馬曉亮 孫艷紅

摘要：政府的政務系統(tǒng)承載著大量的重要信息，由于專業(yè)人員和技術力量缺乏等因素的影響，政務系統(tǒng)存在著大量安全漏洞，發(fā)現(xiàn)漏洞、評估風險、修復漏洞和系統(tǒng)加固成為保護政務系統(tǒng)安全有效防護過程，漏洞和風險評估成為保護系統(tǒng)安全的基礎條件，基于分析安全風險為基礎發(fā)現(xiàn)政務系統(tǒng)存在的安全漏洞和安全威脅，以安全防護技術和《網(wǎng)絡安全法》等為基礎提出安全防護體系模型。實驗結果表明，通過遠程評估分析發(fā)現(xiàn)系統(tǒng)中隱藏的安全漏洞，有針對性地進行系統(tǒng)加固和增加安全防護設備可以有效提高系統(tǒng)安全性。

關鍵詞： 遠程評估； 漏洞掃描； 風險評估； 政務系統(tǒng)； 網(wǎng)絡攻擊

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1009-3044（2018）21-0298-03

Abstract：The government administration system carries many important information， due to the lack of professional and technical person and other factors， there are many security vulnerabilities in server system of government， find out vulnerabilities， risk assessment， repair vulnerabilities and system reinforcement become the safe and effective protection process of government system， Vulnerability and risk assessment become the basic condition to protect system security，based on the analysis of security risk， we find vulnerabilities and security threats in government system， with safety protection technology and network security law， a security protection system model is proposed. The experimental results show that we find out vulnerabilities in the system through remote assessment and analysis， we can effectively improve system safety through system reinforcement and additional safety protection devices.

Key words：remote security assessment； vulnerability scan； risk Assessment； network attack； government-system

1 引言

政務系統(tǒng)承擔著服務公眾、網(wǎng)上辦公和行政審批等職責，政務系統(tǒng)的服務器內(nèi)數(shù)據(jù)具有信息量大和價值密度大的特點，政府的政務系統(tǒng)歷來是網(wǎng)絡犯罪和國外黑客組織重點攻擊對象。因此，政務系統(tǒng)的網(wǎng)絡安全工作關系到國家、政治和經(jīng)濟安全，政務系統(tǒng)在很多國家都被列入關鍵信息基礎設施進行保護，一旦信息泄露或被篡改將給國家、社會和公眾利益帶來嚴重損害，有些網(wǎng)站的信息泄露、被篡改或掛馬很有可能給國家聲譽帶來危害甚至危急國家安全。為了保護關鍵信息基礎設施，國家先后出臺并實行了等級保護制度、分級保護制度和網(wǎng)絡安全法等指導開展網(wǎng)絡安全工作。

使用專用保密網(wǎng)絡或涉密電腦將重要信息與互聯(lián)網(wǎng)隔離是一種有效的防護手段[1]，但是有些系統(tǒng)面向公眾提供服務或新聞發(fā)布的信息系統(tǒng)必須接入互聯(lián)網(wǎng)的，在建設和使用期間，需要認真分析面臨的風險、安全需求、安全等級和安全防護措施[2]，通過分析系統(tǒng)間的關系和安全級別劃分不同的安全域[3]，定期對系統(tǒng)進行主機漏洞檢測、WEB應用系統(tǒng)漏洞掃描、數(shù)據(jù)庫安全性檢查和安全配置基線核查等工作，根據(jù)遠程評估結果分析系統(tǒng)安全性，根據(jù)分析結論和信息系統(tǒng)功能分析，有針對性地實行漏洞修復、訪問策略限制和采用網(wǎng)絡安全技術措施對政務系統(tǒng)進行安全防護。

