高校学生信息服务系统渗透测试研究

葛琳琳，张威

（辽宁石油化工大学辽宁　抚顺　113001）



高校学生信息服务系统渗透测试研究

葛琳琳，张威

（辽宁石油化工大学辽宁抚顺113001）

摘要：高校学生信息服务系统为高校整体信息化建设带来了很大的便利，但系统的信息化安全问题受到很大的关注，网络和信息安全问题已经成为急需解决的问题，特别是Web安全问题，已成为高校学生信息服务系统安全瓶颈。本文根据高校学生信息服务系统的特点，论述了针对高校学生信息服务系统的渗透入侵测试服务的步骤，详述了对高校学生信息服务系统在不影响正常运行的情况下，具体进行渗透入侵测试实施过程和完成后的效果评估。

关键词：信息服务系统；渗透测试；信息收集；效果评估

随着学校规模的不断扩大，学生数量急剧增加，有关学生的各种信息量也成倍增长。面对庞大的信息量，需要一个高校学生信息服务系统来提高学生管理工作及信息传输的效率。通过该系统，提高学生管理效率，节约管理成本，加快信息传播的速度及透明度，增强学生管理的安全性。从而满足学校领导、教育管理单位、学生管理人员、教师和学生的不同层次和不同方面的需要，为学校将来的整体信息化建设提供必要的支持。然而，高校学生信息服务系统给使用者带来极大的便利的同时，不可避免地会遇到一些新情况、新问题。比如，系统的信息安全、保密技术问题；信息的访问形式与安全控制问题；这些都是对高校学生信息服务系统的人为的攻击（例如高校学生信息泄漏、窃取、数据篡改、数据删添和计算机病毒等），特别高等学校是高技术人群集中的场所。所以，为了确保高校学生信息服务系统的真实性和完整性，需要对高校学生信息服务系统进行不定期的渗透入侵测试来进行安全检测。

1　高校学生信息服务系统渗透测试的步骤

渗透入侵测试是一种全新的安全防护思路，将安全防护从传统的被动防护转换成了主动防护。对高校学生信息服务系统进行渗透入侵测试是从第3方角度对学生信息服务系统的安全性进行检查，能够让学生信息服务系统的管理者了解系统中安全漏洞可以被利用的情况。高校学生信息服务系统渗透测试的步骤如图1所示。

图1　高校学生信息服务系统渗透测试步骤

1）立项：由高校学生信息服务系统安全保障部门提出渗透入侵测试服务需求，招标或议标，确定服务提供商；

2）授权：由高校学生信息服务系统的领导与渗透入侵测试服务提供商签订渗透入侵测试服务授权书，允许渗透入侵测试服务提供商在规定的时间段内，对高校学生信息服务系统的协议目标进行渗透入侵测试的相关活动；

3）目标：明确对高校学生信息服务系统渗透入侵测试服务的具体目标、希望的渗透入侵测试的结果等级，确定具体的渗透入侵测试方式，渗透入侵测试服务的有效时间段，对渗透入侵测试可能对系统运行带来的影响进行评估，并制定相应的应急方案；评估渗透入侵测试服务的工作量与技术难度；

4）合同：由高校学生信息服务系统的领导与渗透入侵测试服务提供商签订渗透服务的商务合同；

5）准备：准备渗透入侵测试所需的目标信息，选择合适的渗透入侵测试场所，准备渗透入侵测试所需的各种工具（渗透服务中使用的所有攻击类工具，全部由渗透入侵测试服务提供商自己配备，由专业的渗透入侵测试工作人员操作，不销售、不拷贝给其他人员，包括用户方）；

6）渗透：具体的渗透入侵测试工作，一般是隐蔽的，高校学生信息服务系统工作人员不增加比平时维护更多的关注；

7）总结：渗透入侵测试时间到期，或渗透入侵测试提前成功，评估渗透入侵测试结果，编写渗透入侵测试总结报告，给出系统整改建议报告，在渗透入侵测试过程中要严格遵守授权的时间，提前结束、延期、中断后继续等变化，都需要高校学生信息服务系统安全保障部门书面授权；

8）汇报：渗透入侵测试服务提供商把渗透的过程与结果、建议向高校学生信息服务系统安全保障部门汇报，可以展示渗透的有关结果截图，或直接查看系统状态；

9）清理：恢复高校学生信息服务系统修改过的目标配置，恢复修改过的数据与文件，彻底清除现场使用过的渗透工具拷贝；

10）结束：渗透入侵测试服务结束。渗透入侵测试服务提供商交回所有涉及高校学生信息服务系统的资料，并承诺对渗透入侵测试过程中得知的用户敏感信息保密，不向第3方扩散。

