政务云安全风险分析与解决思路探讨

1.1概述

为了掌握某市政务网站的网络安全整体情况,在相关监管机构授权后,我们组织人员抽取了某市78个政务网站进行安全扫描,通过安全扫描对该市政务网站的整体安全情况进行预估。

1.2工具扫描结果

本次利用漏洞扫描服务VSS共扫描各类政务网站78个,其中存在漏洞的网站38个,占比为48.7%。其中存在高危漏洞的网站6个,占扫描网站总数的7.6%.

从检测出漏洞的危险等级来看,高危漏洞数量占13%,中危占22%,低危占65%。

其中应用程序错误信息(24.5%)、异常页面导致服务器信息泄露(11.2%)和跨站脚本攻击漏洞(17.0%)这三类是占比最高的网站安全漏洞,三者之和超过漏洞总数的50%。

1.3  检测结论

1、通过漏洞扫描服务VSS扫描,发现部分网站仍存在一些较为明显的漏洞,而这些漏洞一旦被恶意攻击者利用则很可能给网站带来较大威胁发现绝大部分网站都存在中高危漏洞,很多漏洞如业务逻辑型漏洞、绕过WAF的检测,而这种漏洞更容易被有目的的攻击者利用(如APT攻击)。

3、通过漏洞的修复情况分析,即便是在能够修复漏洞的网站中,仍有近2/3的网站漏洞修复周期过长,修复较为不及时(大于7天)。

4、网站所有者有了WAF等设备,还是应该定期对网站进行整体安全评测,特别是安全检测、代码审计等

1.4漏洞扫描的概念

漏洞扫描是指基于CVE、CNVD、CNNVD等漏洞数据库,通过专用工具扫描手段对指定的远程或者本地的网络设备、主机、数据库、操作系统、中间件、业务系统等进行脆弱性评估,发现安全漏洞,并提供可操作的安全建议或临时解决办法的服务。漏洞扫描服务主要有两种类型:第一种为业务系统应用层扫描,通过扫描工具准确识别出注入缺陷、跨站脚本攻击、非法链接跳转、信息泄露、异常处理等安全漏洞,全面检测并发现业务应用安全隐患;第二种为主机系统漏洞扫描,通过扫描工具识别多种操作系统、网络设备、安全设备、数据库、中间件等存在的安全漏洞,全面检测终端设备的安全隐患。

1.5政企为什么要做漏洞扫描

  1. 合规要求

随着网安法、等级保护2.0的发布,合规监管单位也对漏洞管理提出了明确的要求。其中网络安全法第二十五条,明确提出网络运营者应当及时处置系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险。等级保护2.0中,漏洞和风险管理章节中也明确要求“应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。应开展日常的漏洞检查,应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞”。除此之外,在网安、网信、行业监管部门每年组织的网络大检查中,漏洞也作为关键必查项,一旦发现漏洞,一般会出具警示函、通报函或其他行政监管措施。

  1. 安全要求
  1. 安全漏洞数量越来越多近年来,安全漏洞呈不断上升的态势。根据国家信息安全漏洞共享平台(CNVD)统计,2020年,CNVD共收录通用软硬件漏洞19964个。其中,高危漏洞6906个(占34.6%)、中危漏洞10633个(占53.3%)、低危漏洞2425个(占12.1%)。较2019年漏洞收录总数16050环比增加24.39%。根据国际著名的安全漏洞库(CVE)统计,CVE每年新增收录漏洞数从2016年的6.53万,2017年的10.95万,2018年的12.3万,到2019年的11.63万。从累年收录数据来看,总体漏洞上升趋势明显,漏洞数量越来越多。
  2. 安全漏洞危害越来越大当前,新一轮科技革命和产业变革正蓄势待发。随着人工智能、大数据、物联网、工业互联网的发展,信息化建设迅速推进,越来越多的政务工作通过互联网办理,在方便民众办理业务的同时也带来了信息泄露严重的问题。近年来,国内、国外爆发了多起网站漏洞导致民众个人信息泄露的事件,涉及居民社保信息、卫生医疗信息、企业信息等。据统计,2019年安全漏洞导致的信息泄露事件超过1000起,安全漏洞已经成为安全事件爆发的最关键导火索之一。漏洞的危害越来越严重,统计表明利用已知系统漏洞成功入侵的占到了72.6%。绝大多数的网络攻击事件都是厂商已公布、用户未及时修补的漏洞引发的。

1.5漏洞扫描的范围

漏洞扫描服务可以为客户提供包括网络设备、操作系统、数据库、常见应用服务器以及WEB应用等范围的扫描。     

漏洞扫描的详细服务范围如下:

  1. 操作系统:

      Windows、发行版Linux、AIX、UNIX通用、Solaris、FreeBSD、HP-UX、BSD等主流操作系统。

  1. 数据库:

      Oracle、MySQL、MSSQL、Sybase、DB2、Informix等主流数据库。

  1. 常见应用服务:

      Apache、IIS、Tomcat、Weblogic等主流应用服务,常见FTP、EMAIL、DNS、TELENT、POP3、SNMP、SMTP、Proxy、RPC服务等。

