基于Web技术的漏洞扫描系统在企业安全中的应用

摘  要：文章基于Web技术设计了一款功能完善、实用性强的漏洞扫描系统。首先，根据系统工作原理，分别介绍了系统的控制调度模块、界面模块和漏洞检测模块。其次，从用户界面应用、扫描模板界面应用、差异提醒功能应用三个方面，将漏洞扫描系统与企业安全管理进行充分结合。结果表明：在Web技术的应用背景下，文章所设计的漏洞扫描系统运行正常、可靠、稳定，各个功能模块实现满足设计相关要求，符合企业实际应用需求。希望通过这次研究，为技术人员提供有效的借鉴和参考。

关键词：Web技术;漏洞扫描系统;企业安全

中图分类号：TN915.08       文献标识码：A文章编号：2096-4706（2021）13-0136-03

Application of Vulnerability Scanning System Based on Web Technology in Enterprise Security

JIN Jianyu

（China Aviation Development Guizhou Honglin Aviation Power Control Technology Co.， Ltd.， Guiyang  550009， China）

Abstract： This paper designs a vulnerability scanning system with perfect function and strong practicability based on Web technology. Firstly， according to the working principle of the system， the control scheduling module， interface module and vulnerability detection module of the system are introduced respectively. Secondly， the vulnerability scanning system is fully combined with enterprise security management from three aspects： user interface application， scanning template interface application and difference reminder function application. The results show that under the application background of Web technology， the vulnerability scanning system designed in this paper runs normally， reliably and stably， and the implementation of each functional module meets the relevant design requirements and the actual application requirements of enterprises. It is hoped that this research can provide effective reference for technicians.

Keywords： Web technology; vulnerability scanning system; enterprise safety

0  引  言

在互聯网时代的到来，极大地改变了人们的工作方式、学习方式和生活方式，但是，由于网络安全漏洞的出现，引发一系列的网络安全事件，这无疑增加了部分企业管理风险。为了确保企业管理的安全性，技术人员要借助Web技术，将设计好的漏洞扫描系统科学应用于企业安全管理领域中，便于系统管理员根据系统所发送的漏洞检测扫描报告，更好地修复和处理系统漏洞问题。同时，还能帮助安全人员及时、有效地查看和处理企业信息系统可能存在运行安全隐患问题，保证信息系统运行的可靠性和安全性。因此，为了尽可能地降低企业管理风险，促进企业的健康、可持续发展，如何将基于Web技术漏洞扫描系统科学应用于企业安全管理领域中是技术人员必须思考和解决的问题。

1  系统工作原理

该系统在进行漏洞扫描期间，主要采用了被动式策略（又被称为“模糊测试方式”），通过对系统攻击行为进行自动化模拟[1]，然后，根据服务器响应速度，及时发现和处理漏洞。基于模糊测试的扫描过程如图1所示。

图1  基于模糊测试的扫描过程

此外，系统在具体的设计中，主要利用了B/S模式，用户通过利用Web页面端可以实现对用户名、密码的精确化验证，当验证通过后，用户才能成功登录到系统内，然后，系统会自动完成对扫描任务的创建，并将配置好的扫描信息安全、可靠地存储于数据库中，此时，服务器会对监控程序进行自动化运行[2]，并对新的扫描任务进行分析和处理，当扫描操作结束后，系统会自动进入到爬虫模块，通过构建和应用UR请求，向系统服务器内发送多种请求命令，此时，系统服务器会对所接收到请求命令进行相应地反馈，并对URL内部是否出现安全漏洞问题进行分析和判断，从而实现漏洞的自动化扫描和处理。漏洞扫描系统工作流程如图2所示。

2  系统功能介绍

该系统在具体的设计中，主要借助浏览器，为企业用户提供简洁、友好的交互界面，有效地提高了企业的安全管理水平。该系统主要由以下几个模块组成：（1）控制调度模块。该模块主要用于对系统内部所有模块的协调和控制，通过检查运行监测程序，可以精确地分析和判断新扫描任务的出现情况。（2）界面模块。该模块主用用于对企业用户相关操作指令的接收，以实现对扫描任务的自动化创建、删除和管理。（3）漏洞检测模块。该模块通过对黑客攻击方式进行精确化模拟，然后，借助浏览器页面端，将漏洞检测相关请求安全、可靠地传输于系统服务器内，并快速检测和处理安全漏洞问题，以达到降低企业信息系统安全风险的目的。

3  基于Web技术漏洞扫描系统在企业安全中的应用

3.1  用户界面的应用

在Web技术的应用背景下，为了更好地验证漏洞扫描系统的可靠性和有效性，现将该系统科学应用于企业安全领域中，以保证企业管理和经营的可靠性和安全性。首先，要将生产服务器科学地部署于企业内部16个IDC机房内，并将其中的8个IDC机房设置为企业的重要业务机房。然后，将该系统分别部署于武汉IDC机房、杭州IDC机房内，漏洞扫描系统所覆盖的机房大约有16个[3]，这些机房总共用到的生产服务器达到两万台以上。企业在应用漏洞扫描系统期间，首先，通过利用HTTPS方式，对该系统进行登录，然后，为企业用户下达多种漏洞扫描任务，控制面板位于该系统的左侧位置，可以帮助企业用户快速实现对各种任务的执行或者扫描，此外，还要自动完成对相关扫描策略的调整和配置，在此基础上，还要根据企业的使用需求，采用差异提醒的方式，对漏洞审计策略进行精确化定义，另外，该系统还能为计划任务的有效进行提供相应的支持[4]。通过借助扫描对象，确保系统数据库与企业内部设备之间建立起有效的连接，并对扫描对象进行实时更新，确保扫描对象始终处于最新状态。为了充分发挥和利用该系统的应用价值，提高企业管理的安全性和可靠性，企业安全管理人员要加强对扫描策略的科学配置，以达到自动化管理的目的。对于漏洞扫描插件而言，需要根据扫描所对应的执行时间，按照运维人员、安全人员和审计人员三种角色，对扫描处理后的报表信息进行自动化发送，极大地提高了报表信息扫描发送处理的效率和效果。通过利用系统用户界面[5]，可以直观、形象地看出该系统所划分的扫描对象风险等级，扫描对象风险等级主要包含以下三种，分别是高风险等级、中风险等级和低风险等级，系统会向运维人员自动发送最终扫描结果，通知系统扫描对象是否出现一系列的安全隐患。此外，还要利用差异对比功能，对系统多次扫描结果进行全面分析和处理，然后，向审计人员自动发送差异报告，从而实时跟踪和检测系统对漏洞修补情况，以保证漏洞修补监督的安全性和高效性，只有这样，才能实现对系统漏洞的自动化、高效化、分级化管理，漏洞扫描系统用户界面如图3所示。