2 相關技術

2.1 安全漏洞

安全漏洞通常是在軟件設計過程，由于編碼不規(guī)范或?qū)斎胼敵鰞?nèi)容缺乏有效性驗證，導致安全性邏輯缺陷，攻擊者可以利用設計缺陷構造特殊利用程序達到非授權訪問、執(zhí)行任意代碼、提升權限和獲取數(shù)據(jù)等攻擊系統(tǒng)的目的[4]。如圖1所示，根據(jù)美國國家漏洞數(shù)據(jù)庫NVD的最新漏洞統(tǒng)計顯示，2017年全年新增加14643個漏洞，漏洞爆發(fā)數(shù)量首次突破一萬大關，漏洞報告數(shù)量比2016年增加了超過1/3。根據(jù)兩家權威漏洞披露組織表示，2017年是有史以來軟件漏洞報告的最多和漏洞增速破紀錄的一年。

2.2 漏洞檢測技術

網(wǎng)絡安全掃描器（Network Security Scanner）是一種審計和檢測遠程網(wǎng)絡計算機可能存在的漏洞的工具，可以檢查網(wǎng)絡中被掃描對象是否存在可以被黑客利用的安全漏洞。它是一個完整的網(wǎng)絡實用程序包，其中包括用于網(wǎng)絡安全審核、漏洞審核、掃描和監(jiān)控等的各種工具，可以快速掃描和審核網(wǎng)絡計算機的漏洞，信息探測和目標枚舉等功能[5]。

漏洞檢測按照掃描方式分為：遠程漏洞掃描和本地漏洞掃描，遠程漏洞掃描是通過網(wǎng)絡IP地址進行遠程檢測，利用發(fā)送和接受網(wǎng)絡數(shù)據(jù)來分析網(wǎng)絡安全情況，如X-Scan、X-Way 和Shadow Security Scanner，本地掃描通過補丁安裝情況、軟件版本和基線核查方式完成漏洞檢測，如微軟的Microsoft Baseline Security Analyzer；按照掃描對象不同可以分為：主機漏洞掃描、弱口令掃描、移動設備漏洞掃描和WEB漏洞掃描等[6]，主機漏洞掃描主要檢測操作系統(tǒng)、中間件和數(shù)據(jù)庫管理系統(tǒng)等軟件漏洞，而隨著2017年Intel AMT 和CPU漏洞不斷披露，也出現(xiàn)了對硬件及微碼進行檢測的漏洞掃描器[7， 8]，弱口令掃描利用密碼字典進行弱口令探測，WEB漏洞掃描主要通過網(wǎng)絡爬蟲爬取目標主機的WEB應用，檢測頁面是否含有SQL注入、代碼注入和CSRF跨站偽造請求攻擊等OWASP TOP 10中的WEB應用漏洞[9]，如圖2所示W(wǎng)EB漏洞掃描結果；按照漏洞檢測技術可以分為：版本掃描和原理掃描，版本掃描通過網(wǎng)絡協(xié)議棧指紋識別目標操作系統(tǒng)和軟件版本信息，查詢漏洞數(shù)據(jù)庫中對應版本的漏洞信息，原理掃描是通過漏洞驗證程序POC檢驗目標程序是否存在該漏洞，原理掃描帶有一定的危險性，驗證成功的結果就是導致該漏洞危害行為發(fā)生，一般不建議對生產(chǎn)系統(tǒng)進行檢測而只應用于測試環(huán)境；按照掃描漏洞類型單一漏洞檢測、基于插件漏洞檢測和通用漏洞檢測。

3 遠程評估脆弱性分析與系統(tǒng)防護

整個實驗環(huán)境需要兩臺物理設備，一臺DELL R710服務器作為靶機，用來搭建服務器環(huán)境，一臺PC機作為攻擊主機，用來安裝Sqlmap、Metasploit Framework和Nessus等檢測系統(tǒng)。其中靶機環(huán)境實驗環(huán)境采用DELL服務器配置為：Intel Xeon L5420 2.50GHz、DDR3 16GB、2T硬盤和vSphere虛擬化環(huán)境，在vSphere虛擬化平臺上安裝Microsoft Windows 2008 R2、Apache 2.4.18 、PHP5.3.29和MySql5.5.47；PC機配置為：Intel Core i3 6100，DDR4 8G、1T硬盤、Microsoft Windows 7和Kali 2017。