  1. Web应用程序:

      ASP、PHP、JSP、.NET、Perl、Python、Shell等语言编写的WEB应用程序。

1.6漏洞扫描的分类

主要类型

将看到的主要不同类型的漏洞扫描器是:

  1. 基于网络的漏洞扫描器
  2. 基于代理的漏洞扫描器
  3. Web 应用程序漏洞扫描程序

1.7漏洞扫描的必要性

漏洞扫描是进行安全评估的必要手段,尤其在对大范围IP 进行漏洞检查的时候,进行扫描评估能对被评估目标进行覆盖面广泛的安全漏洞查找,并且评估环境与被评估对象在线运行的环境完全一致,能较真实地反映主机系统、网络设备所存在的网络安全问题和面临的网络安全威胁

1.8漏洞扫描风险预防

 进行主机扫描之前做好数据备份工作;对属于双机热备的系统在一次扫描会话中只选取其中一台进行扫描;对特殊要求的重要主机或者网络设备调整扫描对象策略,不采用对生产系统的网段扫描方式,改用针对某系统的单个主机扫描方式,每次只扫描一个IP,扫描结束之后再手动设置扫描下一个IP,将风险率降至最低;对生产网段进行扫描的时间调整到不影响业务的时间段,具体时间由双方协商决定;进行工具扫描和人工评估的全程都应有被评估方技术人员配合。

1.9德迅漏洞扫描流程

2.0结语

如果把网络安全工作比作一场战争的话,那么漏洞扫描服务 VSS就是这场战争中,盘旋在网站上端的“猎鹰”,及时准确的“察觉”网站安全,保证用户业务顺利地开展,维护企业的资产安全。目前,漏洞扫描服务 VSS已经应用在政府、金融、医疗、教育、互联网等行业用户,扫描次数超过万次,助力千百家企业用户网站建设维护和安全运行。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/741959.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

app逆向-ratel框架-sekiro框架的安装使用

文章目录 一、前言二、初次尝试三、原⽣APP的使⽤四、ratel框架结合sekiro框架使用 一、前言 sekiro主要支持多节点的程序调用,所以他归属于RPC(Remote Procedure Call)框架:API管理、鉴权、分布式、负载均衡、跨语言 开源文档&…

如何在群晖NAS部署WPS容器并实现无公网IP远程访问本地office软件

文章目录 1. 拉取WPS Office镜像2. 运行WPS Office镜像容器3. 本地访问WPS Office4. 群晖安装Cpolar5. 配置WPS Office远程地址6. 远程访问WPS Office小结 7. 固定公网地址 wps-office是一个在Linux服务器上部署WPS Office的镜像。它基于WPS Office的Linux版本,通过…

【C语言】指针详解2

👑个人主页:啊Q闻 🎇收录专栏:《C语言》 🎉道阻且长,行则将至 前言 这篇博客分享的指针部分为与数组有关的指针知识,包括一位数组和二维数组 指针详解1的博客 【C语言】指针…

算法思想总结:双指针算法

一、移动零 . - 力扣&#xff08;LeetCode&#xff09; 移动零 该题重要信息&#xff1a;1、保持非0元素的相对位置。2、原地对数组进行操作 思路&#xff1a;双指针算法 class Solution { public:void moveZeroes(vector<int>& nums){int nnums.size();for(int cur…

【Linux】Shell编程【二】

目录 Shell流程控制条件测试注意事项示例[ condition ]与[[ condition ]]的区别 if条件单分支语法示例1&#xff1a;统计根分区使用率示例2&#xff1a;创建目录 双分支if条件语句语法案例1&#xff1a;备份mysql数据库案例2&#xff1a;判断apache是否启动&#xff0c;如果没有…

网络学习:9个计算机的“网络层”知识点

目录 一、IP 地址 1.1 分类表示法&#xff1a; 1.1.1 分类表示地址的其他说明 1.2 无分类编址 CIDR 二、IP 数据报文格式 Q: IP 报文里有什么&#xff1f;可以不按顺序或者字节来讲一讲 三、 路由概念 3.1 路由表 3.2 路由网络匹配 3.3 ARP 解析 3.4 RARP 逆地址解析…

考试题库:华为HCIA-Datacom易错题⑦(含答案解析)

华为认证HCIA-Datacom易错题举例和答案分析。 1、现有一台交换机通过某端口与一个指定端口相连&#xff0c;但是该端口不转发任何报文&#xff0c;却可以通过接收BPDU来监听网络变化&#xff0c;那么该端口的角色应该是&#xff08; &#xff09;。 A、Designated端口 B、Al…

分布式搜索elasticsearch(1)

1.初识elasticsearch 1.1.了解ES 1.1.1.elasticsearch的作用 elasticsearch是一款非常强大的开源搜索引擎&#xff0c;具备非常多强大功能&#xff0c;可以帮助我们从海量数据中快速找到需要的内容 例如&#xff1a; 在GitHub搜索代码 在电商网站搜索商品 在百度搜索答案…

c++函数SetConsoleTextAttribute

前言 正文 1.作用&#xff1a; 2.函数格式(重点)&#xff1a; 3.参数(重点)&#xff1a; 前言 实用(真的) 正文 1.作用&#xff1a; 更改cmd的背景色与字体颜色 2.函数格式(重点)&#xff1a; SetConsoleTextAttribute(GetStdHandle(STD_OUTPUT_HANDLE),10进制参数); …

第14届环境与农业工程国际会议(ICEAE 2024)即将召开!