3.2  扫描模板界面的应用

系统扫描模板界面可以为企业用户更好地展现当前系统所定义好的扫描策略，通过对详细信息进行点击，扫描策略会对相应的插件信息进行自动化加载[6]，并采用端口扫描的方式，对系统内部引擎参数进行科学调整和控制，如图4所示。扫描策略主要包含两种，一种是通用策略，另一种是定制开发策略，本文所设计的漏洞扫描系统具有易维护性、高开发性、安全可靠等特点，系统内扫描插件在具体的定制开发中，主要是由多个安全人员共同合作所开发的。扫描插件在具体的使用期间，要尽可能避免对业务的连续性产生不良影響。人员ID创建通常离不开扫扫描策略的应用，而扫描策略主要是由扫描模板提供的，这就表明安全人员不同，系统所创建的安全策略具备一定的隐蔽性、私有性，不允许被其他安全人员所调用。当系统自动运行到一定周期后，扫描规模会变得越来越大[7]，当扫描规模增加到一定程度后，会被系统后台自动设置为常规策略。另外，还要借助安全管理策略，可以最大限度地提高漏洞扫描流程的稳定性、可靠性和安全性，这样一来，即使系统出现扫描故障问题，安全管理策略也可以自动执行，为系统提供相应的错误信息，提醒安全人员对扫描策略进行自动化调整，当然，可以利用插件，全面追究开发人员的相关责任。扫描对象主要用于对被扫描域名的定义和管理，现阶段，对于单个任务而言，所连接的主机数量高达7 125个，完全符合大型企业的使用需求。目前，大部分企业均搭建和应用了信息系统管理平台[8]，通过将漏洞扫描系统与该管理平台进行有效地连接，可以自动化、实时化同步系统IP信息。

3.3  差异提醒功能应用

该系统含有强大的差异提醒功能，通过借助该功能，可以为企业用户提供漏洞风险提醒服务，确保企业用户在第一时间内快速地查找和处理这些漏洞风险，以保证企业管理和经营的安全性和可靠性，只有这样，才能更好地满足漏洞审计需求。另外，通过利用差异提醒功能，对审计人员进行相应的提醒，审计人员仅仅通过接收邮件通知，就可以全面地了解和把握系统漏洞所对应的历史信息，在此基础上，系统会自动确认漏洞修复情况，通过采用这种风险提醒方式，可以向系统运维人员发送系统所划分好的漏洞扫描风险等级，便于运维人员在第一时间内快速收到风险提醒信息，从而更好地开展漏洞修复工作，避免因漏洞修复不及时而给企业管理埋下一系列的安全隐患。最后，还要借助系统计划任务功能，高效化、智能化管理周期性目标任务，从而帮助企业节约系统漏洞的修复成本，使得企业取得较高的经济效益。

4  结  论

综上所述，在Web技术的应用背景下，本文所设计的漏洞扫描系统安装灵活、部署简单、功能完善、适用性强，通过将其应用于企业安全管理领域中，不仅可以降低企业安全投入成本，还能确保企业信息系统能够可靠、稳定、安全地运行。该系统具有以下三个特色：（1）“零”管理模式。通过借助该系统，可以实现对扫描对象的自动化输入、漏洞报告的自动化发送以及系统用户角色的自动化管理，整个管理过程无须人为操作。（2）具有较高的性能指标。通过将该系统科学应用于企业环境中，可以取得理想的扫描效果。（3）具有较高开放性、兼容性。

参考文献：

[1] 黄刚.应用Fuzzing的Web漏洞检测与加固系统 [J].福建电脑，2021，37（3）：95-97.

[2] 金浩侠.Web安全漏洞快速扫描技术研究 [D].杭州：杭州电子科技大学，2018.

[3] 饶兰香，孙丹，施炜利，等.基于指纹识别技术的web应用程序漏洞检测系统研究与应用 [J].信息通信，2020（11）：97-100.

[4] 阳广涛，李爱华，李帛航，等.Web漏洞风险扫描技术研究 [J].电子世界，2020（3）：203-204.

[5] 卢志科，康晓凤，眭桢屹，等.Web应用漏洞扫描检测系统 [J].软件导刊，2019，18（8）：186-190+195.

[6] 叶梦雄.基于Web的SQL注入漏洞扫描系统的设计研究 [J].电子设计工程，2019，27（16）：20-23+28.

[7] 周康成.Web应用漏洞扫描工具的研究与设计 [J].智能计算机与应用，2019，9（4）：177-179.

[8] 郝子希.基于渗透技术的Web应用漏洞扫描器设计与实现 [D].上海：东华大学，2018.

作者简介：靳建宇（1982—），男，汉族，贵州贵阳人，工程师，本科，研究方向：信息工程。