马晓亮 孙艳红

摘要：政府的政务系统承载着大量的重要信息，由于专业人员和技术力量缺乏等因素的影响，政务系统存在着大量安全漏洞，发现漏洞、评估风险、修复漏洞和系统加固成为保护政务系统安全有效防护过程，漏洞和风险评估成为保护系统安全的基础条件，基于分析安全风险为基础发现政务系统存在的安全漏洞和安全威胁，以安全防护技术和《网络安全法》等为基础提出安全防护体系模型。实验结果表明，通过远程评估分析发现系统中隐藏的安全漏洞，有针对性地进行系统加固和增加安全防护设备可以有效提高系统安全性。

关键词： 远程评估； 漏洞扫描； 风险评估； 政务系统； 网络攻击

中图分类号：TP393.08 文献标识码：A 文章编号：1009-3044（2018）21-0298-03

Abstract：The government administration system carries many important information， due to the lack of professional and technical person and other factors， there are many security vulnerabilities in server system of government， find out vulnerabilities， risk assessment， repair vulnerabilities and system reinforcement become the safe and effective protection process of government system， Vulnerability and risk assessment become the basic condition to protect system security，based on the analysis of security risk， we find vulnerabilities and security threats in government system， with safety protection technology and network security law， a security protection system model is proposed. The experimental results show that we find out vulnerabilities in the system through remote assessment and analysis， we can effectively improve system safety through system reinforcement and additional safety protection devices.

Key words：remote security assessment； vulnerability scan； risk Assessment； network attack； government-system

1 引言

政务系统承担着服务公众、网上办公和行政审批等职责，政务系统的服务器内数据具有信息量大和价值密度大的特点，政府的政务系统历来是网络犯罪和国外黑客组织重点攻击对象。因此，政务系统的网络安全工作关系到国家、政治和经济安全，政务系统在很多国家都被列入关键信息基础设施进行保护，一旦信息泄露或被篡改将给国家、社会和公众利益带来严重损害，有些网站的信息泄露、被篡改或挂马很有可能给国家声誉带来危害甚至危急国家安全。为了保护关键信息基础设施，国家先后出台并实行了等级保护制度、分级保护制度和网络安全法等指导开展网络安全工作。

使用专用保密网络或涉密电脑将重要信息与互联网隔离是一种有效的防护手段[1]，但是有些系统面向公众提供服务或新闻发布的信息系统必须接入互联网的，在建设和使用期间，需要认真分析面临的风险、安全需求、安全等级和安全防护措施[2]，通过分析系统间的关系和安全级别划分不同的安全域[3]，定期对系统进行主机漏洞检测、WEB应用系统漏洞扫描、数据库安全性检查和安全配置基线核查等工作，根据远程评估结果分析系统安全性，根据分析结论和信息系统功能分析，有针对性地实行漏洞修复、访问策略限制和采用网络安全技术措施对政务系统进行安全防护。

2 相关技术

2.1 安全漏洞

安全漏洞通常是在软件设计过程，由于编码不规范或对输入输出内容缺乏有效性验证，导致安全性逻辑缺陷，攻击者可以利用设计缺陷构造特殊利用程序达到非授权访问、执行任意代码、提升权限和获取数据等攻击系统的目的[4]。如图1所示，根据美国国家漏洞数据库NVD的最新漏洞统计显示，2017年全年新增加14643个漏洞，漏洞爆发数量首次突破一万大关，漏洞报告数量比2016年增加了超过1/3。根据两家权威漏洞披露组织表示，2017年是有史以来软件漏洞报告的最多和漏洞增速破纪录的一年。

2.2 漏洞检测技术

网络安全扫描器（Network Security Scanner）是一种审计和检测远程网络计算机可能存在的漏洞的工具，可以检查网络中被扫描对象是否存在可以被黑客利用的安全漏洞。它是一个完整的网络实用程序包，其中包括用于网络安全审核、漏洞审核、扫描和监控等的各种工具，可以快速扫描和审核网络计算机的漏洞，信息探测和目标枚举等功能[5]。

