摘 ?要：文章基于Web技術(shù)設(shè)計(jì)了一款功能完善、實(shí)用性強(qiáng)的漏洞掃描系統(tǒng)。首先，根據(jù)系統(tǒng)工作原理，分別介紹了系統(tǒng)的控制調(diào)度模塊、界面模塊和漏洞檢測(cè)模塊。其次，從用戶界面應(yīng)用、掃描模板界面應(yīng)用、差異提醒功能應(yīng)用三個(gè)方面，將漏洞掃描系統(tǒng)與企業(yè)安全管理進(jìn)行充分結(jié)合。結(jié)果表明：在Web技術(shù)的應(yīng)用背景下，文章所設(shè)計(jì)的漏洞掃描系統(tǒng)運(yùn)行正常、可靠、穩(wěn)定，各個(gè)功能模塊實(shí)現(xiàn)滿足設(shè)計(jì)相關(guān)要求，符合企業(yè)實(shí)際應(yīng)用需求。希望通過(guò)這次研究，為技術(shù)人員提供有效的借鑒和參考。

關(guān)鍵詞：Web技術(shù);漏洞掃描系統(tǒng);企業(yè)安全

中圖分類(lèi)號(hào)：TN915.08 ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：2096-4706（2021）13-0136-03

Application of Vulnerability Scanning System Based on Web Technology in Enterprise Security

JIN Jianyu

（China Aviation Development Guizhou Honglin Aviation Power Control Technology Co.， Ltd.， Guiyang ?550009， China）

Abstract： This paper designs a vulnerability scanning system with perfect function and strong practicability based on Web technology. Firstly， according to the working principle of the system， the control scheduling module， interface module and vulnerability detection module of the system are introduced respectively. Secondly， the vulnerability scanning system is fully combined with enterprise security management from three aspects： user interface application， scanning template interface application and difference reminder function application. The results show that under the application background of Web technology， the vulnerability scanning system designed in this paper runs normally， reliably and stably， and the implementation of each functional module meets the relevant design requirements and the actual application requirements of enterprises. It is hoped that this research can provide effective reference for technicians.

Keywords： Web technology; vulnerability scanning system; enterprise safety

0 ?引 ?言

在互聯(lián)網(wǎng)時(shí)代的到來(lái)，極大地改變了人們的工作方式、學(xué)習(xí)方式和生活方式，但是，由于網(wǎng)絡(luò)安全漏洞的出現(xiàn)，引發(fā)一系列的網(wǎng)絡(luò)安全事件，這無(wú)疑增加了部分企業(yè)管理風(fēng)險(xiǎn)。為了確保企業(yè)管理的安全性，技術(shù)人員要借助Web技術(shù)，將設(shè)計(jì)好的漏洞掃描系統(tǒng)科學(xué)應(yīng)用于企業(yè)安全管理領(lǐng)域中，便于系統(tǒng)管理員根據(jù)系統(tǒng)所發(fā)送的漏洞檢測(cè)掃描報(bào)告，更好地修復(fù)和處理系統(tǒng)漏洞問(wèn)題。同時(shí)，還能幫助安全人員及時(shí)、有效地查看和處理企業(yè)信息系統(tǒng)可能存在運(yùn)行安全隱患問(wèn)題，保證信息系統(tǒng)運(yùn)行的可靠性和安全性。因此，為了盡可能地降低企業(yè)管理風(fēng)險(xiǎn)，促進(jìn)企業(yè)的健康、可持續(xù)發(fā)展，如何將基于Web技術(shù)漏洞掃描系統(tǒng)科學(xué)應(yīng)用于企業(yè)安全管理領(lǐng)域中是技術(shù)人員必須思考和解決的問(wèn)題。

