基于遠(yuǎn)程評(píng)估分析的政務(wù)系統(tǒng)安全防護(hù)研究

馬曉亮 孫艷紅

摘要：政府的政務(wù)系統(tǒng)承載著大量的重要信息，由于專業(yè)人員和技術(shù)力量缺乏等因素的影響，政務(wù)系統(tǒng)存在著大量安全漏洞，發(fā)現(xiàn)漏洞、評(píng)估風(fēng)險(xiǎn)、修復(fù)漏洞和系統(tǒng)加固成為保護(hù)政務(wù)系統(tǒng)安全有效防護(hù)過程，漏洞和風(fēng)險(xiǎn)評(píng)估成為保護(hù)系統(tǒng)安全的基礎(chǔ)條件，基于分析安全風(fēng)險(xiǎn)為基礎(chǔ)發(fā)現(xiàn)政務(wù)系統(tǒng)存在的安全漏洞和安全威脅，以安全防護(hù)技術(shù)和《網(wǎng)絡(luò)安全法》等為基礎(chǔ)提出安全防護(hù)體系模型。實(shí)驗(yàn)結(jié)果表明，通過遠(yuǎn)程評(píng)估分析發(fā)現(xiàn)系統(tǒng)中隱藏的安全漏洞，有針對(duì)性地進(jìn)行系統(tǒng)加固和增加安全防護(hù)設(shè)備可以有效提高系統(tǒng)安全性。

關(guān)鍵詞： 遠(yuǎn)程評(píng)估； 漏洞掃描； 風(fēng)險(xiǎn)評(píng)估； 政務(wù)系統(tǒng)； 網(wǎng)絡(luò)攻擊

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）21-0298-03

Abstract：The government administration system carries many important information， due to the lack of professional and technical person and other factors， there are many security vulnerabilities in server system of government， find out vulnerabilities， risk assessment， repair vulnerabilities and system reinforcement become the safe and effective protection process of government system， Vulnerability and risk assessment become the basic condition to protect system security，based on the analysis of security risk， we find vulnerabilities and security threats in government system， with safety protection technology and network security law， a security protection system model is proposed. The experimental results show that we find out vulnerabilities in the system through remote assessment and analysis， we can effectively improve system safety through system reinforcement and additional safety protection devices.

Key words：remote security assessment； vulnerability scan； risk Assessment； network attack； government-system

1 引言

政務(wù)系統(tǒng)承擔(dān)著服務(wù)公眾、網(wǎng)上辦公和行政審批等職責(zé)，政務(wù)系統(tǒng)的服務(wù)器內(nèi)數(shù)據(jù)具有信息量大和價(jià)值密度大的特點(diǎn)，政府的政務(wù)系統(tǒng)歷來是網(wǎng)絡(luò)犯罪和國(guó)外黑客組織重點(diǎn)攻擊對(duì)象。因此，政務(wù)系統(tǒng)的網(wǎng)絡(luò)安全工作關(guān)系到國(guó)家、政治和經(jīng)濟(jì)安全，政務(wù)系統(tǒng)在很多國(guó)家都被列入關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行保護(hù)，一旦信息泄露或被篡改將給國(guó)家、社會(huì)和公眾利益帶來嚴(yán)重?fù)p害，有些網(wǎng)站的信息泄露、被篡改或掛馬很有可能給國(guó)家聲譽(yù)帶來危害甚至危急國(guó)家安全。為了保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施，國(guó)家先后出臺(tái)并實(shí)行了等級(jí)保護(hù)制度、分級(jí)保護(hù)制度和網(wǎng)絡(luò)安全法等指導(dǎo)開展網(wǎng)絡(luò)安全工作。

