龐延輝++肖鵬++羅俊

摘 要：隨著信息技術(shù)的發(fā)展，疾控信息化程度越來(lái)越高，信息安全問(wèn)題日益突顯，一旦發(fā)生信息泄露，將帶來(lái)惡劣的社會(huì)影響。為預(yù)防各類(lèi)安全問(wèn)題的發(fā)生，論文結(jié)合實(shí)際工作利用網(wǎng)絡(luò)安全漏洞掃描技術(shù)對(duì)疾控信息系統(tǒng)服務(wù)器和Web進(jìn)行安全掃描，對(duì)掃描結(jié)果進(jìn)行了詳細(xì)分析，并從網(wǎng)絡(luò)層、應(yīng)用層和管理層面提出了相應(yīng)的建設(shè)策略。

關(guān)鍵詞：信息系統(tǒng)；安全漏洞；漏洞掃描

中圖分類(lèi)號(hào)：TP309.2 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： With the development of information technology， the level of information technology in CDC is becoming higher and higher， and the problem of information security is becoming increasingly prominent. Once information leakage occurs， it will bring bad social impact. In order to prevent all kinds of security problems， this paper uses the network security vulnerability scanning technology for CDC information system server and Web security scan， the scan results were analyzed in detail， and from the network layer， application layer and management level put forward the corresponding construction strategies.

Key words： information systems；security vulnerabilities； vulnerability scanning

1 引言

隨著信息技術(shù)的發(fā)展，疾控信息化程度越來(lái)越高，大大提高了工作效率，同時(shí)隨之帶來(lái)的網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題也日益突顯。2017年5月12日，蠕蟲(chóng)勒索病毒的全球爆發(fā)，在世界范圍內(nèi)掀起了一場(chǎng)軒然大波。網(wǎng)絡(luò)安全問(wèn)題再次被推到風(fēng)口浪尖，企事業(yè)單位如果做好內(nèi)部信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)成了本文的研究重點(diǎn)。

2 對(duì)象

本文的主要研究對(duì)象是某疾控機(jī)構(gòu)內(nèi)部的6個(gè)Web類(lèi)應(yīng)用系統(tǒng)和23個(gè)Windows主機(jī)。

3 方法

本文所采用的漏洞掃描工具是明鑒Web應(yīng)用弱點(diǎn)掃描器，在沒(méi)有任何的網(wǎng)絡(luò)安全防護(hù)設(shè)施的情況下，直接對(duì)服務(wù)器和信息系統(tǒng)進(jìn)行安全漏洞掃描。

明鑒Web應(yīng)用弱點(diǎn)掃描器是在深入分析研究B/S架構(gòu)應(yīng)用系統(tǒng)中典型安全漏洞以及流行攻擊技術(shù)基礎(chǔ)上研制而成，具有深度掃描、Web漏洞檢測(cè)、配置審計(jì)、滲透測(cè)試等功能。

4 漏洞掃描介紹

網(wǎng)絡(luò)漏洞掃描技術(shù)是一種基于遠(yuǎn)程檢測(cè)目標(biāo)網(wǎng)絡(luò)和本地主機(jī)安全性脆弱性的技術(shù)。通過(guò)漏洞掃描，系統(tǒng)管理員能夠發(fā)現(xiàn)主機(jī)的各種端口分配、開(kāi)放的服務(wù)、主機(jī)操作系統(tǒng)和應(yīng)用系統(tǒng)的安全漏洞。網(wǎng)絡(luò)漏洞掃描技術(shù)是采用積極的、非破壞性的原理來(lái)檢驗(yàn)系統(tǒng)是否有可能被攻擊，它利用一系列的腳步來(lái)模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為，并對(duì)結(jié)果進(jìn)行分析?；诰W(wǎng)絡(luò)的漏洞掃描器，一般由幾個(gè)方面組成：漏洞數(shù)據(jù)庫(kù)模塊、用戶(hù)配置控制臺(tái)模塊、掃描引擎模塊、當(dāng)前活動(dòng)的掃描知識(shí)庫(kù)模塊、報(bào)告生成模塊，如圖1所示。

通過(guò)漏洞掃描及時(shí)發(fā)現(xiàn)系統(tǒng)在應(yīng)用、服務(wù)、威脅及弱口令方面存在的安全漏洞，使管理人員能夠了解最新漏洞信息，并且根據(jù)網(wǎng)絡(luò)中資產(chǎn)的分布情況和存在的漏洞危害程度，制訂有效合理的漏洞修補(bǔ)方案，通過(guò)掃描報(bào)告給出的資產(chǎn)風(fēng)險(xiǎn)優(yōu)先級(jí)排序，從而大大提高漏洞修補(bǔ)效率，保證系統(tǒng)安全。

5 漏洞危害分級(jí)

根據(jù)安全漏洞掃描結(jié)果的可被利用難度和可能造成影響的嚴(yán)重程度進(jìn)行分級(jí)，從高到低分別是緊急、高危、中危、低危、信息五個(gè)級(jí)別。

