Internet接入区
WEB服务器区
城域网办公接入区
前置应用区
核心数据库区

设置扫描路径

工具测试所涵盖的设备及对应的IP地址

设备名称	版本信息	IP地址
Internet接入路由器RT1	V1.0	待确定
城域网接入路由器RT2	V1.0	192.168.100.1
核心交换机SW1	V1.0	172.18.16.1、172.18.12.1
Internet接入防火墙FW1	V1.0	123.123.123.1
IDS	V1.0	透明模式
城域网接入防火墙FW2	V1.0	192.168.200.3
WEB服务器区防护墙FW3	V1.0	172.18.10.1
WEB应用服务器	Windows2003server+sp1	172.18.10.16、123.123.123.2
前置业务应用服务器	Windows2003server+sp1	172.18.16.32
核心数据库服务器	AIX-V1.0、Oracle V1.0	172.18.18.16

7.测试工具的使用

略

结果判断

可能误报
■操作系统类型判断错误。
■服务类型判断错误
■某端口A上运行的服务为a，但有一条b服务才具有的漏洞也给报告出来了。
■一些服务上报告出一些不存在的弱口令用户，使用弱口令用户名用对应猜测出的口令连接却失败。
■在某些服务上报告出一些根本在目标机器没安装程序的漏洞