疾控信息系統(tǒng)安全漏洞掃描的結(jié)果分析

龐延輝++肖鵬++羅俊

摘 要：隨著信息技術(shù)的發(fā)展，疾控信息化程度越來越高，信息安全問題日益突顯，一旦發(fā)生信息泄露，將帶來惡劣的社會影響。為預(yù)防各類安全問題的發(fā)生，論文結(jié)合實際工作利用網(wǎng)絡(luò)安全漏洞掃描技術(shù)對疾控信息系統(tǒng)服務(wù)器和Web進(jìn)行安全掃描，對掃描結(jié)果進(jìn)行了詳細(xì)分析，并從網(wǎng)絡(luò)層、應(yīng)用層和管理層面提出了相應(yīng)的建設(shè)策略。

關(guān)鍵詞：信息系統(tǒng)；安全漏洞；漏洞掃描

中圖分類號：TP309.2 文獻(xiàn)標(biāo)識碼：A

Abstract： With the development of information technology， the level of information technology in CDC is becoming higher and higher， and the problem of information security is becoming increasingly prominent. Once information leakage occurs， it will bring bad social impact. In order to prevent all kinds of security problems， this paper uses the network security vulnerability scanning technology for CDC information system server and Web security scan， the scan results were analyzed in detail， and from the network layer， application layer and management level put forward the corresponding construction strategies.

Key words： information systems；security vulnerabilities； vulnerability scanning

1 引言

隨著信息技術(shù)的發(fā)展，疾控信息化程度越來越高，大大提高了工作效率，同時隨之帶來的網(wǎng)絡(luò)系統(tǒng)安全問題也日益突顯。2017年5月12日，蠕蟲勒索病毒的全球爆發(fā)，在世界范圍內(nèi)掀起了一場軒然大波。網(wǎng)絡(luò)安全問題再次被推到風(fēng)口浪尖，企事業(yè)單位如果做好內(nèi)部信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)成了本文的研究重點。

2 對象

本文的主要研究對象是某疾控機構(gòu)內(nèi)部的6個Web類應(yīng)用系統(tǒng)和23個Windows主機。

3 方法

本文所采用的漏洞掃描工具是明鑒Web應(yīng)用弱點掃描器，在沒有任何的網(wǎng)絡(luò)安全防護(hù)設(shè)施的情況下，直接對服務(wù)器和信息系統(tǒng)進(jìn)行安全漏洞掃描。

明鑒Web應(yīng)用弱點掃描器是在深入分析研究B/S架構(gòu)應(yīng)用系統(tǒng)中典型安全漏洞以及流行攻擊技術(shù)基礎(chǔ)上研制而成，具有深度掃描、Web漏洞檢測、配置審計、滲透測試等功能。

4 漏洞掃描介紹

網(wǎng)絡(luò)漏洞掃描技術(shù)是一種基于遠(yuǎn)程檢測目標(biāo)網(wǎng)絡(luò)和本地主機安全性脆弱性的技術(shù)。通過漏洞掃描，系統(tǒng)管理員能夠發(fā)現(xiàn)主機的各種端口分配、開放的服務(wù)、主機操作系統(tǒng)和應(yīng)用系統(tǒng)的安全漏洞。網(wǎng)絡(luò)漏洞掃描技術(shù)是采用積極的、非破壞性的原理來檢驗系統(tǒng)是否有可能被攻擊，它利用一系列的腳步來模擬對系統(tǒng)進(jìn)行攻擊的行為，并對結(jié)果進(jìn)行分析?；诰W(wǎng)絡(luò)的漏洞掃描器，一般由幾個方面組成：漏洞數(shù)據(jù)庫模塊、用戶配置控制臺模塊、掃描引擎模塊、當(dāng)前活動的掃描知識庫模塊、報告生成模塊，如圖1所示。

通過漏洞掃描及時發(fā)現(xiàn)系統(tǒng)在應(yīng)用、服務(wù)、威脅及弱口令方面存在的安全漏洞，使管理人員能夠了解最新漏洞信息，并且根據(jù)網(wǎng)絡(luò)中資產(chǎn)的分布情況和存在的漏洞危害程度，制訂有效合理的漏洞修補方案，通過掃描報告給出的資產(chǎn)風(fēng)險優(yōu)先級排序，從而大大提高漏洞修補效率，保證系統(tǒng)安全。

