1 引言

信息系統(tǒng)遭受入侵的主要原因是系統(tǒng)存在漏洞，漏洞也叫脆弱性，是信息系統(tǒng)在設(shè)計(jì)、編碼、實(shí)現(xiàn)、配置、運(yùn)行中有意或無意產(chǎn)生的。漏洞是信息系統(tǒng)中客觀存在的，它的存在并不能導(dǎo)致對系統(tǒng)的損害，但是攻擊者可以利用漏洞對系統(tǒng)實(shí)施攻擊，在機(jī)密性、完整性和可用性等方面造成損害。

2 信息系統(tǒng)安全風(fēng)險(xiǎn)測評

在信息系統(tǒng)安全運(yùn)維工作中，開展安全風(fēng)險(xiǎn)評估和滲透測試，是發(fā)現(xiàn)網(wǎng)絡(luò)安全問題和缺陷、彌補(bǔ)安全漏洞、確保系統(tǒng)穩(wěn)定運(yùn)行的有效手段。通過網(wǎng)絡(luò)拓?fù)浞治?、漏洞掃描工具、滲透測試、安全基線配置檢查等手段對信息資產(chǎn)產(chǎn)生的安全漏洞進(jìn)行識別，確定漏洞可利用程度，評估影響范圍及危害程度。

以一次安全測評服務(wù)為例，對40個(gè)互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)的295臺主機(jī)進(jìn)行安全檢測，其中32項(xiàng)業(yè)務(wù)系統(tǒng)的64臺主機(jī)被檢測到漏洞，分別占比例80%和21.7%。共計(jì)發(fā)現(xiàn)中高危漏洞152個(gè)，其中緊急漏洞5個(gè)，高危漏62個(gè)，中危漏洞85個(gè)。這些系統(tǒng)不同程度地存在Web應(yīng)用安全配置錯誤、Web應(yīng)用注入漏洞、XSS跨站漏洞、Web服務(wù)的默認(rèn)管理網(wǎng)頁、中間件使用了有缺陷的版本、弱口令等問題。這些問題是業(yè)務(wù)系統(tǒng)面臨的主要威脅，存在極大的安全風(fēng)險(xiǎn)，在開放的互聯(lián)網(wǎng)環(huán)境中，將嚴(yán)重威脅業(yè)務(wù)系統(tǒng)信息安全。

3 信息安全漏洞危害實(shí)例分析

系統(tǒng)漏洞對安全造成的威脅不限于它的直接可能性，一次成功的入侵行為往往不需要高超的技術(shù)，只需要收集、過濾信息，層層深入，利用系統(tǒng)安全漏洞實(shí)施攻擊，獲取管理員權(quán)限，獲取系統(tǒng)敏感信息，破壞系統(tǒng)及網(wǎng)絡(luò)的正常運(yùn)行。下面分析利用風(fēng)險(xiǎn)測評中發(fā)現(xiàn)的安全漏洞進(jìn)行攻擊的實(shí)例，闡述安全漏洞對系統(tǒng)的危害性。

目錄遍歷漏洞是由Web服務(wù)器或者Web應(yīng)用程序?qū)τ脩糨斎氲奈募Q的安全性驗(yàn)證不足而導(dǎo)致的一種安全漏洞，使得攻擊者通過利用一些特殊字符就可以繞過服務(wù)器的安全限制，訪問任意的文件，甚至執(zhí)行系統(tǒng)命令。

攻擊者通過NMAP掃描，確定系統(tǒng)內(nèi)部分服務(wù)器開放了Web服務(wù)和SSH服務(wù)。使用Web漏洞掃描軟件進(jìn)行掃描，發(fā)現(xiàn)存在一個(gè)目錄遍歷漏洞。仔細(xì)查看目錄中文件內(nèi)容，發(fā)現(xiàn)一個(gè)文件中保存了數(shù)據(jù)庫登錄的用戶名和密碼。結(jié)合NMAP的掃描結(jié)果，可以發(fā)現(xiàn)一臺服務(wù)器運(yùn)行MySQl數(shù)據(jù)庫服務(wù)，立即使用Navicat For MySQL進(jìn)行連接，成功登錄一名有經(jīng)驗(yàn)的攻擊者，會進(jìn)一步聯(lián)想到SSH的登錄用戶可能與數(shù)據(jù)庫登錄名一樣，于是打開PuTTY進(jìn)行SSH連接測試，結(jié)果成功登錄主機(jī)。如圖1所示。

至此，已經(jīng)完成了一次入侵行為，數(shù)據(jù)庫、主機(jī)都被占領(lǐng)，可以安裝后門、發(fā)起DDoS攻擊等破壞行為。目錄遍歷漏洞是一種常見的Web漏洞，一般危害性不大，屬于中危漏洞。但是攻擊者利用該漏洞獲得存儲了數(shù)據(jù)庫登錄用戶名和密碼的敏感文件，可以直接登錄操作系統(tǒng)，進(jìn)而控制主機(jī)，對系統(tǒng)安全造成極大危害。