漏洞检测按照扫描方式分为：远程漏洞扫描和本地漏洞扫描，远程漏洞扫描是通过网络IP地址进行远程检测，利用发送和接受网络数据来分析网络安全情况，如X-Scan、X-Way 和Shadow Security Scanner，本地扫描通过补丁安装情况、软件版本和基线核查方式完成漏洞檢测，如微软的Microsoft Baseline Security Analyzer；按照扫描对象不同可以分为：主机漏洞扫描、弱口令扫描、移动设备漏洞扫描和WEB漏洞扫描等[6]，主机漏洞扫描主要检测操作系统、中间件和数据库管理系统等软件漏洞，而随着2017年Intel AMT 和CPU漏洞不断披露，也出现了对硬件及微码进行检测的漏洞扫描器[7， 8]，弱口令扫描利用密码字典进行弱口令探测，WEB漏洞扫描主要通过网络爬虫爬取目标主机的WEB应用，检测页面是否含有SQL注入、代码注入和CSRF跨站伪造请求攻击等OWASP TOP 10中的WEB应用漏洞[9]，如图2所示WEB漏洞扫描结果；按照漏洞检测技术可以分为：版本扫描和原理扫描，版本扫描通过网络协议栈指纹识别目标操作系统和软件版本信息，查询漏洞数据库中对应版本的漏洞信息，原理扫描是通过漏洞验证程序POC检验目标程序是否存在该漏洞，原理扫描带有一定的危险性，验证成功的结果就是导致该漏洞危害行为发生，一般不建议对生产系统进行检测而只应用于测试环境；按照扫描漏洞类型单一漏洞检测、基于插件漏洞检测和通用漏洞检测。

3 远程评估脆弱性分析与系统防护

整个实验环境需要两台物理设备，一台DELL R710服务器作为靶机，用来搭建服务器环境，一台PC机作为攻击主机，用来安装Sqlmap、Metasploit Framework和Nessus等检测系统。其中靶机环境实验环境采用DELL服务器配置为：Intel Xeon L5420 2.50GHz、DDR3 16GB、2T硬盘和vSphere虚拟化环境，在vSphere虚拟化平台上安装Microsoft Windows 2008 R2、Apache 2.4.18 、PHP5.3.29和MySql5.5.47；PC机配置为：Intel Core i3 6100，DDR4 8G、1T硬盘、Microsoft Windows 7和Kali 2017。

3.1 远程WEB应用漏洞扫描

使用国际商业品牌WEB漏洞扫描器、开源WEB漏洞扫描器和国内安全厂商的WEB漏洞检测系统进行WEB应用漏洞检测，由于各种版本协议差异，为了避免授权许可协议对研究的影响，使用WebScanner代替具体品牌，各WEB应用漏洞脆弱性分析系统的版本和结果如表1所示，使用Sqlmap和Metasploit Framework验证发现的漏洞，另外对一漏洞扫描系统发现的漏洞，用其他几个系统交叉验证是否存在误报现象[10]。

3.2 远程主机漏洞扫描

主机扫描分别采用某国际安全厂商的免费版主机漏洞扫描器、某国际安全公司的社区版主机漏洞扫描器和国产三个品牌的漏洞检测系统进行比对分析，主机漏洞扫描器品牌使用VulScanner代替，结果如表2所示。

3.3 远程评估脆弱性防护

对远程评估阶段发现的漏洞进行风险分析和漏洞归类，按照优先级进行修复，如图3所示，优先级由高到低如下： 软件补丁、WEB应用修复、修改配置、防火墙封堵和安全设备防护。

通过WEB应用漏洞扫描和主机漏洞检测可以发现，系统存在大量安全漏洞，按照“发现—评估—修复—封堵—防护”的流程，对远程评估进行分析可以发现，服务器漏洞可以通过安装补丁的方式进行修复，部分对低风险安全漏洞可以通过系统防火墙进行封堵，而WEB应用的80端口需要对外提供服务，不能采用完全封堵的方式，可以采用以下四种策略进行防护：1）通知软件开发商修复已经检测到的安全漏洞；2）在网络边界部署下一代防火墙对外屏蔽除80端口外的所有端口，利用下一代防火墙集成的WEB应用防火墙、防篡改系统和入侵防御系统，针对WEB应用进行专门的防护，在硬件防火墙的网络层防护中限制WEB应用的访问IP地址范围，凡是不在业务允许范围内的IP地址进行拦截；3）使用操作系统防火墙设置安全策略，为防止APT攻击或以内网主机为跳板越过网络边界的下一代防火墙的防护，对业务系统的服务和数据库系统的服务器建立安全域，WEB应用服务器仅对外开放业务端口和远程管理端口，对远程管理端3389的访问进行IP地址限制，限定数据库的SSH远程管理端口和Mysql端口只能由WEB应用服务器的IP地址访问；4）通过VPN网关安全隧道建立安全的网络连接。