5 漏洞危害分級

根據(jù)安全漏洞掃描結(jié)果的可被利用難度和可能造成影響的嚴(yán)重程度進(jìn)行分級，從高到低分別是緊急、高危、中危、低危、信息五個級別。

5.1 緊急

可以直接被利用的漏洞，且利用難度較低。被攻擊之后可能對網(wǎng)站或服務(wù)器的正常運行造成嚴(yán)重影響，或?qū)τ脩糌敭a(chǎn)及個人信息造成重大損失。

5.2 高危

被利用之后，造成的影響較大，但直接利用難度較高的漏洞?；虮旧頍o法直接攻擊，但能為進(jìn)一步攻擊造成極大便利的漏洞。

5.3 中危

利用難度極高，或滿足嚴(yán)格條件才能實現(xiàn)攻擊的漏洞。或漏洞本身無法被直接攻擊，但能為進(jìn)一步攻擊起較大幫助作用的漏洞。

5.4 低危

無法直接實現(xiàn)攻擊，但提供的信息可能讓攻擊者更容易找到其他安全漏洞。

5.5 信息

本身對網(wǎng)站安全沒有直接影響，提供的信息可能為攻擊者提供少量幫助，或可用于其他手段的攻擊，如社工等。

6 結(jié)果

6.1 Web應(yīng)用系統(tǒng)安全漏洞掃描

此次Web漏洞掃描對象包括有微信管理平臺、老人體檢信息管理系統(tǒng)、艾滋病實驗室管理系統(tǒng)、慢性病監(jiān)測管理系統(tǒng)、美沙酮維持治療管理系統(tǒng)和門戶網(wǎng)站6個重要的Web應(yīng)用系統(tǒng)。其中，共探測了3340個URL，完成了438064次測試，共發(fā)現(xiàn)的Web安全漏洞215個；大部分安全漏洞集中在2個Web應(yīng)用上，占了84.65%，詳細(xì)漏洞數(shù)量分布如圖2所示。

網(wǎng)站的安全漏洞掃描覆蓋了弱口令、SQL注入、跨站腳本攻擊和遠(yuǎn)程代碼執(zhí)行、源代碼泄露等主流Web安全漏洞，大部分安全漏洞為低級和信息級別，而緊急、高級、中級安全漏洞有30處，占13.95%，詳細(xì)分布如圖3所示。endprint

從上述數(shù)據(jù)可見，Web應(yīng)用系統(tǒng)普遍存在著安全漏洞，入侵者可通過系統(tǒng)漏洞竊取系統(tǒng)信息數(shù)據(jù)，甚至獲取服務(wù)器的完全控制器，存在著重要的安全隱患。

6.2 服務(wù)器安全漏洞掃描

此次主機漏洞掃描的范圍包含23臺服務(wù)器主機，其中檢測出安全漏洞的主機有5臺占了21.7%，發(fā)現(xiàn)安全漏洞共69處，其中最多的一臺服務(wù)器有27處安全漏洞，詳細(xì)數(shù)量分布如圖4所示。

在發(fā)現(xiàn)的安全漏洞中包含有遠(yuǎn)程代碼執(zhí)行、蠕蟲攻擊等高級危害漏洞，詳細(xì)分布如圖5所示。

7 安全建設(shè)策略

從上述的檢測結(jié)果可以看出，沒有任何安全防護(hù)的服務(wù)器及Web應(yīng)用直接暴露在互聯(lián)網(wǎng)上將帶來嚴(yán)重的安全隱患。為保證疾控在對外提供業(yè)務(wù)服務(wù)的同時保證信息系統(tǒng)的安全，本文從網(wǎng)絡(luò)、應(yīng)用和管理層面進(jìn)行改進(jìn)，提高信息系統(tǒng)安全防護(hù)。

7.1 網(wǎng)絡(luò)層面安全防護(hù)

大部分的網(wǎng)絡(luò)攻擊最初是通過網(wǎng)絡(luò)遠(yuǎn)程掃描開始，而網(wǎng)絡(luò)防火墻可以作為安全防護(hù)第一關(guān)，以最小權(quán)限的原則，開放僅需要的網(wǎng)絡(luò)端口，關(guān)閉病毒、蠕蟲常用端口，嚴(yán)格控制服務(wù)器的訪問權(quán)限。對于通過正常端口訪問進(jìn)來的異常流量需要設(shè)置第二道關(guān)卡：入侵防護(hù)系統(tǒng)。它根據(jù)自身規(guī)則庫自動識別出各種已知的網(wǎng)絡(luò)攻擊，對惡意網(wǎng)絡(luò)攻擊進(jìn)行攔截。

