基于应用场景的信息系统安全风险测评分析

刘阳

（新华社通信技术局）

摘要：信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。本文以基于应用场景的风险评估方法为基础，直观地分析系统所面临的威胁及其存在的脆弱性，评估系统存在的安全风险，提出加强信息系统安全运维保障的建议。 关键字： 信息 安全风险 应用场景 测评分析 信息安全风险评估是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施[1]。基于场景的风险评估方法是运用漏洞扫描和渗透测试技术，结合业务系统实际应用场景，对系统进行安全测评，便于直观地分析系统所面临的威胁及其存在的脆弱性，有利于业务系统运维管理人员深入理解漏洞造成的影响，评估信息系统存在的安全风险，有利于深入分析信息系统存在的脆弱性，提出加强信息系统安全运维保障的建议。

1 信息系统安全风险测评案例分析

下面对信息系统安全风险测评中的三个典型场景进行分析，对系统安全运维提出建议：场景1：目录遍历漏洞引发主机群失陷，这种类型的脆弱性非常普遍，反映了安全意识有待加强。场景 2：蠕虫木马入侵，这种类型的威胁需要重点防范。场景3：利用文件上传漏洞控制主机并深入渗透到其它主机。攻击者利用这个漏洞可以上传任意恶意文件，造成系统数据库被破坏、服务器被控制。1.1目录遍历漏洞引发主机群失陷一次成功的入侵行为往往不需要高超的技术，只需要收集、过滤信息，层层深入，再配合一些安全配置方面存在的漏洞就可以完成一次入侵行为，其危害程度不亚于高明的漏洞利用。下面是一个数据库存储应用系统被入侵的例子，如图：通过NMAP扫描，可以确定其中的服务器开放了WEB服务和SSH服务。进一步使用WEB漏洞扫描软件（Acunetix Web Vulnerability Scanner ）进行扫描，发现存在一个目录遍历漏洞，目录遍历漏洞是一种常见的WEB漏洞，一般情况下其危害性不大。仔细查看目录中每一个文件的内容，发现了一个文件中保存了数据库登录的用户名和密码。结合NMAP的扫描结果，可以发现其中一台服务器运行MySql数据库服务，立即使用Navicat For MySql进行连接，成功登陆。一名有经验的攻击者，会进一步联想到SSH的登录用户可能与数据库登录名一样，于是打开PuTTY进行SSH连接测试，结果成功登录主机。至此，已经完成了一次入侵行为，而且相当彻底，数据库、主机都被占领，可以安装后门、发起DDOS攻击等破坏行为。回顾此次入侵过程：使用一般的扫描工具发现了目录遍历漏洞，获得到存储了数据库登录用户名和密码的敏感文件，利用常用的工具完成入侵，如图：这个案例说明在日常安全运维工作中，需要加强WEB应用的目录权限配置，一般情况下，禁止目录遍历功能，尤其是存放了配置文件的目录。加强日常的密码管理，单从密码本身而言，密码设置可能不一定简单，但为了使用方便，数据库和SSH登录都使用了相同的用户名和密码，这种情况在安全运维中比较常见，往往导致“突破一点，攻破全局”的情况。1.2蠕虫木马入侵互联网中存在自动入侵的蠕虫木马，与蠕虫病毒一样，可以实现自我复制、传播。当部署到互联网中的主机存在弱密码或Struts2漏洞等常见的脆弱性，就很有可能被入侵，成为一个被控制的节点，并在本地网络中传播。一套网络攻击工具的组件，其主要功能有两方面：一是扫描组件：包含大量密码字典，用于扫描SSH服务，并进行暴力猜解SSH登录用户的密码。一旦成功登录一台主机，则通过SSH会话上传所有组件，进行自我复制、传播。二是攻击组件：由多个程序组成，如ksapdd、kysapdd、atddd。这些名称是随机生成的，程序运行后，会在某种条件下变换进程的名称达到隐藏的目的。这些程序的代码完全相同，主要功能是通过发送大量的DUP、TCP包对指定的目标进行DDOS攻击（一般是外部目标）。试想一台视频业务主机，启动了SSH服务，且允许ROOT用户使用SSH服务登录。该主机位于内网，通过防火墙与互联网连接，并且允许远程SSH登录。我们在SSH的登录日志文件（/var/log/secure）中看到大量的登录尝试，这些记录的时间间隔一般是1-2秒。[ Feb 20 03:58:44 localhostsshd[28681]:Accepted password for root from 192.xxx.xxx.xx port 40083 ssh2 ]说明有木马程序不断扫描其SSH服务，如果该主机存在SSH服务弱密码，应该可以轻松暴力破解密码成功，这时木马的扫描程序将通过SSH连接上传其各个模块：在完成自身的复制后，木马程序将启动后门程序，继续扫描该主机所在网段中的其它主机。在被入侵的主机中还发现多个木马组件，如SSH服务暴力破解扫描组件、远程桌面服务（3389）暴力破解扫描组件，使用其携带的密码字典，可以自动扫描网络中存在弱密码的机器，一旦成功，就把自身上传到被侵入的主机，在新的主机中继续扫描操作，可以理解为这是一种“蠕虫木马”了。此类木马也许不是针对视频业务系统，但它入侵主机后，其后门程序将接受外部的控制命令，利用该主机的带宽、计算资源对外部的目标进行DDOS攻击，由于网络流量大，本地的所有主机与外的通讯都将受到影响，严重影响有关业务系统的正常运行。为避免受到此类木马的入侵，采取有针对性的预防措施包括：1）在防火墙中设置限制主动发起对外连接的规则。大多数应用只需要接受外部的连接请求，并不需要主动发起连接外部服务。2）在防火墙中设置禁止外部主机连接SSH、3389服务规则，如果非业务需要应该关闭此类服务。3）主机部署到互联网之前，必须进行安全加固。参考相关的安全基线配置操作系统、中间件，避免弱密码、信息泄漏、上传目录执行权限等安全配置问题；进行上线前安全测试；清除与业务无关的应用程序，避免存在残留应用；升级操作系统、中间件，消除高危漏洞。4）部署网络流量审计设备，将有助于识别异常流量，定性分析问题。1.3利用文件上传漏洞控制主机并深入渗透到其它主机文件上传功能是WEB应用的基本功能，但是若文件上传功能实现代码未对用户提交参数进行充分过滤，以致远程攻击者利用这个漏洞可以上传任意恶意文件，甚至造成系统数据库破坏或以Web权限在系统上执行命令[2]。攻击者通过上传可执行的脚本，从而控制服务器。在互联网业务系统安全渗透测试中发现一个网站的“报料”页面提供了图片上传功能，该页面在本地浏览器一端使用了JavaScript检查、限制上传文件的类型（扩展名）。一般情况下，本地浏览器一端进行的所有类型检查都是可以绕过的，起不到实际的防护作用。使用Google Chrome浏览器的“脚本在线编辑”功能，可绕过本地检查的文件类型上传限制。点击“提交”按钮，发现木马文件被成功上传到了服务器，此时，服务器并没有发出错误提示，显然服务器一端没有检查、限制上传的文件类型。该网站WEB应用同时还犯了一个配置错误：存放上传文件的目录允许执行代码，有JSP文件的执行权限。综合上述条件，木马文件被成功上传，并运行起来。木马一旦运行起来，就可以进行各种文件操作、运行命令，以至于建立“反弹”通道，让入侵者可以突破防火墙、WAF等限制，随时远程控制WEB服务器。如果WEB应用是以ROOT身份运行的，那么木马程序将具有最高权限，可以任意创建用户。我们通过木马的“反弹连接”功能，发现可以获得网站应用服务器具有ROOT权限的SHELL。通过创建的用户（test,test1234）能远程登录该服务器，可以随意查看、修改服务器中的所有文件。查看系统的配置文件，获取到数据库、EMAIL、FTP等用户的登录密码。为了进一步渗透到其它主机，可以详细浏览前面两台主机中的配置文件，连接FTP服务器、数据库服务器，收集更多信息，也可以通过安装网络嗅探器、键盘记录器，从而获得其它主机的登录信息。修复建议：检查是否判断了上传文件类型及后缀；定义只允许上传的文件类型；禁止上传目录有执行脚本的权限。