使用專用保密網(wǎng)絡(luò)或涉密電腦將重要信息與互聯(lián)網(wǎng)隔離是一種有效的防護(hù)手段[1]，但是有些系統(tǒng)面向公眾提供服務(wù)或新聞發(fā)布的信息系統(tǒng)必須接入互聯(lián)網(wǎng)的，在建設(shè)和使用期間，需要認(rèn)真分析面臨的風(fēng)險(xiǎn)、安全需求、安全等級(jí)和安全防護(hù)措施[2]，通過分析系統(tǒng)間的關(guān)系和安全級(jí)別劃分不同的安全域[3]，定期對(duì)系統(tǒng)進(jìn)行主機(jī)漏洞檢測(cè)、WEB應(yīng)用系統(tǒng)漏洞掃描、數(shù)據(jù)庫(kù)安全性檢查和安全配置基線核查等工作，根據(jù)遠(yuǎn)程評(píng)估結(jié)果分析系統(tǒng)安全性，根據(jù)分析結(jié)論和信息系統(tǒng)功能分析，有針對(duì)性地實(shí)行漏洞修復(fù)、訪問策略限制和采用網(wǎng)絡(luò)安全技術(shù)措施對(duì)政務(wù)系統(tǒng)進(jìn)行安全防護(hù)。

2 相關(guān)技術(shù)

2.1 安全漏洞

安全漏洞通常是在軟件設(shè)計(jì)過程，由于編碼不規(guī)范或?qū)斎胼敵鰞?nèi)容缺乏有效性驗(yàn)證，導(dǎo)致安全性邏輯缺陷，攻擊者可以利用設(shè)計(jì)缺陷構(gòu)造特殊利用程序達(dá)到非授權(quán)訪問、執(zhí)行任意代碼、提升權(quán)限和獲取數(shù)據(jù)等攻擊系統(tǒng)的目的[4]。如圖1所示，根據(jù)美國(guó)國(guó)家漏洞數(shù)據(jù)庫(kù)NVD的最新漏洞統(tǒng)計(jì)顯示，2017年全年新增加14643個(gè)漏洞，漏洞爆發(fā)數(shù)量首次突破一萬大關(guān)，漏洞報(bào)告數(shù)量比2016年增加了超過1/3。根據(jù)兩家權(quán)威漏洞披露組織表示，2017年是有史以來軟件漏洞報(bào)告的最多和漏洞增速破紀(jì)錄的一年。

2.2 漏洞檢測(cè)技術(shù)

網(wǎng)絡(luò)安全掃描器（Network Security Scanner）是一種審計(jì)和檢測(cè)遠(yuǎn)程網(wǎng)絡(luò)計(jì)算機(jī)可能存在的漏洞的工具，可以檢查網(wǎng)絡(luò)中被掃描對(duì)象是否存在可以被黑客利用的安全漏洞。它是一個(gè)完整的網(wǎng)絡(luò)實(shí)用程序包，其中包括用于網(wǎng)絡(luò)安全審核、漏洞審核、掃描和監(jiān)控等的各種工具，可以快速掃描和審核網(wǎng)絡(luò)計(jì)算機(jī)的漏洞，信息探測(cè)和目標(biāo)枚舉等功能[5]。

漏洞檢測(cè)按照掃描方式分為：遠(yuǎn)程漏洞掃描和本地漏洞掃描，遠(yuǎn)程漏洞掃描是通過網(wǎng)絡(luò)IP地址進(jìn)行遠(yuǎn)程檢測(cè)，利用發(fā)送和接受網(wǎng)絡(luò)數(shù)據(jù)來分析網(wǎng)絡(luò)安全情況，如X-Scan、X-Way 和Shadow Security Scanner，本地掃描通過補(bǔ)丁安裝情況、軟件版本和基線核查方式完成漏洞檢測(cè)，如微軟的Microsoft Baseline Security Analyzer；按照掃描對(duì)象不同可以分為：主機(jī)漏洞掃描、弱口令掃描、移動(dòng)設(shè)備漏洞掃描和WEB漏洞掃描等[6]，主機(jī)漏洞掃描主要檢測(cè)操作系統(tǒng)、中間件和數(shù)據(jù)庫(kù)管理系統(tǒng)等軟件漏洞，而隨著2017年Intel AMT 和CPU漏洞不斷披露，也出現(xiàn)了對(duì)硬件及微碼進(jìn)行檢測(cè)的漏洞掃描器[7， 8]，弱口令掃描利用密碼字典進(jìn)行弱口令探測(cè)，WEB漏洞掃描主要通過網(wǎng)絡(luò)爬蟲爬取目標(biāo)主機(jī)的WEB應(yīng)用，檢測(cè)頁(yè)面是否含有SQL注入、代碼注入和CSRF跨站偽造請(qǐng)求攻擊等OWASP TOP 10中的WEB應(yīng)用漏洞[9]，如圖2所示W(wǎng)EB漏洞掃描結(jié)果；按照漏洞檢測(cè)技術(shù)可以分為：版本掃描和原理掃描，版本掃描通過網(wǎng)絡(luò)協(xié)議棧指紋識(shí)別目標(biāo)操作系統(tǒng)和軟件版本信息，查詢漏洞數(shù)據(jù)庫(kù)中對(duì)應(yīng)版本的漏洞信息，原理掃描是通過漏洞驗(yàn)證程序POC檢驗(yàn)?zāi)繕?biāo)程序是否存在該漏洞，原理掃描帶有一定的危險(xiǎn)性，驗(yàn)證成功的結(jié)果就是導(dǎo)致該漏洞危害行為發(fā)生，一般不建議對(duì)生產(chǎn)系統(tǒng)進(jìn)行檢測(cè)而只應(yīng)用于測(cè)試環(huán)境；按照掃描漏洞類型單一漏洞檢測(cè)、基于插件漏洞檢測(cè)和通用漏洞檢測(cè)。