7.2 應(yīng)用層面的安全防護(hù)

應(yīng)用層面漏洞包括有Web系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)漏洞等。攻擊者通過爬蟲技術(shù)，遠(yuǎn)程探測Web網(wǎng)站、數(shù)據(jù)庫和操作系統(tǒng)的安全漏洞而達(dá)到入侵目的。對于應(yīng)用層面的攻擊一方面是采用Web應(yīng)用防火墻，自動識別并攔截已知的惡意攻擊，包括注入攻擊、跨站攻擊、爬蟲等。另一方面，要提高Web應(yīng)用系統(tǒng)在開發(fā)階段的代碼編寫質(zhì)量，從根源降低代碼級的安全漏洞。最后一點給操作系統(tǒng)打補丁可以有效防止漏洞攻擊

7.3 建立健全信息安全管理制度，落實責(zé)任

“三分技術(shù)，七分管理”是網(wǎng)絡(luò)安全領(lǐng)域的一句至理名言，網(wǎng)絡(luò)安全中的30%依靠計算機系信息安全設(shè)備的技術(shù)保障，而70%則依靠用戶安全管理意識的提高及管理模式的創(chuàng)新。首先，成立信息科，任用專職人員管理網(wǎng)絡(luò)及信息系統(tǒng)安全，制定和完善各種規(guī)章制度；其次，通過定期和不定期的檢查來強化制度的遵守和落實，與中心綜合目標(biāo)考核指標(biāo)掛鉤，將落實信息系統(tǒng)安全工作貫穿于疾控的各項工作中。

7 結(jié)束語

漏洞掃描作為網(wǎng)絡(luò)安全建設(shè)中重要的手段之一，不定期的漏洞掃描能更好幫助管理者發(fā)現(xiàn)網(wǎng)絡(luò)存在的安全漏洞，提前做好安全防范措施。本文的不足之處在于沒有對增加安全防護(hù)之后的信息系統(tǒng)進(jìn)行漏洞掃描，無法判斷所采取的安全防護(hù)措施所起作用大小。總之，信息系統(tǒng)安全工作是一項持之以恒的工作，并隨著新技術(shù)的發(fā)展，新的安全隱患也不斷涌現(xiàn)，要求管理人員要以宏觀的眼光考慮制定出合理、有效的安全策略，確保疾控信息系統(tǒng)安全、穩(wěn)定的運行。

參考文獻(xiàn)

[1] 趙一，李鳳，毋丹丹，余云春.基于區(qū)域衛(wèi)生信息平臺的疾病預(yù)防控制信息系統(tǒng)的探索與研究[J].中國科技信，2014，16：197-198.

[2] 彭琳，蒲立新，曲建明，高忠軍.基于醫(yī)院信息化系統(tǒng)的IT智能運維平臺的設(shè)計和實現(xiàn)[J].中國數(shù)字醫(yī)學(xué)，2014，4：58-61.

[3] 薛雅.疾病預(yù)防控制機構(gòu)信息系統(tǒng)安全策略分析與探討[J].內(nèi)江科技，2016，7：34-35.

[4] 朱健華.淺析信息化建設(shè)中的安全漏洞掃描技術(shù)[J].中國科技投資，2012，27：28-29.

[5] 冀振燕，李春元，莫建楊.網(wǎng)站漏洞掃描軟件[J].計算機系統(tǒng)應(yīng)用，2014，4：159-163.

[6] 唐曉東，唐偉，王賢菊.入侵檢測系統(tǒng)與漏洞掃描聯(lián)動的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，8：121，123.

[7] 陳俊華.網(wǎng)絡(luò)漏洞掃描系統(tǒng)研究與設(shè)計[J]. 信息網(wǎng)絡(luò)安全，2013，5：121，123.

[8] 卓家.信息化建設(shè)中網(wǎng)絡(luò)安全漏洞掃描技術(shù)的研究[J].信息安全與技術(shù)，2013，8：30-31，35.

[9] 王良.漏洞掃描系統(tǒng)設(shè)計與應(yīng)用[J].信息安全與技術(shù)，2011，C1：44-46.

[10] 占斌.基于網(wǎng)絡(luò)的漏洞掃描技術(shù)分析與應(yīng)用[J].企業(yè)技術(shù)開發(fā)，2013，10：42-43，51.endprint