2　高校学生信息服务系统渗透测试的实施

由渗透入侵测试服务提供商向高校学生信息服务系统安全保障部门主管提出申请，申请开始进行渗透测试，并落实学生信息服务系统安全保障部门需要配合的工作。

1）高校学生信息服务系统信息收集

高校学生信息服务系统安全评估的第一步是最大程度地收集目标系统的信息，这同样也是渗透测试的关键性步骤。信息的收集和分析伴随着渗透测试的每一个步骤。实现信息收集有很多种方法，例如：使用搜索引擎、扫描器或发送特殊构造的HTTP请求等，这些手段都可以使服务器端的应用程序返回一些错误信息或系统运行环境的信息，通过分析这些信息，可以为后期的渗透测试工作提供很大帮助，如：减小了渗透测试的范围，加强了针对性；工作简洁高效，避免做无关渗透测试；提高渗透测试效率，减少不必要的麻烦。

信息收集工作包括5类：Web服务器和应用程序指纹探测、后台应用程序发掘、爬网和Goog1jng、错误代码挖掘、应用程序配置管理测试。

2）渗透测试实施

通过对高校学生信息服务系统的信息收集，可以简单的描绘出目标系统的网络结构，如高校学生信息服务系统网络所在区域，IP地址分布，VPN接入地址等。对于高校学生信息服务系统进行专业渗透测试特别要注意一些比较偏门的HOST名称地址，如一些backup开头或者temp开关的域名很可能就是一台备份服务器，其安全性很可能做的不够。

从获取的地址列表中进行系统判断，了解高校学生信息服务系统组织架构及操作系统使用情况。最常用的方法的是目标所有IP网段扫描和端口/服务信息收集。

3）通常按以下几个级别进行逐层的渗透测试

①漏洞扫描

这一步主要针对具体系统目标进行。对于前面的信息收集，已经得到了高校学生信息服务系统的IP地址分布及对应的域名，并且已经通过一些分析过滤出少许的几个攻击目标，这时，就可以针对它们进行有针对性的漏洞扫描。

②漏洞利用

有时候通过服务/应用扫描后，可以跳过漏洞扫描部分，直接到漏洞利用。因为很多情况下根据目标服务/应用的版本就可以到一些安全网站上获取针对该目标系统的漏洞利用代码；如果没有可利用的代码，也可以尝试在GOOGLE上搜索“应用名称exp1ojt”、“应用名称vu1nerabj1jty”等关键字。

Web安全测试主要围绕几块进行：

Informatjon Gatherjng：也就是一般的信息泄漏，包括异常情况下的路径泄漏、文件归档查找等。

Busjness 1ogjc testjng：业务逻辑处理攻击，很多情况下用于进行业务绕过或者欺骗等。

Authentjcatjon Testjng：有无验证码、有无次数限制等，总之就是看能不能暴力破解或者说容不容易通过认证，比较直接的就是“默认口令”或者弱口令了。

Sessjon Management Testjng：会话管理攻击在COOKIE携带认证信息时最有效。

Data Va1jdatjon Testjng：数据验证最好理解了，就是SQL Injectjon和Cross Sjte Scrjpt等。

③权限提升

在前面的一些工作中，已经得到了一些控制权限，但是对于进一步攻击来说却还是不够。例如：你可能很容易的能够获取Orac1e数据库的访问权限，或者是得到了UNIX（AIX，HPUX，SUNOS）的一个基本账号权限，但是当进行进一步的渗透测试的时候，会发现没有足够的权限打开一些密码存储文件、没有办法安装一个SNIFFER、甚至没有权限执行一些很基本的命令。这时候就需要进行权限提升了。

目前一些系统对于补丁管理存在很大问题，或许根本就没有想过对一些服务器或者应用进行补丁更新，或者是延时更新。这时候就是可以利用这些不及时的补丁进行渗透。

④密码破解

有时候，高校学生信息服务系统任何方面的配置都是无懈可击的，但是并不是说就完全没办法进入。最简单的说，一个缺少密码完全策略的论证系统就等于安装了一个不能关闭的防盗门。很多情况下，一些安全技术研究人员对此不屑一顾，但是无数次的安全事故结果证明，往往破坏力最大的攻击起源于最小的弱点，例如弱口令、目录列表、SQL注入绕过论证等。