3 遠(yuǎn)程評(píng)估脆弱性分析與系統(tǒng)防護(hù)

整個(gè)實(shí)驗(yàn)環(huán)境需要兩臺(tái)物理設(shè)備，一臺(tái)DELL R710服務(wù)器作為靶機(jī)，用來搭建服務(wù)器環(huán)境，一臺(tái)PC機(jī)作為攻擊主機(jī)，用來安裝Sqlmap、Metasploit Framework和Nessus等檢測(cè)系統(tǒng)。其中靶機(jī)環(huán)境實(shí)驗(yàn)環(huán)境采用DELL服務(wù)器配置為：Intel Xeon L5420 2.50GHz、DDR3 16GB、2T硬盤和vSphere虛擬化環(huán)境，在vSphere虛擬化平臺(tái)上安裝Microsoft Windows 2008 R2、Apache 2.4.18 、PHP5.3.29和MySql5.5.47；PC機(jī)配置為：Intel Core i3 6100，DDR4 8G、1T硬盤、Microsoft Windows 7和Kali 2017。

3.1 遠(yuǎn)程WEB應(yīng)用漏洞掃描

使用國(guó)際商業(yè)品牌WEB漏洞掃描器、開源WEB漏洞掃描器和國(guó)內(nèi)安全廠商的WEB漏洞檢測(cè)系統(tǒng)進(jìn)行WEB應(yīng)用漏洞檢測(cè)，由于各種版本協(xié)議差異，為了避免授權(quán)許可協(xié)議對(duì)研究的影響，使用WebScanner代替具體品牌，各WEB應(yīng)用漏洞脆弱性分析系統(tǒng)的版本和結(jié)果如表1所示，使用Sqlmap和Metasploit Framework驗(yàn)證發(fā)現(xiàn)的漏洞，另外對(duì)一漏洞掃描系統(tǒng)發(fā)現(xiàn)的漏洞，用其他幾個(gè)系統(tǒng)交叉驗(yàn)證是否存在誤報(bào)現(xiàn)象[10]。

3.2 遠(yuǎn)程主機(jī)漏洞掃描

主機(jī)掃描分別采用某國(guó)際安全廠商的免費(fèi)版主機(jī)漏洞掃描器、某國(guó)際安全公司的社區(qū)版主機(jī)漏洞掃描器和國(guó)產(chǎn)三個(gè)品牌的漏洞檢測(cè)系統(tǒng)進(jìn)行比對(duì)分析，主機(jī)漏洞掃描器品牌使用VulScanner代替，結(jié)果如表2所示。

3.3 遠(yuǎn)程評(píng)估脆弱性防護(hù)

對(duì)遠(yuǎn)程評(píng)估階段發(fā)現(xiàn)的漏洞進(jìn)行風(fēng)險(xiǎn)分析和漏洞歸類，按照優(yōu)先級(jí)進(jìn)行修復(fù)，如圖3所示，優(yōu)先級(jí)由高到低如下： 軟件補(bǔ)丁、WEB應(yīng)用修復(fù)、修改配置、防火墻封堵和安全設(shè)備防護(hù)。

