疾控信息系統安全漏洞掃描的結果分析

龐延輝++肖鵬++羅俊

摘 要：隨著信息技術的發展，疾控信息化程度越來越高，信息安全問題日益突顯，一旦發生信息泄露，將帶來惡劣的社會影響。為預防各類安全問題的發生，論文結合實際工作利用網絡安全漏洞掃描技術對疾控信息系統服務器和Web進行安全掃描，對掃描結果進行了詳細分析，并從網絡層、應用層和管理層面提出了相應的建設策略。

關鍵詞：信息系統；安全漏洞；漏洞掃描

中圖分類號：TP309.2 文獻標識碼：A

Abstract： With the development of information technology， the level of information technology in CDC is becoming higher and higher， and the problem of information security is becoming increasingly prominent. Once information leakage occurs， it will bring bad social impact. In order to prevent all kinds of security problems， this paper uses the network security vulnerability scanning technology for CDC information system server and Web security scan， the scan results were analyzed in detail， and from the network layer， application layer and management level put forward the corresponding construction strategies.

Key words： information systems；security vulnerabilities； vulnerability scanning

1 引言

隨著信息技術的發展，疾控信息化程度越來越高，大大提高了工作效率，同時隨之帶來的網絡系統安全問題也日益突顯。2017年5月12日，蠕蟲勒索病毒的全球爆發，在世界范圍內掀起了一場軒然大波。網絡安全問題再次被推到風口浪尖，企事業單位如果做好內部信息系統的網絡安全防護成了本文的研究重點。

2 對象

本文的主要研究對象是某疾控機構內部的6個Web類應用系統和23個Windows主機。

3 方法

本文所采用的漏洞掃描工具是明鑒Web應用弱點掃描器，在沒有任何的網絡安全防護設施的情況下，直接對服務器和信息系統進行安全漏洞掃描。

明鑒Web應用弱點掃描器是在深入分析研究B/S架構應用系統中典型安全漏洞以及流行攻擊技術基礎上研制而成，具有深度掃描、Web漏洞檢測、配置審計、滲透測試等功能。

4 漏洞掃描介紹

網絡漏洞掃描技術是一種基于遠程檢測目標網絡和本地主機安全性脆弱性的技術。通過漏洞掃描，系統管理員能夠發現主機的各種端口分配、開放的服務、主機操作系統和應用系統的安全漏洞。網絡漏洞掃描技術是采用積極的、非破壞性的原理來檢驗系統是否有可能被攻擊，它利用一系列的腳步來模擬對系統進行攻擊的行為，并對結果進行分析。基于網絡的漏洞掃描器，一般由幾個方面組成：漏洞數據庫模塊、用戶配置控制臺模塊、掃描引擎模塊、當前活動的掃描知識庫模塊、報告生成模塊，如圖1所示。

通過漏洞掃描及時發現系統在應用、服務、威脅及弱口令方面存在的安全漏洞，使管理人員能夠了解最新漏洞信息，并且根據網絡中資產的分布情況和存在的漏洞危害程度，制訂有效合理的漏洞修補方案，通過掃描報告給出的資產風險優先級排序，從而大大提高漏洞修補效率，保證系統安全。

5 漏洞危害分級

根據安全漏洞掃描結果的可被利用難度和可能造成影響的嚴重程度進行分級，從高到低分別是緊急、高危、中危、低危、信息五個級別。

5.1 緊急

可以直接被利用的漏洞，且利用難度較低。被攻擊之后可能對網站或服務器的正常運行造成嚴重影響，或對用戶財產及個人信息造成重大損失。

5.2 高危

被利用之后，造成的影響較大，但直接利用難度較高的漏洞。或本身無法直接攻擊，但能為進一步攻擊造成極大便利的漏洞。

5.3 中危

利用難度極高，或滿足嚴格條件才能實現攻擊的漏洞。或漏洞本身無法被直接攻擊，但能為進一步攻擊起較大幫助作用的漏洞。

5.4 低危

無法直接實現攻擊，但提供的信息可能讓攻擊者更容易找到其他安全漏洞。

5.5 信息

本身對網站安全沒有直接影響，提供的信息可能為攻擊者提供少量幫助，或可用于其他手段的攻擊，如社工等。

6 結果

6.1 Web應用系統安全漏洞掃描

此次Web漏洞掃描對象包括有微信管理平臺、老人體檢信息管理系統、艾滋病實驗室管理系統、慢性病監測管理系統、美沙酮維持治療管理系統和門戶網站6個重要的Web應用系統。其中，共探測了3340個URL，完成了438064次測試，共發現的Web安全漏洞215個；大部分安全漏洞集中在2個Web應用上，占了84.65%，詳細漏洞數量分布如圖2所示。