2 应对安全风险加强信息系统安全保障的建议

信息系统安全风险测评是发现网络安全问题和缺陷、弥补安全漏洞、确保系统稳定运行的有效手段。在实际工作中，我们多次开展互联网业务系统安全测评服务，统计分析系统存在的安全漏洞主要为目录遍历、HTTP允许TRACE / TRACK、敏感信息泄露、存在示例页面、弱口令、XSS跨站漏洞、Struts2命令执行漏洞、越权查看信息以及软件版本低造成的漏洞等。这些可被利用的漏洞对互联网信息系统安全构成威胁，有些漏洞可泄漏敏感信息，被间接利用于渗透攻击；有些漏洞可被利用执行任意命令，直接威胁到相关业务。安全重在管理，在于对信息资产属性、状态的完全掌握，是安全管理工作持续有效的基础。1）建立集中的信息资产安全管理机制，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为。根据资产的重要程度对资产进行标识管理，根据资产的价值选择相应的管理措施。制定设备上线流程管理规范，主要包括业务系统资产清单登记、Apache/Tomcat等中间件安全配置基线、应用（含WEB应用和C/S应用）上线前安全测试，最后由安全管理部门确认后，才能正式上线提供业务服务。已上线运行的系统发生变更前，需向主管领导申请，变更和变更方案经过评审、审批后方可实施变更，并在实施后将变更情况进行登记，对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测，形成记录。2）落实“安全域”策略。安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。安全域可以根据业务划分或根据安全级别划分。按照划分好的安全域，通过防火墙、负载均衡等设备落实安全策略，从结构上提供基础的安全保障。3）落实安全基线配置。很多资产脆弱性都是安全配置缺陷造成的，如目录遍历、存在示例页面、允许TRACE方法、使用默认错误提示页面、暴露软件版本等，在系统上线前根据安全基线配置纠正这些错误，严格进行整改，将从根源上消除安全漏洞。4）采用主机加固技术实现对操作系统功能、文件访问的强制访问控制，对于构建安全应用环境将有重要作用。主机加固技术可以提供双重身份鉴别、敏感标记、强制访问控制、剩余信息保护、入侵防范、恶意代码防范、资源控制、安全审计等功能5）建立与业务系统相关的信息资产档案。如业务系统所包含的主机、数据库，以及相关的防火墙、路由器、负载均衡等网络设备和安全设备。借助可视化的管理工具，当某一设备存在脆弱性，可以直观地反映出对业务系统的影响，便于快速决策。6）定期开展安全检查、安全演练工作。针对WEB应用进行安全扫描、渗透测试服务，加强业务协议审计和安全规则审计。7）加强安全培训工作，增加管理人员的安全意识，并掌握基本的安全检查技能，有利于落实安全管理制度、安全故障应急处置。 参考文献[1]田俊峰,杜瑞忠,杨晓辉.网络攻防原理与实践.北京:高等教育出版社,2012.[2]程文彬.基于网站建设中网页设计的安全缺陷及对策.电子科技大学学报.2003,32(6),pp.711-713. 编辑：中国新闻技术工作者联合会