未来可能的安全焦点:GIS地理信息系统安全问题分析

引文:

近几年,工控安全问题已经逐渐进入人们的视线中,与此同时,GIS安全问题或许会在未来成为一大安全焦点。本文将会简述GIS在地理学中的内容,而着重于GIS系统的Web安全等问题进行分析,希望本文能起到抛砖引玉的作用,让更多安全人士,GIS系统开发者以及用户能够关注到这一领域。

一.解读GIS
GIS(即地理信息系统,Geographic Information System)属于地理信息技术,结合地理学和计算机科学,已经广泛的应用在不同的领域,是用于输入、存储、查询、分析和显示地理数据的系统,GIS是一 种基于计算机的工具,它可以对空间信息进行分析和处理(简而言之,是对地球上存在的现象和发生的事件进行成图和分析)。 GIS 技术把地图这种独特的视觉化效果和地理分析功能与一般的数据库操作(例如查询和统计分析等)集成在一起。(结合百度)

GIS系统举例:
这个广西动物疫病预防控制中心的GIS系统
从图中可以看出,结合了可变的地图,可以更快的了解到各地区出现的疫情情况并进行及时处理。同时,系统自带的预警系统和数据分析可以更高效,简便的帮助动物疫病预防控制中心进行工作。

2520265425c2c00942adfbc35eb4734bfcef9cc9.png
GIS系统实现过程简述:
a.png

GIS系统涉及领域:
自然方面——灾难预测,区域环境变化(台风,降水等)
人文社会——人口统计,经济分析,教育资源分布等
以及军事,医疗等众多领域

粗陋的理解是,GIS是一种结合地图与数据的信息系统(有地图,有数据的。。)

二.Web安全中的GIS
笔者通过漏洞挖掘,以及在乌云收集到的漏洞案例,按照GIS系统类型和漏洞类型对目前GIS安全在Web安全中的问题做出了归纳。方便大家能够看到当前的一些GIS系统的安全现状
b.jpg

c.jpg

三.GIS安全问题总结
在中国,GIS系统还处在普及阶段,许多人找到GIS系统漏洞后,却完全不了解这一系统的作用,甚至认为GIS只是普通的三个字符。对于 GIS开发者,很多Web端的GIS系统存在着明显的漏洞,对于用户,在使用系统时大多使用了弱口令,GIS安全问题确实需要我们重视。相信在未来,随着 物联网,云时代的普及,会有更多诸如110报警系统,救援系统应用到了GIS,那是GIS安全问题将成为一大安全焦点。
本文虽然有些管中窥豹之处,但是所有技术不都是在不断完善中而完美的么?也真因如此,人们手中的一个细管,变成了望远镜。
最后感谢乌云平台提供的漏洞支持,以及所有为GIS安全做出过贡献的白帽子们。

参考案例:
http://wooyun.org/bugs/wooyun-2015-0138009
http://wooyun.org/bugs/wooyun-2015-0100792
http://wooyun.org/bugs/wooyun-2014-082721
http://wooyun.org/bugs/wooyun-2014-083091
http://wooyun.org/bugs/wooyun-2014-079423
http://wooyun.org/bugs/wooyun-2015-0138275
http://wooyun.org/bugs/wooyun-2015-0137686
http://wooyun.org/bugs/wooyun-2015-0138805

【via@wooyun crown丶prince