3.1 遠程WEB應用漏洞掃描

使用國際商業(yè)品牌WEB漏洞掃描器、開源WEB漏洞掃描器和國內(nèi)安全廠商的WEB漏洞檢測系統(tǒng)進行WEB應用漏洞檢測，由于各種版本協(xié)議差異，為了避免授權許可協(xié)議對研究的影響，使用WebScanner代替具體品牌，各WEB應用漏洞脆弱性分析系統(tǒng)的版本和結果如表1所示，使用Sqlmap和Metasploit Framework驗證發(fā)現(xiàn)的漏洞，另外對一漏洞掃描系統(tǒng)發(fā)現(xiàn)的漏洞，用其他幾個系統(tǒng)交叉驗證是否存在誤報現(xiàn)象[10]。

3.2 遠程主機漏洞掃描

主機掃描分別采用某國際安全廠商的免費版主機漏洞掃描器、某國際安全公司的社區(qū)版主機漏洞掃描器和國產(chǎn)三個品牌的漏洞檢測系統(tǒng)進行比對分析，主機漏洞掃描器品牌使用VulScanner代替，結果如表2所示。

3.3 遠程評估脆弱性防護

對遠程評估階段發(fā)現(xiàn)的漏洞進行風險分析和漏洞歸類，按照優(yōu)先級進行修復，如圖3所示，優(yōu)先級由高到低如下： 軟件補丁、WEB應用修復、修改配置、防火墻封堵和安全設備防護。

通過WEB應用漏洞掃描和主機漏洞檢測可以發(fā)現(xiàn)，系統(tǒng)存在大量安全漏洞，按照“發(fā)現(xiàn)—評估—修復—封堵—防護”的流程，對遠程評估進行分析可以發(fā)現(xiàn)，服務器漏洞可以通過安裝補丁的方式進行修復，部分對低風險安全漏洞可以通過系統(tǒng)防火墻進行封堵，而WEB應用的80端口需要對外提供服務，不能采用完全封堵的方式，可以采用以下四種策略進行防護：1）通知軟件開發(fā)商修復已經(jīng)檢測到的安全漏洞；2）在網(wǎng)絡邊界部署下一代防火墻對外屏蔽除80端口外的所有端口，利用下一代防火墻集成的WEB應用防火墻、防篡改系統(tǒng)和入侵防御系統(tǒng)，針對WEB應用進行專門的防護，在硬件防火墻的網(wǎng)絡層防護中限制WEB應用的訪問IP地址范圍，凡是不在業(yè)務允許范圍內(nèi)的IP地址進行攔截；3）使用操作系統(tǒng)防火墻設置安全策略，為防止APT攻擊或以內(nèi)網(wǎng)主機為跳板越過網(wǎng)絡邊界的下一代防火墻的防護，對業(yè)務系統(tǒng)的服務和數(shù)據(jù)庫系統(tǒng)的服務器建立安全域，WEB應用服務器僅對外開放業(yè)務端口和遠程管理端口，對遠程管理端3389的訪問進行IP地址限制，限定數(shù)據(jù)庫的SSH遠程管理端口和Mysql端口只能由WEB應用服務器的IP地址訪問；4）通過VPN網(wǎng)關安全隧道建立安全的網(wǎng)絡連接。

如圖5所示，Windows 2008 R2高級防火墻的優(yōu)先級規(guī)則由高到低依次為：Windows服務、連接安全規(guī)則、認證繞行規(guī)則、拒絕規(guī)則、允許規(guī)則和默認規(guī)則[11]。對主機漏洞掃描結果進行分析，使用高級防火墻規(guī)則屏蔽對外開放端口的數(shù)量，除了保留業(yè)務系統(tǒng)80端口和遠程管理3389端口外，拒絕所有入站和出站的規(guī)則，其中遠程管理3389端口僅限定系統(tǒng)管理員的電腦IP地址可以訪問，這里需要注意的是，由于Window防火墻的拒絕規(guī)則優(yōu)先級高于允許規(guī)則，如果想讓某個端口或程序只允許指定IP地址訪問而拒絕非授權IP訪問時，應采用設置作用限定遠程IP地址的方式，而不能直接選擇阻止連接的方式，如圖5所示。