1 ?系統(tǒng)工作原理

該系統(tǒng)在進(jìn)行漏洞掃描期間，主要采用了被動(dòng)式策略（又被稱(chēng)為“模糊測(cè)試方式”），通過(guò)對(duì)系統(tǒng)攻擊行為進(jìn)行自動(dòng)化模擬[1]，然后，根據(jù)服務(wù)器響應(yīng)速度，及時(shí)發(fā)現(xiàn)和處理漏洞?；谀：郎y(cè)試的掃描過(guò)程如圖1所示。

圖1 ?基于模糊測(cè)試的掃描過(guò)程

此外，系統(tǒng)在具體的設(shè)計(jì)中，主要利用了B/S模式，用戶通過(guò)利用Web頁(yè)面端可以實(shí)現(xiàn)對(duì)用戶名、密碼的精確化驗(yàn)證，當(dāng)驗(yàn)證通過(guò)后，用戶才能成功登錄到系統(tǒng)內(nèi)，然后，系統(tǒng)會(huì)自動(dòng)完成對(duì)掃描任務(wù)的創(chuàng)建，并將配置好的掃描信息安全、可靠地存儲(chǔ)于數(shù)據(jù)庫(kù)中，此時(shí)，服務(wù)器會(huì)對(duì)監(jiān)控程序進(jìn)行自動(dòng)化運(yùn)行[2]，并對(duì)新的掃描任務(wù)進(jìn)行分析和處理，當(dāng)掃描操作結(jié)束后，系統(tǒng)會(huì)自動(dòng)進(jìn)入到爬蟲(chóng)模塊，通過(guò)構(gòu)建和應(yīng)用UR請(qǐng)求，向系統(tǒng)服務(wù)器內(nèi)發(fā)送多種請(qǐng)求命令，此時(shí)，系統(tǒng)服務(wù)器會(huì)對(duì)所接收到請(qǐng)求命令進(jìn)行相應(yīng)地反饋，并對(duì)URL內(nèi)部是否出現(xiàn)安全漏洞問(wèn)題進(jìn)行分析和判斷，從而實(shí)現(xiàn)漏洞的自動(dòng)化掃描和處理。漏洞掃描系統(tǒng)工作流程如圖2所示。

2 ?系統(tǒng)功能介紹

該系統(tǒng)在具體的設(shè)計(jì)中，主要借助瀏覽器，為企業(yè)用戶提供簡(jiǎn)潔、友好的交互界面，有效地提高了企業(yè)的安全管理水平。該系統(tǒng)主要由以下幾個(gè)模塊組成：（1）控制調(diào)度模塊。該模塊主要用于對(duì)系統(tǒng)內(nèi)部所有模塊的協(xié)調(diào)和控制，通過(guò)檢查運(yùn)行監(jiān)測(cè)程序，可以精確地分析和判斷新掃描任務(wù)的出現(xiàn)情況。（2）界面模塊。該模塊主用用于對(duì)企業(yè)用戶相關(guān)操作指令的接收，以實(shí)現(xiàn)對(duì)掃描任務(wù)的自動(dòng)化創(chuàng)建、刪除和管理。（3）漏洞檢測(cè)模塊。該模塊通過(guò)對(duì)黑客攻擊方式進(jìn)行精確化模擬，然后，借助瀏覽器頁(yè)面端，將漏洞檢測(cè)相關(guān)請(qǐng)求安全、可靠地傳輸于系統(tǒng)服務(wù)器內(nèi)，并快速檢測(cè)和處理安全漏洞問(wèn)題，以達(dá)到降低企業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)的目的。