2024年第14届环境与农业工程国际会议&#xff08;ICEAE 2024&#xff09;将于6月7日至9日在泰国曼谷召开。本次会议旨在促进环境与农业工程的研究和开发活动&#xff0c;共同探讨领域内最新以及具有根本性的进展突破。热忱欢迎从事相关领域研究的专家&#xff0c;学者和专业技术…

iStoreOS系统内安装HomeAssistant服务

iStoreOS系统内安装HomeAssistant服务 1. HomeAssistant服务 HomeAssistant是一款基于Python的开源智能家居系统&#xff0c;简称HA。 HomeAssistant可以方便地连接各种外部设备&#xff0c;如智能设备、摄像头、邮件、短消息和云服务等&#xff0c;其成熟的可连接组件有近千…

【Twinmotion】Twinmotion导入UE5

步骤 1. 在虚幻商城中安装“Datasmith Twinmotion导入器插件” 安装“面向虚幻引擎的Twinmotion内容” 2. 打开虚幻引擎&#xff0c;在插件中搜索“twinmotion”&#xff0c;勾选如下两个插件&#xff0c;然后重启虚幻引擎 3. 打开Twinmotion&#xff0c;随便添加一个物体 导出…

【阿里云系列】-ACK的Java应用POD无法访问云数据库Redis

问题介绍 如下图所示&#xff0c;是ACK集群的POD访问阿里云的云数据库Redis&#xff0c;如何实现访问呢 配置步骤 要实现ACK集群内的所有POD都可以访问云数据库Redis&#xff0c;则需要在Redsi的白名单里增加源IP或网段&#xff0c;如下图所示 注意&#xff1a; 以上添加…

网络套接字-UDP服务器

一 预备知识 1 端口号和进程id 主机间的数据传输本质是两个进程在通信&#xff0c;就像是我们打开抖音刷视频&#xff0c;视频不是都保存在手机上的&#xff0c;而是服务器发送给你的&#xff0c;这里就是用到了网络。 那如何保证把数据给指定进程呢? 就是用端口号去标识主机中…

Pytorch学习 day13(完整的模型训练步骤)

步骤一&#xff1a;定义神经网络结构 注意&#xff1a;由于一次batch_size的大小为64&#xff0c;表示一次放入64张图片&#xff0c;且Flatten()只会对单张图片的全部通道做拉直操作&#xff0c;也就是不会将batch_size合并&#xff0c;但是一张图片有3个通道&#xff0c;在Ma…

YOLOv9改进项目|关于本周更新计划的说明24/3/12

目前售价售价59.9&#xff0c;改进点30个 专栏地址&#xff1a; 专栏介绍&#xff1a;YOLOv9改进系列 | 包含深度学习最新创新&#xff0c;主力高效涨点&#xff01;&#xff01;&#xff01; 日期&#xff1a;24/3/12 本周更新计划说明&#xff1a; 1. 更新华为Gold YOLO中的…

读西游记第一回:西游记世界格局

天地之数&#xff1a; 元&#xff1a;十二万九千六百岁&#xff08;129600年&#xff09; 1元12会&#xff1a;子、丑、寅、卯、巳、午、未、申、酉、戌、亥。每会18000年。与12地支对应。 亥会期&#xff1a;前5400年混沌期&#xff0c;后5400年&#xff0c;盘古开天辟地&am…

论文阅读——Vision Transformer with Deformable Attention

Vision Transformer with Deformable Attention 多头自注意力公式化为&#xff1a; 第l层transformer模块公式化为&#xff1a; 在Transformer模型中简单地实现DCN是一个non-trivial的问题。在DCN中&#xff0c;特征图上的每个元素都单独学习其偏移&#xff0c;其中HWC特征图上…

Mysql数据库学习笔记——第二篇

DML 添加数据 INSERT INTO 表名(字段1,字段2,……) VALUES(值1,值2,……); # 给指定字段添加数据INSERT INTO 表名 VALUES(值1,值2,……); # 给全部字段添加数据INSERT INTO 表名(字段1,字段2,……) VALUES(值1,值2,……),(值1,值2,……),(值1,值2,……); …

【开发】微服务整合Sentinel

目录 前言 1W&#xff1a;什么是Sentinel&#xff1f; 2W&#xff1a;为什么使用Sentinel&#xff1f; 3W&#xff1a;如何使用Sentinel&#xff1f; 1. 在pom.xml中导入Sentinel依赖坐标 2. 配置控制台 3. 访问API接口的任意端点 流量控制 1. 簇点链路 2. 快速入门…