在日常安全運(yùn)維工作中，需要加強(qiáng)Web應(yīng)用的目錄權(quán)限配置，一般情況下，禁止目錄遍歷功能，尤其是存放了配置文件的目錄。加強(qiáng)日常的密碼管理，單從密碼本身而言，密碼設(shè)置可能不一定簡單，但為了使用方便，數(shù)據(jù)庫和SSH登錄都使用了相同的用戶名和密碼，導(dǎo)致突破一點(diǎn)，攻破全局。

4 信息安全漏洞的防范

4.1信息安全漏洞的產(chǎn)生

分析安全測評中發(fā)現(xiàn)的漏洞情況，我們可以總結(jié)出系統(tǒng)漏洞產(chǎn)生主要有幾個(gè)方面。

（1）資產(chǎn)安全管理不規(guī)范。主要表現(xiàn)在資產(chǎn)責(zé)任單位、責(zé)任人不明確，缺乏有效完整的資產(chǎn)列表，資產(chǎn)上線流程不規(guī)范等。造成出現(xiàn)問題難以快速定位資產(chǎn)物理位置；未經(jīng)安全檢查、安全加固直接上線運(yùn)行的主機(jī)存在安全漏洞，可被攻擊者利用。

（2）系統(tǒng)配置存在安全問題。例如運(yùn)維中為了方便管理，啟用TRACE、Telnet服務(wù)，Web應(yīng)用、SSH服務(wù)使用默認(rèn)用戶名和口令等，目錄遍歷、敏感信息泄露、弱口令等漏洞都是由于不安全配置引起的，是攻擊者收集信息的利用點(diǎn)。

（3）系統(tǒng)運(yùn)行版本低存在安全漏洞。任何系統(tǒng)軟件都存在不同程度的漏洞，定期進(jìn)行系統(tǒng)升級、打補(bǔ)丁，可以有效防止非法入侵。有些系統(tǒng)建成后運(yùn)行穩(wěn)定，系統(tǒng)運(yùn)維人員忽略了此項(xiàng)工作，或者擔(dān)心軟件升級導(dǎo)致系統(tǒng)運(yùn)行不正常，從未進(jìn)行軟件升級，已經(jīng)公布出的高危漏洞存在于系統(tǒng)中，使系統(tǒng)易受到攻擊。

（ 4 ） 研 發(fā) 過 程 缺 乏 安 全 管 理 規(guī) 范 。 例 如SQL注入和XSS跨站漏洞都是由于沒有對輸入的字符進(jìn)行嚴(yán)格檢查和過濾造成的；越權(quán)訪問漏洞是研發(fā)過程中沒有進(jìn)行充分的功能和權(quán)限測試，導(dǎo)致通過修改某些參數(shù)，就可以訪問到其他用戶的信息，進(jìn)行非法操作。

4.2 信息安全漏洞防范策略

信息系統(tǒng)設(shè)計(jì)、建設(shè)、運(yùn)行的生命周期各階段都要建立安全風(fēng)險(xiǎn)管理與控制，采取必要的防范措施，減少漏洞生成，保障系統(tǒng)安全。

（1）加強(qiáng)系統(tǒng)運(yùn)維、開發(fā)人員安全意識。系統(tǒng)設(shè)計(jì)應(yīng)滿足安全需求，規(guī)范安全編碼要求，定期進(jìn)行系統(tǒng)補(bǔ)丁升級工作。加強(qiáng)安全培訓(xùn)，提升開發(fā)人員安全開發(fā)能力，掌握安全檢查技能，落實(shí)安全管理制度，減少系統(tǒng)漏洞的產(chǎn)生。

（2）業(yè)務(wù)系統(tǒng)上線前進(jìn)行全面安全檢測。檢查工作包括信息資產(chǎn)清單登記、漏洞掃描與滲透測試，完成檢查中發(fā)現(xiàn)問題的整改，由安全管理部門審核后正式上線提供業(yè)務(wù)服務(wù)。

（3）落實(shí)安全基線合規(guī)性檢查。部分資產(chǎn)脆弱性是由于配置缺陷造成的，如目錄遍歷、存在示例頁面、使用默認(rèn)錯誤提示頁面等，系統(tǒng)上線前需要根據(jù)安全配置基線來糾正這些錯誤，確保安全配置符合要求，盡可能控制安全風(fēng)險(xiǎn)。

（4）部署安全審計(jì)設(shè)備。結(jié)合實(shí)際業(yè)務(wù)應(yīng)用，配置合理的、細(xì)粒度、符合等級保護(hù)要求的安全審計(jì)策略。審計(jì)對象要覆蓋到每個(gè)用戶和應(yīng)用系統(tǒng)的重要安全事件，審計(jì)記錄內(nèi)容要全面詳實(shí)。

（5）持續(xù)開展安全風(fēng)險(xiǎn)測評。信息安全是一個(gè)動態(tài)的防護(hù)過程，一次安全測試完成不代表系統(tǒng)就永遠(yuǎn)安全。系統(tǒng)運(yùn)行一段時(shí)間后，當(dāng)前使用的系統(tǒng)、中間件、數(shù)據(jù)庫等會暴露出新的漏洞，需要持續(xù)開展安全測試。

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……