疾控信息系统安全漏洞扫描的结果分析

庞延辉++肖鹏++罗俊

摘 要：随着信息技术的发展，疾控信息化程度越来越高，信息安全问题日益突显，一旦发生信息泄露，将带来恶劣的社会影响。为预防各类安全问题的发生，论文结合实际工作利用网络安全漏洞扫描技术对疾控信息系统服务器和Web进行安全扫描，对扫描结果进行了详细分析，并从网络层、应用层和管理层面提出了相应的建设策略。

关键词：信息系统；安全漏洞；漏洞扫描

中图分类号：TP309.2 文献标识码：A

Abstract： With the development of information technology， the level of information technology in CDC is becoming higher and higher， and the problem of information security is becoming increasingly prominent. Once information leakage occurs， it will bring bad social impact. In order to prevent all kinds of security problems， this paper uses the network security vulnerability scanning technology for CDC information system server and Web security scan， the scan results were analyzed in detail， and from the network layer， application layer and management level put forward the corresponding construction strategies.

Key words： information systems；security vulnerabilities； vulnerability scanning

1 引言

随着信息技术的发展，疾控信息化程度越来越高，大大提高了工作效率，同时随之带来的网络系统安全问题也日益突显。2017年5月12日，蠕虫勒索病毒的全球爆发，在世界范围内掀起了一场轩然大波。网络安全问题再次被推到风口浪尖，企事业单位如果做好内部信息系统的网络安全防护成了本文的研究重點。

2 对象

本文的主要研究对象是某疾控机构内部的6个Web类应用系统和23个Windows主机。

3 方法

本文所采用的漏洞扫描工具是明鉴Web应用弱点扫描器，在没有任何的网络安全防护设施的情况下，直接对服务器和信息系统进行安全漏洞扫描。

明鉴Web应用弱点扫描器是在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制而成，具有深度扫描、Web漏洞检测、配置审计、渗透测试等功能。

4 漏洞扫描介绍

网络漏洞扫描技术是一种基于远程检测目标网络和本地主机安全性脆弱性的技术。通过漏洞扫描，系统管理员能够发现主机的各种端口分配、开放的服务、主机操作系统和应用系统的安全漏洞。网络漏洞扫描技术是采用积极的、非破坏性的原理来检验系统是否有可能被攻击，它利用一系列的脚步来模拟对系统进行攻击的行为，并对结果进行分析。基于网络的漏洞扫描器，一般由几个方面组成：漏洞数据库模块、用户配置控制台模块、扫描引擎模块、当前活动的扫描知识库模块、报告生成模块，如图1所示。

通过漏洞扫描及时发现系统在应用、服务、威胁及弱口令方面存在的安全漏洞，使管理人员能够了解最新漏洞信息，并且根据网络中资产的分布情况和存在的漏洞危害程度，制订有效合理的漏洞修补方案，通过扫描报告给出的资产风险优先级排序，从而大大提高漏洞修补效率，保证系统安全。

5 漏洞危害分级

根据安全漏洞扫描结果的可被利用难度和可能造成影响的严重程度进行分级，从高到低分别是紧急、高危、中危、低危、信息五个级别。

5.1 紧急

可以直接被利用的漏洞，且利用难度较低。被攻击之后可能对网站或服务器的正常运行造成严重影响，或对用户财产及个人信息造成重大损失。

5.2 高危

被利用之后，造成的影响较大，但直接利用难度较高的漏洞。或本身无法直接攻击，但能为进一步攻击造成极大便利的漏洞。

5.3 中危

利用难度极高，或满足严格条件才能实现攻击的漏洞。或漏洞本身无法被直接攻击，但能为进一步攻击起较大帮助作用的漏洞。

5.4 低危

无法直接实现攻击，但提供的信息可能让攻击者更容易找到其他安全漏洞。

5.5 信息

本身对网站安全没有直接影响，提供的信息可能为攻击者提供少量帮助，或可用于其他手段的攻击，如社工等。

6 结果

6.1 Web应用系统安全漏洞扫描

此次Web漏洞扫描对象包括有微信管理平台、老人体检信息管理系统、艾滋病实验室管理系统、慢性病监测管理系统、美沙酮维持治疗管理系统和门户网站6个重要的Web应用系统。其中，共探测了3340个URL，完成了438064次测试，共发现的Web安全漏洞215个；大部分安全漏洞集中在2个Web应用上，占了84.65%，详细漏洞数量分布如图2所示。