網站的安全漏洞掃描覆蓋了弱口令、SQL注入、跨站腳本攻擊和遠程代碼執行、源代碼泄露等主流Web安全漏洞，大部分安全漏洞為低級和信息級別，而緊急、高級、中級安全漏洞有30處，占13.95%，詳細分布如圖3所示。endprint

從上述數據可見，Web應用系統普遍存在著安全漏洞，入侵者可通過系統漏洞竊取系統信息數據，甚至獲取服務器的完全控制器，存在著重要的安全隱患。

6.2 服務器安全漏洞掃描

此次主機漏洞掃描的范圍包含23臺服務器主機，其中檢測出安全漏洞的主機有5臺占了21.7%，發現安全漏洞共69處，其中最多的一臺服務器有27處安全漏洞，詳細數量分布如圖4所示。

在發現的安全漏洞中包含有遠程代碼執行、蠕蟲攻擊等高級危害漏洞，詳細分布如圖5所示。

7 安全建設策略

從上述的檢測結果可以看出，沒有任何安全防護的服務器及Web應用直接暴露在互聯網上將帶來嚴重的安全隱患。為保證疾控在對外提供業務服務的同時保證信息系統的安全，本文從網絡、應用和管理層面進行改進，提高信息系統安全防護。

7.1 網絡層面安全防護

大部分的網絡攻擊最初是通過網絡遠程掃描開始，而網絡防火墻可以作為安全防護第一關，以最小權限的原則，開放僅需要的網絡端口，關閉病毒、蠕蟲常用端口，嚴格控制服務器的訪問權限。對于通過正常端口訪問進來的異常流量需要設置第二道關卡：入侵防護系統。它根據自身規則庫自動識別出各種已知的網絡攻擊，對惡意網絡攻擊進行攔截。

7.2 應用層面的安全防護

應用層面漏洞包括有Web系統、數據庫、操作系統漏洞等。攻擊者通過爬蟲技術，遠程探測Web網站、數據庫和操作系統的安全漏洞而達到入侵目的。對于應用層面的攻擊一方面是采用Web應用防火墻，自動識別并攔截已知的惡意攻擊，包括注入攻擊、跨站攻擊、爬蟲等。另一方面，要提高Web應用系統在開發階段的代碼編寫質量，從根源降低代碼級的安全漏洞。最后一點給操作系統打補丁可以有效防止漏洞攻擊

7.3 建立健全信息安全管理制度，落實責任

“三分技術，七分管理”是網絡安全領域的一句至理名言，網絡安全中的30%依靠計算機系信息安全設備的技術保障，而70%則依靠用戶安全管理意識的提高及管理模式的創新。首先，成立信息科，任用專職人員管理網絡及信息系統安全，制定和完善各種規章制度；其次，通過定期和不定期的檢查來強化制度的遵守和落實，與中心綜合目標考核指標掛鉤，將落實信息系統安全工作貫穿于疾控的各項工作中。

7 結束語

漏洞掃描作為網絡安全建設中重要的手段之一，不定期的漏洞掃描能更好幫助管理者發現網絡存在的安全漏洞，提前做好安全防范措施。本文的不足之處在于沒有對增加安全防護之后的信息系統進行漏洞掃描，無法判斷所采取的安全防護措施所起作用大小。總之，信息系統安全工作是一項持之以恒的工作，并隨著新技術的發展，新的安全隱患也不斷涌現，要求管理人員要以宏觀的眼光考慮制定出合理、有效的安全策略，確保疾控信息系統安全、穩定的運行。

參考文獻

[1] 趙一，李鳳，毋丹丹，余云春.基于區域衛生信息平臺的疾病預防控制信息系統的探索與研究[J].中國科技信，2014，16：197-198.

[2] 彭琳，蒲立新，曲建明，高忠軍.基于醫院信息化系統的IT智能運維平臺的設計和實現[J].中國數字醫學，2014，4：58-61.

[3] 薛雅.疾病預防控制機構信息系統安全策略分析與探討[J].內江科技，2016，7：34-35.

[4] 朱健華.淺析信息化建設中的安全漏洞掃描技術[J].中國科技投資，2012，27：28-29.

[5] 冀振燕，李春元，莫建楊.網站漏洞掃描軟件[J].計算機系統應用，2014，4：159-163.

[6] 唐曉東，唐偉，王賢菊.入侵檢測系統與漏洞掃描聯動的應用研究[J].網絡安全技術與應用，2014，8：121，123.

[7] 陳俊華.網絡漏洞掃描系統研究與設計[J]. 信息網絡安全，2013，5：121，123.

[8] 卓家.信息化建設中網絡安全漏洞掃描技術的研究[J].信息安全與技術，2013，8：30-31，35.

[9] 王良.漏洞掃描系統設計與應用[J].信息安全與技術，2011，C1：44-46.

[10] 占斌.基于網絡的漏洞掃描技術分析與應用[J].企業技術開發，2013，10：42-43，51.endprint