3　高校学生数字化档案服务系统渗透测试的效果评估

对高校学生数字化档案服务系统进行渗透入侵测试服务的交付结果应该是“可以理解的”，作为渗透入侵测试服务的最终结果，可以通过下面4种服务目标来验证渗透的效果：

1）窃取到高校学生数字化档案服务系统内的特定、敏感或有价值的信息；

2）修改了高校学生数字化档案服务系统内的特定、敏感或有价值的信息；

3）建立了远程控制高校学生数字化档案服务系统的后门通道；

4）成功潜伏在高校学生数字化档案服务系统内没有被发现。

渗透入侵测试作为系统安全检测服务，并不是在规定的时间内都可以完成预定的渗透入侵测试任务，为了可以衡量渗透入侵测试服务的质量，根据渗透入侵测试的实现程度把渗透入侵测试服务的效果如下分级，如表1所示。

表1　渗透入侵测试服务效果级别

渗透效果的取得与限定的渗透服务时间长度有很重要的关系，尤其是模拟APT攻击的渗透，需要躲避用户信息安全防护体系的种种监控，不惊扰被渗透的目标人，一般不能直接扫描或暴力破解，采用慢扫描、诱骗等方式逐步渗透，有时时间可以长达几个月，因此，要达到第4级渗透效果一般很难，若是用户签订长期的渗透服务合同，或许可以获得满意的效果。

4　结束语

高校学生档案数字化档案服务系统能够不断地改善和提高档案服务部门的服务质量和效率，但在高等学校高技术人群聚集的单位，需要对学生的数字化档案的安全性和完整性有完善的保障措施和保障体系，以确保高校学生的数字化档案的真实性和可用性。所以，对于高校学生数字化档案服务系统必须要进行不定期的渗透入侵测试，能够准确的发现系统的漏洞并及时补救。

参考文献：

［1］宋超臣，王希忠，黄俊强，等.Web渗透测试流程研究［J］.电子设计工程.2014，22（17）：165-167.

［2］张威，葛琳琳.一种抗几何失真的非对称图像水印算法的设计［J］.辽宁石油化工大学学报：自然科学版，2014（34），6：71-73.

［3］葛琳琳，张威.数字化档案IP网网络设计方法的研究与应用［J］.辽宁石油化工大学学报：自然科学版，2015，35（1）：62-66.

［4］张博，李伟华.Phjshjng攻击行为及其防御模型研究［J］.计算机工程.2006，32（14）：125-127.

［5］王强，蔡皖东，姚烨.基于渗透测试的跨站脚本漏洞检测方法研究［J］.计算机技术与发展，2013，23（3）：147-151.

［6］葛琳琳，张威，李平，等.高校党校数字化档案安全等级保护策略［J］.兰台世界，2015，469（4）：86-87.

Research on the Penetratlon test of lnformatlon servlce system for unlverslty students

GE Ljn-1jn，ZHANG Wej
（Liaoning Shihua University，Fushun 113001，China）

Abstract:Unjversjty student jnformatjon servjce system has brought a 1ot of convenjence for the constructjon of the who1e jnformatjon system，but the system's jnformatjon securjty has been a great concern. The network and jnformatjon securjty has become a prob1em to be so1ved urgent1y，especja11y the Web securjty has become the bott1eneck of Unjversjty student jnformatjon servjce system. In thjs paper accorded to the characterjstjcs of unjversjty students' jnformatjon servjce system，thjs paper djscussed the jntrusjon steps of penetratjon testjng servjces for unjversjty students' jnformatjon servjce system，detaj1ed the on unjversjty students' jnformatjon servjce system penetratjon jnvasjon test jmp1ementatjon process and after the comp1etjon of the eva1uatjon under does not affect the norma1 operatjon.

Key words:jnformatjon servjce system；penetratjon test；jnformatjon co11ectjon；effect eva1uatjon

中图分类号：TN918

文献标识码：A

文章编号：1674-6236（2016）07-0154-03

收稿日期：2015-07-15稿件编号：201507115

基金项目：抚顺市科学技术发展资金计划项目（FSKJHT201548）；大学生创新创业资助项目（201410148060；201510148068）

作者简介：葛琳琳（1977—），女，辽宁沈阳人，硕士。研究方向：网络安全。