通過WEB應(yīng)用漏洞掃描和主機(jī)漏洞檢測(cè)可以發(fā)現(xiàn)，系統(tǒng)存在大量安全漏洞，按照“發(fā)現(xiàn)—評(píng)估—修復(fù)—封堵—防護(hù)”的流程，對(duì)遠(yuǎn)程評(píng)估進(jìn)行分析可以發(fā)現(xiàn)，服務(wù)器漏洞可以通過安裝補(bǔ)丁的方式進(jìn)行修復(fù)，部分對(duì)低風(fēng)險(xiǎn)安全漏洞可以通過系統(tǒng)防火墻進(jìn)行封堵，而WEB應(yīng)用的80端口需要對(duì)外提供服務(wù)，不能采用完全封堵的方式，可以采用以下四種策略進(jìn)行防護(hù)：1）通知軟件開發(fā)商修復(fù)已經(jīng)檢測(cè)到的安全漏洞；2）在網(wǎng)絡(luò)邊界部署下一代防火墻對(duì)外屏蔽除80端口外的所有端口，利用下一代防火墻集成的WEB應(yīng)用防火墻、防篡改系統(tǒng)和入侵防御系統(tǒng)，針對(duì)WEB應(yīng)用進(jìn)行專門的防護(hù)，在硬件防火墻的網(wǎng)絡(luò)層防護(hù)中限制WEB應(yīng)用的訪問IP地址范圍，凡是不在業(yè)務(wù)允許范圍內(nèi)的IP地址進(jìn)行攔截；3）使用操作系統(tǒng)防火墻設(shè)置安全策略，為防止APT攻擊或以內(nèi)網(wǎng)主機(jī)為跳板越過網(wǎng)絡(luò)邊界的下一代防火墻的防護(hù)，對(duì)業(yè)務(wù)系統(tǒng)的服務(wù)和數(shù)據(jù)庫(kù)系統(tǒng)的服務(wù)器建立安全域，WEB應(yīng)用服務(wù)器僅對(duì)外開放業(yè)務(wù)端口和遠(yuǎn)程管理端口，對(duì)遠(yuǎn)程管理端3389的訪問進(jìn)行IP地址限制，限定數(shù)據(jù)庫(kù)的SSH遠(yuǎn)程管理端口和Mysql端口只能由WEB應(yīng)用服務(wù)器的IP地址訪問；4）通過VPN網(wǎng)關(guān)安全隧道建立安全的網(wǎng)絡(luò)連接。

如圖5所示，Windows 2008 R2高級(jí)防火墻的優(yōu)先級(jí)規(guī)則由高到低依次為：Windows服務(wù)、連接安全規(guī)則、認(rèn)證繞行規(guī)則、拒絕規(guī)則、允許規(guī)則和默認(rèn)規(guī)則[11]。對(duì)主機(jī)漏洞掃描結(jié)果進(jìn)行分析，使用高級(jí)防火墻規(guī)則屏蔽對(duì)外開放端口的數(shù)量，除了保留業(yè)務(wù)系統(tǒng)80端口和遠(yuǎn)程管理3389端口外，拒絕所有入站和出站的規(guī)則，其中遠(yuǎn)程管理3389端口僅限定系統(tǒng)管理員的電腦IP地址可以訪問，這里需要注意的是，由于Window防火墻的拒絕規(guī)則優(yōu)先級(jí)高于允許規(guī)則，如果想讓某個(gè)端口或程序只允許指定IP地址訪問而拒絕非授權(quán)IP訪問時(shí)，應(yīng)采用設(shè)置作用限定遠(yuǎn)程IP地址的方式，而不能直接選擇阻止連接的方式，如圖5所示。