5.1 緊急

可以直接被利用的漏洞，且利用難度較低。被攻擊之后可能對(duì)網(wǎng)站或服務(wù)器的正常運(yùn)行造成嚴(yán)重影響，或?qū)τ脩?hù)財(cái)產(chǎn)及個(gè)人信息造成重大損失。

5.2 高危

被利用之后，造成的影響較大，但直接利用難度較高的漏洞?；虮旧頍o(wú)法直接攻擊，但能為進(jìn)一步攻擊造成極大便利的漏洞。

5.3 中危

利用難度極高，或滿(mǎn)足嚴(yán)格條件才能實(shí)現(xiàn)攻擊的漏洞。或漏洞本身無(wú)法被直接攻擊，但能為進(jìn)一步攻擊起較大幫助作用的漏洞。

5.4 低危

無(wú)法直接實(shí)現(xiàn)攻擊，但提供的信息可能讓攻擊者更容易找到其他安全漏洞。

5.5 信息

本身對(duì)網(wǎng)站安全沒(méi)有直接影響，提供的信息可能為攻擊者提供少量幫助，或可用于其他手段的攻擊，如社工等。

6 結(jié)果

6.1 Web應(yīng)用系統(tǒng)安全漏洞掃描

此次Web漏洞掃描對(duì)象包括有微信管理平臺(tái)、老人體檢信息管理系統(tǒng)、艾滋病實(shí)驗(yàn)室管理系統(tǒng)、慢性病監(jiān)測(cè)管理系統(tǒng)、美沙酮維持治療管理系統(tǒng)和門(mén)戶(hù)網(wǎng)站6個(gè)重要的Web應(yīng)用系統(tǒng)。其中，共探測(cè)了3340個(gè)URL，完成了438064次測(cè)試，共發(fā)現(xiàn)的Web安全漏洞215個(gè)；大部分安全漏洞集中在2個(gè)Web應(yīng)用上，占了84.65%，詳細(xì)漏洞數(shù)量分布如圖2所示。

網(wǎng)站的安全漏洞掃描覆蓋了弱口令、SQL注入、跨站腳本攻擊和遠(yuǎn)程代碼執(zhí)行、源代碼泄露等主流Web安全漏洞，大部分安全漏洞為低級(jí)和信息級(jí)別，而緊急、高級(jí)、中級(jí)安全漏洞有30處，占13.95%，詳細(xì)分布如圖3所示。endprint

從上述數(shù)據(jù)可見(jiàn)，Web應(yīng)用系統(tǒng)普遍存在著安全漏洞，入侵者可通過(guò)系統(tǒng)漏洞竊取系統(tǒng)信息數(shù)據(jù)，甚至獲取服務(wù)器的完全控制器，存在著重要的安全隱患。

6.2 服務(wù)器安全漏洞掃描

此次主機(jī)漏洞掃描的范圍包含23臺(tái)服務(wù)器主機(jī)，其中檢測(cè)出安全漏洞的主機(jī)有5臺(tái)占了21.7%，發(fā)現(xiàn)安全漏洞共69處，其中最多的一臺(tái)服務(wù)器有27處安全漏洞，詳細(xì)數(shù)量分布如圖4所示。

在發(fā)現(xiàn)的安全漏洞中包含有遠(yuǎn)程代碼執(zhí)行、蠕蟲(chóng)攻擊等高級(jí)危害漏洞，詳細(xì)分布如圖5所示。

7 安全建設(shè)策略

從上述的檢測(cè)結(jié)果可以看出，沒(méi)有任何安全防護(hù)的服務(wù)器及Web應(yīng)用直接暴露在互聯(lián)網(wǎng)上將帶來(lái)嚴(yán)重的安全隱患。為保證疾控在對(duì)外提供業(yè)務(wù)服務(wù)的同時(shí)保證信息系統(tǒng)的安全，本文從網(wǎng)絡(luò)、應(yīng)用和管理層面進(jìn)行改進(jìn)，提高信息系統(tǒng)安全防護(hù)。

7.1 網(wǎng)絡(luò)層面安全防護(hù)

大部分的網(wǎng)絡(luò)攻擊最初是通過(guò)網(wǎng)絡(luò)遠(yuǎn)程掃描開(kāi)始，而網(wǎng)絡(luò)防火墻可以作為安全防護(hù)第一關(guān)，以最小權(quán)限的原則，開(kāi)放僅需要的網(wǎng)絡(luò)端口，關(guān)閉病毒、蠕蟲(chóng)常用端口，嚴(yán)格控制服務(wù)器的訪問(wèn)權(quán)限。對(duì)于通過(guò)正常端口訪問(wèn)進(jìn)來(lái)的異常流量需要設(shè)置第二道關(guān)卡：入侵防護(hù)系統(tǒng)。它根據(jù)自身規(guī)則庫(kù)自動(dòng)識(shí)別出各種已知的網(wǎng)絡(luò)攻擊，對(duì)惡意網(wǎng)絡(luò)攻擊進(jìn)行攔截。