Linux防火墻是一種基于iptable和netfilter包過濾防火墻，如圖7所示，Mysql運行于Linux服務器上，通過防火墻規(guī)則設定安全域為僅為WEB應用服務器和Linux數(shù)據(jù)庫之間通信，數(shù)據(jù)庫所在的Linux主機的出站規(guī)則和入站規(guī)則默認為拒絕，阻斷了服務器被攻擊和數(shù)據(jù)庫數(shù)據(jù)泄露的風險，如圖7所示，設置完成后的Linux防火規(guī)則，SSH和Mysql服務僅限制IP地址為192.168.10.1的WEB應用服務器訪問。

通過遠程評估分析網(wǎng)絡系統(tǒng)脆弱性后，按照“發(fā)現(xiàn)—評估—修復—封堵—防護”的安全策略安全加固后對系統(tǒng)進行安全漏洞掃描，內(nèi)網(wǎng)掃描結果如圖8所示，內(nèi)網(wǎng)WEB服務器檢測僅開放3389遠程管理端口等3個信息泄露類漏洞和4個低風險WEB應用漏洞，而這是在內(nèi)網(wǎng)的掃描結果，在互聯(lián)網(wǎng)上由于通過下一代防火墻的防護，遠程管理端口3389是沒有對互聯(lián)網(wǎng)開放的；數(shù)據(jù)庫服務器多次掃描均失敗，漏洞檢測系統(tǒng)為檢測到存活主機，認為該服務器不存在或處于關機狀態(tài)。

4 結論

通過對政務系統(tǒng)的遠程評估，分析系統(tǒng)的脆弱性，根據(jù)安全風險級別和類別，有針對性采取漏洞修復、防火墻封堵和安全設備防護，對比系統(tǒng)加固前的漏洞掃描結果和系統(tǒng)加固后的漏洞掃描結果。實驗結果表明，使用基于遠程評估分析的政務系統(tǒng)防護技術，可以大幅度減少系統(tǒng)漏洞和有效地提高網(wǎng)絡系統(tǒng)安全性。

參考文獻：

[1] 陳燕群，王海燕.涉密計算機信息安全使用管理探析[J].電腦知識與技術， 2017，13（23）.

[2] 劉聰林.電子政務系統(tǒng)安全性研究[J].電腦知識與技術，2010，6（4）： 第841-842.

[3] 王淼，凌捷，郝彥軍.電子政務系統(tǒng)安全域劃分技術的研究與應用[J].計算機工程與科學， 2010，32（8）： 52-55.

[4] 王清， .0day安全：軟件漏洞分析技術（第2版） [M]. 北京： 電子工業(yè)出版社，2013.

[5] Murali G， et al. Network security scanner[J]. International Journal of Computer Technology & Applications， 2011，02（06）.

[6] 康峰.網(wǎng)絡漏洞掃描系統(tǒng)的研究與設計[J]. 電腦開發(fā)與應用， 2006，19（10）： 27-28.

[7] Lipp， M.， et al.， Meltdown[J]. 2018.

[8] Kocher P， et al.， Spectre Attacks： Exploiting Speculative Execution[J]. 2018.

[9] OWASP， OWASP Top 10 2017 Released The Ten Most Critical Web Application Security Risks[R]. 2017.

[10] Vieira， M.， N. Antunes and H. Madeira， Using web security scanners to detect vulnerabilities in web services[J]. 2009： 566-571.

[11] Microsoft.Order of Windows Firewall with Advanced Security Rules Evaluation. https：//docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc755191（v=ws.10）

【通聯(lián)編輯：代影】