3 ?基于Web技術(shù)漏洞掃描系統(tǒng)在企業(yè)安全中的應(yīng)用

3.1 ?用戶界面的應(yīng)用

在Web技術(shù)的應(yīng)用背景下，為了更好地驗(yàn)證漏洞掃描系統(tǒng)的可靠性和有效性，現(xiàn)將該系統(tǒng)科學(xué)應(yīng)用于企業(yè)安全領(lǐng)域中，以保證企業(yè)管理和經(jīng)營(yíng)的可靠性和安全性。首先，要將生產(chǎn)服務(wù)器科學(xué)地部署于企業(yè)內(nèi)部16個(gè)IDC機(jī)房?jī)?nèi)，并將其中的8個(gè)IDC機(jī)房設(shè)置為企業(yè)的重要業(yè)務(wù)機(jī)房。然后，將該系統(tǒng)分別部署于武漢IDC機(jī)房、杭州IDC機(jī)房?jī)?nèi)，漏洞掃描系統(tǒng)所覆蓋的機(jī)房大約有16個(gè)[3]，這些機(jī)房總共用到的生產(chǎn)服務(wù)器達(dá)到兩萬(wàn)臺(tái)以上。企業(yè)在應(yīng)用漏洞掃描系統(tǒng)期間，首先，通過(guò)利用HTTPS方式，對(duì)該系統(tǒng)進(jìn)行登錄，然后，為企業(yè)用戶下達(dá)多種漏洞掃描任務(wù)，控制面板位于該系統(tǒng)的左側(cè)位置，可以幫助企業(yè)用戶快速實(shí)現(xiàn)對(duì)各種任務(wù)的執(zhí)行或者掃描，此外，還要自動(dòng)完成對(duì)相關(guān)掃描策略的調(diào)整和配置，在此基礎(chǔ)上，還要根據(jù)企業(yè)的使用需求，采用差異提醒的方式，對(duì)漏洞審計(jì)策略進(jìn)行精確化定義，另外，該系統(tǒng)還能為計(jì)劃任務(wù)的有效進(jìn)行提供相應(yīng)的支持[4]。通過(guò)借助掃描對(duì)象，確保系統(tǒng)數(shù)據(jù)庫(kù)與企業(yè)內(nèi)部設(shè)備之間建立起有效的連接，并對(duì)掃描對(duì)象進(jìn)行實(shí)時(shí)更新，確保掃描對(duì)象始終處于最新?tīng)顟B(tài)。為了充分發(fā)揮和利用該系統(tǒng)的應(yīng)用價(jià)值，提高企業(yè)管理的安全性和可靠性，企業(yè)安全管理人員要加強(qiáng)對(duì)掃描策略的科學(xué)配置，以達(dá)到自動(dòng)化管理的目的。對(duì)于漏洞掃描插件而言，需要根據(jù)掃描所對(duì)應(yīng)的執(zhí)行時(shí)間，按照運(yùn)維人員、安全人員和審計(jì)人員三種角色，對(duì)掃描處理后的報(bào)表信息進(jìn)行自動(dòng)化發(fā)送，極大地提高了報(bào)表信息掃描發(fā)送處理的效率和效果。通過(guò)利用系統(tǒng)用戶界面[5]，可以直觀、形象地看出該系統(tǒng)所劃分的掃描對(duì)象風(fēng)險(xiǎn)等級(jí)，掃描對(duì)象風(fēng)險(xiǎn)等級(jí)主要包含以下三種，分別是高風(fēng)險(xiǎn)等級(jí)、中風(fēng)險(xiǎn)等級(jí)和低風(fēng)險(xiǎn)等級(jí)，系統(tǒng)會(huì)向運(yùn)維人員自動(dòng)發(fā)送最終掃描結(jié)果，通知系統(tǒng)掃描對(duì)象是否出現(xiàn)一系列的安全隱患。此外，還要利用差異對(duì)比功能，對(duì)系統(tǒng)多次掃描結(jié)果進(jìn)行全面分析和處理，然后，向?qū)徲?jì)人員自動(dòng)發(fā)送差異報(bào)告，從而實(shí)時(shí)跟蹤和檢測(cè)系統(tǒng)對(duì)漏洞修補(bǔ)情況，以保證漏洞修補(bǔ)監(jiān)督的安全性和高效性，只有這樣，才能實(shí)現(xiàn)對(duì)系統(tǒng)漏洞的自動(dòng)化、高效化、分級(jí)化管理，漏洞掃描系統(tǒng)用戶界面如圖3所示。