Linux防火墻是一種基于iptable和netfilter包過濾防火墻，如圖7所示，Mysql運(yùn)行于Linux服務(wù)器上，通過防火墻規(guī)則設(shè)定安全域?yàn)閮H為WEB應(yīng)用服務(wù)器和Linux數(shù)據(jù)庫(kù)之間通信，數(shù)據(jù)庫(kù)所在的Linux主機(jī)的出站規(guī)則和入站規(guī)則默認(rèn)為拒絕，阻斷了服務(wù)器被攻擊和數(shù)據(jù)庫(kù)數(shù)據(jù)泄露的風(fēng)險(xiǎn)，如圖7所示，設(shè)置完成后的Linux防火規(guī)則，SSH和Mysql服務(wù)僅限制IP地址為192.168.10.1的WEB應(yīng)用服務(wù)器訪問。

通過遠(yuǎn)程評(píng)估分析網(wǎng)絡(luò)系統(tǒng)脆弱性后，按照“發(fā)現(xiàn)—評(píng)估—修復(fù)—封堵—防護(hù)”的安全策略安全加固后對(duì)系統(tǒng)進(jìn)行安全漏洞掃描，內(nèi)網(wǎng)掃描結(jié)果如圖8所示，內(nèi)網(wǎng)WEB服務(wù)器檢測(cè)僅開放3389遠(yuǎn)程管理端口等3個(gè)信息泄露類漏洞和4個(gè)低風(fēng)險(xiǎn)WEB應(yīng)用漏洞，而這是在內(nèi)網(wǎng)的掃描結(jié)果，在互聯(lián)網(wǎng)上由于通過下一代防火墻的防護(hù)，遠(yuǎn)程管理端口3389是沒有對(duì)互聯(lián)網(wǎng)開放的；數(shù)據(jù)庫(kù)服務(wù)器多次掃描均失敗，漏洞檢測(cè)系統(tǒng)為檢測(cè)到存活主機(jī)，認(rèn)為該服務(wù)器不存在或處于關(guān)機(jī)狀態(tài)。

4 結(jié)論

通過對(duì)政務(wù)系統(tǒng)的遠(yuǎn)程評(píng)估，分析系統(tǒng)的脆弱性，根據(jù)安全風(fēng)險(xiǎn)級(jí)別和類別，有針對(duì)性采取漏洞修復(fù)、防火墻封堵和安全設(shè)備防護(hù)，對(duì)比系統(tǒng)加固前的漏洞掃描結(jié)果和系統(tǒng)加固后的漏洞掃描結(jié)果。實(shí)驗(yàn)結(jié)果表明，使用基于遠(yuǎn)程評(píng)估分析的政務(wù)系統(tǒng)防護(hù)技術(shù)，可以大幅度減少系統(tǒng)漏洞和有效地提高網(wǎng)絡(luò)系統(tǒng)安全性。

參考文獻(xiàn)：

[1] 陳燕群，王海燕.涉密計(jì)算機(jī)信息安全使用管理探析[J].電腦知識(shí)與技術(shù)， 2017，13（23）.

[2] 劉聰林.電子政務(wù)系統(tǒng)安全性研究[J].電腦知識(shí)與技術(shù)，2010，6（4）： 第841-842.

[3] 王淼，凌捷，郝彥軍.電子政務(wù)系統(tǒng)安全域劃分技術(shù)的研究與應(yīng)用[J].計(jì)算機(jī)工程與科學(xué)， 2010，32（8）： 52-55.

[4] 王清， .0day安全：軟件漏洞分析技術(shù)（第2版） [M]. 北京： 電子工業(yè)出版社，2013.

[5] Murali G， et al. Network security scanner[J]. International Journal of Computer Technology & Applications， 2011，02（06）.

[6] 康峰.網(wǎng)絡(luò)漏洞掃描系統(tǒng)的研究與設(shè)計(jì)[J]. 電腦開發(fā)與應(yīng)用， 2006，19（10）： 27-28.

[7] Lipp， M.， et al.， Meltdown[J]. 2018.

[8] Kocher P， et al.， Spectre Attacks： Exploiting Speculative Execution[J]. 2018.

[9] OWASP， OWASP Top 10 2017 Released The Ten Most Critical Web Application Security Risks[R]. 2017.

[10] Vieira， M.， N. Antunes and H. Madeira， Using web security scanners to detect vulnerabilities in web services[J]. 2009： 566-571.

[11] Microsoft.Order of Windows Firewall with Advanced Security Rules Evaluation. https：//docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc755191（v=ws.10）

【通聯(lián)編輯：代影】