网站的安全漏洞扫描覆盖了弱口令、SQL注入、跨站脚本攻击和远程代码执行、源代码泄露等主流Web安全漏洞，大部分安全漏洞为低级和信息级别，而紧急、高级、中级安全漏洞有30处，占13.95%，详细分布如图3所示。endprint

从上述数据可见，Web应用系统普遍存在着安全漏洞，入侵者可通过系统漏洞窃取系统信息数据，甚至获取服务器的完全控制器，存在着重要的安全隐患。

6.2 服务器安全漏洞扫描

此次主机漏洞扫描的范围包含23台服务器主机，其中检测出安全漏洞的主机有5台占了21.7%，发现安全漏洞共69处，其中最多的一台服务器有27处安全漏洞，详细数量分布如图4所示。

在发现的安全漏洞中包含有远程代码执行、蠕虫攻击等高级危害漏洞，详细分布如图5所示。

7 安全建设策略

从上述的检测结果可以看出，没有任何安全防护的服务器及Web应用直接暴露在互联网上将带来严重的安全隐患。为保证疾控在对外提供业务服务的同时保证信息系统的安全，本文从网络、应用和管理层面进行改进，提高信息系统安全防护。

7.1 网络层面安全防护

大部分的网络攻击最初是通过网络远程扫描开始，而网络防火墙可以作为安全防护第一关，以最小权限的原则，开放仅需要的网络端口，关闭病毒、蠕虫常用端口，严格控制服务器的访问权限。对于通过正常端口访问进来的异常流量需要设置第二道关卡：入侵防护系统。它根据自身规则库自动识别出各种已知的网络攻击，对恶意网络攻击进行拦截。

7.2 应用层面的安全防护

应用层面漏洞包括有Web系统、数据库、操作系统漏洞等。攻击者通过爬虫技术，远程探测Web网站、数据库和操作系统的安全漏洞而达到入侵目的。对于应用层面的攻击一方面是采用Web应用防火墙，自动识别并拦截已知的恶意攻击，包括注入攻击、跨站攻击、爬虫等。另一方面，要提高Web应用系统在开发阶段的代码编写质量，从根源降低代码级的安全漏洞。最后一点给操作系统打补丁可以有效防止漏洞攻击

7.3 建立健全信息安全管理制度，落实责任

“三分技术，七分管理”是网络安全领域的一句至理名言，网络安全中的30%依靠计算机系信息安全设备的技术保障，而70%则依靠用户安全管理意识的提高及管理模式的创新。首先，成立信息科，任用专职人员管理网络及信息系统安全，制定和完善各种规章制度；其次，通过定期和不定期的检查来强化制度的遵守和落实，与中心综合目标考核指标挂钩，将落实信息系统安全工作贯穿于疾控的各项工作中。

7 结束语

漏洞扫描作为网络安全建设中重要的手段之一，不定期的漏洞扫描能更好帮助管理者发现网络存在的安全漏洞，提前做好安全防范措施。本文的不足之处在于没有对增加安全防护之后的信息系统进行漏洞扫描，无法判断所采取的安全防护措施所起作用大小。总之，信息系统安全工作是一项持之以恒的工作，并随着新技术的发展，新的安全隐患也不断涌现，要求管理人员要以宏观的眼光考虑制定出合理、有效的安全策略，确保疾控信息系统安全、稳定的运行。

参考文献

[1] 赵一，李凤，毋丹丹，余云春.基于区域卫生信息平台的疾病预防控制信息系统的探索与研究[J].中国科技信，2014，16：197-198.

[2] 彭琳，蒲立新，曲建明，高忠军.基于医院信息化系统的IT智能运维平台的设计和实现[J].中国数字医学，2014，4：58-61.

[3] 薛雅.疾病预防控制机构信息系统安全策略分析与探讨[J].内江科技，2016，7：34-35.

[4] 朱健华.浅析信息化建设中的安全漏洞扫描技術[J].中国科技投资，2012，27：28-29.

[5] 冀振燕，李春元，莫建杨.网站漏洞扫描软件[J].计算机系统应用，2014，4：159-163.

[6] 唐晓东，唐伟，王贤菊.入侵检测系统与漏洞扫描联动的应用研究[J].网络安全技术与应用，2014，8：121，123.

[7] 陈俊华.网络漏洞扫描系统研究与设计[J]. 信息网络安全，2013，5：121，123.

[8] 卓家.信息化建设中网络安全漏洞扫描技术的研究[J].信息安全与技术，2013，8：30-31，35.

[9] 王良.漏洞扫描系统设计与应用[J].信息安全与技术，2011，C1：44-46.

[10] 占斌.基于网络的漏洞扫描技术分析与应用[J].企业技术开发，2013，10：42-43，51.endprint