如图5所示，Windows 2008 R2高级防火墙的优先级规则由高到低依次为：Windows服务、连接安全规则、认证绕行规则、拒绝规则、允许规则和默认规则[11]。对主机漏洞扫描结果进行分析，使用高级防火墙规则屏蔽对外开放端口的数量，除了保留业务系统80端口和远程管理3389端口外，拒绝所有入站和出站的规则，其中远程管理3389端口仅限定系统管理员的电脑IP地址可以访问，这里需要注意的是，由于Window防火墙的拒绝规则优先级高于允许规则，如果想让某个端口或程序只允许指定IP地址访问而拒绝非授权IP访问时，应采用设置作用限定远程IP地址的方式，而不能直接选择阻止连接的方式，如图5所示。

Linux防火墙是一种基于iptable和netfilter包过滤防火墙，如图7所示，Mysql运行于Linux服务器上，通过防火墙规则设定安全域为仅为WEB应用服务器和Linux数据库之间通信，数据库所在的Linux主机的出站规则和入站规则默认为拒绝，阻断了服务器被攻击和数据库数据泄露的风险，如图7所示，设置完成后的Linux防火规则，SSH和Mysql服务仅限制IP地址为192.168.10.1的WEB应用服务器访问。

通过远程评估分析网络系统脆弱性后，按照“发现—评估—修复—封堵—防护”的安全策略安全加固后对系统进行安全漏洞扫描，内网扫描结果如图8所示，内网WEB服务器检测仅开放3389远程管理端口等3个信息泄露类漏洞和4个低风险WEB应用漏洞，而这是在内网的扫描结果，在互联网上由于通过下一代防火墙的防护，远程管理端口3389是没有对互联网开放的；数据库服务器多次扫描均失败，漏洞检测系统为检测到存活主机，认为该服务器不存在或处于关机状态。

4 结论

通过对政务系统的远程评估，分析系统的脆弱性，根据安全风险级别和类别，有针对性采取漏洞修复、防火墙封堵和安全设备防护，对比系统加固前的漏洞扫描结果和系统加固后的漏洞扫描结果。实验结果表明，使用基于远程评估分析的政务系统防护技术，可以大幅度减少系统漏洞和有效地提高网络系统安全性。

参考文献：

[1] 陈燕群，王海燕.涉密计算机信息安全使用管理探析[J].电脑知识与技术， 2017，13（23）.

[2] 刘聪林.电子政务系统安全性研究[J].电脑知识与技术，2010，6（4）： 第841-842.

[3] 王淼，凌捷，郝彦军.电子政务系统安全域划分技术的研究与应用[J].计算机工程与科学， 2010，32（8）： 52-55.

[4] 王清， .0day安全：软件漏洞分析技术（第2版） [M]. 北京： 电子工业出版社，2013.

[5] Murali G， et al. Network security scanner[J]. International Journal of Computer Technology & Applications， 2011，02（06）.

[6] 康峰.网络漏洞扫描系统的研究与设计[J]. 电脑开发与应用， 2006，19（10）： 27-28.

[7] Lipp， M.， et al.， Meltdown[J]. 2018.

[8] Kocher P， et al.， Spectre Attacks： Exploiting Speculative Execution[J]. 2018.

[9] OWASP， OWASP Top 10 2017 Released The Ten Most Critical Web Application Security Risks[R]. 2017.

[10] Vieira， M.， N. Antunes and H. Madeira， Using web security scanners to detect vulnerabilities in web services[J]. 2009： 566-571.

[11] Microsoft.Order of Windows Firewall with Advanced Security Rules Evaluation. https：//docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc755191（v=ws.10）

【通聯编辑：代影】