7.2 應(yīng)用層面的安全防護(hù)

應(yīng)用層面漏洞包括有Web系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)漏洞等。攻擊者通過(guò)爬蟲(chóng)技術(shù)，遠(yuǎn)程探測(cè)Web網(wǎng)站、數(shù)據(jù)庫(kù)和操作系統(tǒng)的安全漏洞而達(dá)到入侵目的。對(duì)于應(yīng)用層面的攻擊一方面是采用Web應(yīng)用防火墻，自動(dòng)識(shí)別并攔截已知的惡意攻擊，包括注入攻擊、跨站攻擊、爬蟲(chóng)等。另一方面，要提高Web應(yīng)用系統(tǒng)在開(kāi)發(fā)階段的代碼編寫(xiě)質(zhì)量，從根源降低代碼級(jí)的安全漏洞。最后一點(diǎn)給操作系統(tǒng)打補(bǔ)丁可以有效防止漏洞攻擊

7.3 建立健全信息安全管理制度，落實(shí)責(zé)任

“三分技術(shù)，七分管理”是網(wǎng)絡(luò)安全領(lǐng)域的一句至理名言，網(wǎng)絡(luò)安全中的30%依靠計(jì)算機(jī)系信息安全設(shè)備的技術(shù)保障，而70%則依靠用戶(hù)安全管理意識(shí)的提高及管理模式的創(chuàng)新。首先，成立信息科，任用專(zhuān)職人員管理網(wǎng)絡(luò)及信息系統(tǒng)安全，制定和完善各種規(guī)章制度；其次，通過(guò)定期和不定期的檢查來(lái)強(qiáng)化制度的遵守和落實(shí)，與中心綜合目標(biāo)考核指標(biāo)掛鉤，將落實(shí)信息系統(tǒng)安全工作貫穿于疾控的各項(xiàng)工作中。

7 結(jié)束語(yǔ)

漏洞掃描作為網(wǎng)絡(luò)安全建設(shè)中重要的手段之一，不定期的漏洞掃描能更好幫助管理者發(fā)現(xiàn)網(wǎng)絡(luò)存在的安全漏洞，提前做好安全防范措施。本文的不足之處在于沒(méi)有對(duì)增加安全防護(hù)之后的信息系統(tǒng)進(jìn)行漏洞掃描，無(wú)法判斷所采取的安全防護(hù)措施所起作用大小。總之，信息系統(tǒng)安全工作是一項(xiàng)持之以恒的工作，并隨著新技術(shù)的發(fā)展，新的安全隱患也不斷涌現(xiàn)，要求管理人員要以宏觀的眼光考慮制定出合理、有效的安全策略，確保疾控信息系統(tǒng)安全、穩(wěn)定的運(yùn)行。

參考文獻(xiàn)

[1] 趙一，李鳳，毋丹丹，余云春.基于區(qū)域衛(wèi)生信息平臺(tái)的疾病預(yù)防控制信息系統(tǒng)的探索與研究[J].中國(guó)科技信，2014，16：197-198.

[2] 彭琳，蒲立新，曲建明，高忠軍.基于醫(yī)院信息化系統(tǒng)的IT智能運(yùn)維平臺(tái)的設(shè)計(jì)和實(shí)現(xiàn)[J].中國(guó)數(shù)字醫(yī)學(xué)，2014，4：58-61.

[3] 薛雅.疾病預(yù)防控制機(jī)構(gòu)信息系統(tǒng)安全策略分析與探討[J].內(nèi)江科技，2016，7：34-35.

[4] 朱健華.淺析信息化建設(shè)中的安全漏洞掃描技術(shù)[J].中國(guó)科技投資，2012，27：28-29.

[5] 冀振燕，李春元，莫建楊.網(wǎng)站漏洞掃描軟件[J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2014，4：159-163.

[6] 唐曉東，唐偉，王賢菊.入侵檢測(cè)系統(tǒng)與漏洞掃描聯(lián)動(dòng)的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，8：121，123.

[7] 陳俊華.網(wǎng)絡(luò)漏洞掃描系統(tǒng)研究與設(shè)計(jì)[J]. 信息網(wǎng)絡(luò)安全，2013，5：121，123.

[8] 卓家.信息化建設(shè)中網(wǎng)絡(luò)安全漏洞掃描技術(shù)的研究[J].信息安全與技術(shù)，2013，8：30-31，35.

[9] 王良.漏洞掃描系統(tǒng)設(shè)計(jì)與應(yīng)用[J].信息安全與技術(shù)，2011，C1：44-46.

[10] 占斌.基于網(wǎng)絡(luò)的漏洞掃描技術(shù)分析與應(yīng)用[J].企業(yè)技術(shù)開(kāi)發(fā)，2013，10：42-43，51.endprint