3.2 ?掃描模板界面的應(yīng)用

系統(tǒng)掃描模板界面可以為企業(yè)用戶更好地展現(xiàn)當(dāng)前系統(tǒng)所定義好的掃描策略，通過(guò)對(duì)詳細(xì)信息進(jìn)行點(diǎn)擊，掃描策略會(huì)對(duì)相應(yīng)的插件信息進(jìn)行自動(dòng)化加載[6]，并采用端口掃描的方式，對(duì)系統(tǒng)內(nèi)部引擎參數(shù)進(jìn)行科學(xué)調(diào)整和控制，如圖4所示。掃描策略主要包含兩種，一種是通用策略，另一種是定制開(kāi)發(fā)策略，本文所設(shè)計(jì)的漏洞掃描系統(tǒng)具有易維護(hù)性、高開(kāi)發(fā)性、安全可靠等特點(diǎn)，系統(tǒng)內(nèi)掃描插件在具體的定制開(kāi)發(fā)中，主要是由多個(gè)安全人員共同合作所開(kāi)發(fā)的。掃描插件在具體的使用期間，要盡可能避免對(duì)業(yè)務(wù)的連續(xù)性產(chǎn)生不良影響。人員ID創(chuàng)建通常離不開(kāi)掃掃描策略的應(yīng)用，而掃描策略主要是由掃描模板提供的，這就表明安全人員不同，系統(tǒng)所創(chuàng)建的安全策略具備一定的隱蔽性、私有性，不允許被其他安全人員所調(diào)用。當(dāng)系統(tǒng)自動(dòng)運(yùn)行到一定周期后，掃描規(guī)模會(huì)變得越來(lái)越大[7]，當(dāng)掃描規(guī)模增加到一定程度后，會(huì)被系統(tǒng)后臺(tái)自動(dòng)設(shè)置為常規(guī)策略。另外，還要借助安全管理策略，可以最大限度地提高漏洞掃描流程的穩(wěn)定性、可靠性和安全性，這樣一來(lái)，即使系統(tǒng)出現(xiàn)掃描故障問(wèn)題，安全管理策略也可以自動(dòng)執(zhí)行，為系統(tǒng)提供相應(yīng)的錯(cuò)誤信息，提醒安全人員對(duì)掃描策略進(jìn)行自動(dòng)化調(diào)整，當(dāng)然，可以利用插件，全面追究開(kāi)發(fā)人員的相關(guān)責(zé)任。掃描對(duì)象主要用于對(duì)被掃描域名的定義和管理，現(xiàn)階段，對(duì)于單個(gè)任務(wù)而言，所連接的主機(jī)數(shù)量高達(dá)7 125個(gè)，完全符合大型企業(yè)的使用需求。目前，大部分企業(yè)均搭建和應(yīng)用了信息系統(tǒng)管理平臺(tái)[8]，通過(guò)將漏洞掃描系統(tǒng)與該管理平臺(tái)進(jìn)行有效地連接，可以自動(dòng)化、實(shí)時(shí)化同步系統(tǒng)IP信息。

3.3 ?差異提醒功能應(yīng)用

該系統(tǒng)含有強(qiáng)大的差異提醒功能，通過(guò)借助該功能，可以為企業(yè)用戶提供漏洞風(fēng)險(xiǎn)提醒服務(wù)，確保企業(yè)用戶在第一時(shí)間內(nèi)快速地查找和處理這些漏洞風(fēng)險(xiǎn)，以保證企業(yè)管理和經(jīng)營(yíng)的安全性和可靠性，只有這樣，才能更好地滿足漏洞審計(jì)需求。另外，通過(guò)利用差異提醒功能，對(duì)審計(jì)人員進(jìn)行相應(yīng)的提醒，審計(jì)人員僅僅通過(guò)接收郵件通知，就可以全面地了解和把握系統(tǒng)漏洞所對(duì)應(yīng)的歷史信息，在此基礎(chǔ)上，系統(tǒng)會(huì)自動(dòng)確認(rèn)漏洞修復(fù)情況，通過(guò)采用這種風(fēng)險(xiǎn)提醒方式，可以向系統(tǒng)運(yùn)維人員發(fā)送系統(tǒng)所劃分好的漏洞掃描風(fēng)險(xiǎn)等級(jí)，便于運(yùn)維人員在第一時(shí)間內(nèi)快速收到風(fēng)險(xiǎn)提醒信息，從而更好地開(kāi)展漏洞修復(fù)工作，避免因漏洞修復(fù)不及時(shí)而給企業(yè)管理埋下一系列的安全隱患。最后，還要借助系統(tǒng)計(jì)劃任務(wù)功能，高效化、智能化管理周期性目標(biāo)任務(wù)，從而幫助企業(yè)節(jié)約系統(tǒng)漏洞的修復(fù)成本，使得企業(yè)取得較高的經(jīng)濟(jì)效益。

4 ?結(jié) ?論

綜上所述，在Web技術(shù)的應(yīng)用背景下，本文所設(shè)計(jì)的漏洞掃描系統(tǒng)安裝靈活、部署簡(jiǎn)單、功能完善、適用性強(qiáng)，通過(guò)將其應(yīng)用于企業(yè)安全管理領(lǐng)域中，不僅可以降低企業(yè)安全投入成本，還能確保企業(yè)信息系統(tǒng)能夠可靠、穩(wěn)定、安全地運(yùn)行。該系統(tǒng)具有以下三個(gè)特色：（1）“零”管理模式。通過(guò)借助該系統(tǒng)，可以實(shí)現(xiàn)對(duì)掃描對(duì)象的自動(dòng)化輸入、漏洞報(bào)告的自動(dòng)化發(fā)送以及系統(tǒng)用戶角色的自動(dòng)化管理，整個(gè)管理過(guò)程無(wú)須人為操作。（2）具有較高的性能指標(biāo)。通過(guò)將該系統(tǒng)科學(xué)應(yīng)用于企業(yè)環(huán)境中，可以取得理想的掃描效果。（3）具有較高開(kāi)放性、兼容性。

參考文獻(xiàn)：

[1] 黃剛.應(yīng)用Fuzzing的Web漏洞檢測(cè)與加固系統(tǒng) [J].福建電腦，2021，37（3）：95-97.

[2] 金浩俠.Web安全漏洞快速掃描技術(shù)研究 [D].杭州：杭州電子科技大學(xué)，2018.

[3] 饒?zhí)m香，孫丹，施煒利，等.基于指紋識(shí)別技術(shù)的web應(yīng)用程序漏洞檢測(cè)系統(tǒng)研究與應(yīng)用 [J].信息通信，2020（11）：97-100.

[4] 陽(yáng)廣濤，李?lèi)?ài)華，李帛航，等.Web漏洞風(fēng)險(xiǎn)掃描技術(shù)研究 [J].電子世界，2020（3）：203-204.

[5] 盧志科，康曉鳳，眭楨屹，等.Web應(yīng)用漏洞掃描檢測(cè)系統(tǒng) [J].軟件導(dǎo)刊，2019，18（8）：186-190+195.

[6] 葉夢(mèng)雄.基于Web的SQL注入漏洞掃描系統(tǒng)的設(shè)計(jì)研究 [J].電子設(shè)計(jì)工程，2019，27（16）：20-23+28.

[7] 周康成.Web應(yīng)用漏洞掃描工具的研究與設(shè)計(jì) [J].智能計(jì)算機(jī)與應(yīng)用，2019，9（4）：177-179.

[8] 郝子希.基于滲透技術(shù)的Web應(yīng)用漏洞掃描器設(shè)計(jì)與實(shí)現(xiàn) [D].上海：東華大學(xué)，2018.

作者簡(jiǎn)介：靳建宇（1982—），男，漢族，貴州貴陽(yáng)人，工程師，本科，研究方向：信息工程。