摘 要：本文通過分析校園網(wǎng)絡(luò)安全的現(xiàn)狀，闡述了進(jìn)行網(wǎng)絡(luò)服務(wù)平臺(tái)系統(tǒng)漏洞掃描的重要性，并且通過分析安全漏洞的原理，提出了使用工具測(cè)試的方法，利用漏掃工具進(jìn)行安全性檢測(cè)及漏洞掃描的一般方法，并以此對(duì)學(xué)院網(wǎng)絡(luò)進(jìn)行了測(cè)試，對(duì)發(fā)現(xiàn)的問題做了相對(duì)應(yīng)的防范加固策略，最后還提出了漏洞掃描中應(yīng)注意的問題。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊，漏洞掃描，工具測(cè)試，安全加固

中圖分類號(hào)：TP319.3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2015）06（a）-0000-00

作者簡(jiǎn)介：趙之眸（1981-），男，天津市人，工程碩士，天津機(jī)電職業(yè)技術(shù)學(xué)院講師，研究方向：網(wǎng)絡(luò)管理、虛擬化、軟件開發(fā)

隨著近幾年高校信息化建設(shè)的逐步推進(jìn)，許多學(xué)校已經(jīng)建立了覆蓋全校的有線、無線網(wǎng)絡(luò)，并且逐漸將學(xué)校的業(yè)務(wù)系統(tǒng)進(jìn)行信息化改造，打造了一個(gè)全新的、覆蓋各業(yè)務(wù)的數(shù)字化校園。但是，在各項(xiàng)工作依賴于網(wǎng)絡(luò)的同時(shí)，網(wǎng)絡(luò)的安全性就變成了一個(gè)非常重要的問題。特別是，在整個(gè)數(shù)字化校園中起支撐作用的網(wǎng)絡(luò)服務(wù)平臺(tái)的系統(tǒng)安全性至關(guān)重要。本文將對(duì)網(wǎng)絡(luò)服務(wù)平臺(tái)的系統(tǒng)安全性及漏洞掃描進(jìn)行研究。

一、研究的背景及目的

1. 校園網(wǎng)絡(luò)安全形勢(shì)

校園網(wǎng)網(wǎng)絡(luò)安全包括個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)，避免被竊聽、篡改和偽造[1]。由于校園網(wǎng)的特殊性，它不同于其他的企業(yè)網(wǎng)或者政府網(wǎng)，一般的企業(yè)網(wǎng)在同一物理地區(qū)僅有幾百、或者上千的用戶，但校園網(wǎng)內(nèi)一般都有超過六千、七千個(gè)用戶，上萬用戶的校園網(wǎng)也比較常見。而且作為校園網(wǎng)內(nèi)的主要用戶——學(xué)生，又有著年輕、喜歡新事物、探索新技術(shù)的特點(diǎn)，他們大量瀏覽最新網(wǎng)頁、最新視頻、嘗試最新軟件，成為黑客攻擊的主要目標(biāo)，因此，校園網(wǎng)網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻。

2. 漏洞與漏洞掃描

漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，可以使攻擊者在未授權(quán)的情況下訪問或破壞系統(tǒng)[2]。安全漏洞按照應(yīng)用范圍的不同分為三類：一、主機(jī)、數(shù)據(jù)庫系統(tǒng)層安全漏洞，這類漏洞會(huì)被運(yùn)行在該系統(tǒng)上的應(yīng)用程序所繼承；第二類是應(yīng)用層（應(yīng)用程序）的安全漏洞；第三類是應(yīng)用服務(wù)協(xié)議的安全漏洞，如web漏洞。

漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)（滲透攻擊）行為[3]。

3. 研究的目的

由于日益嚴(yán)重的安全問題，校園網(wǎng)絡(luò)服務(wù)平臺(tái)雖然擁有很多完善的硬件基礎(chǔ)，但如何應(yīng)對(duì)來自于各方面的攻擊，尤其是自身系統(tǒng)漏洞的發(fā)現(xiàn)與修補(bǔ)還有待加強(qiáng)，缺乏完整的方案。本文研究根據(jù)國家等保二級(jí)的要求，如何進(jìn)行安全測(cè)評(píng)并進(jìn)行漏洞掃描的一般方法。通過分析服務(wù)平臺(tái)系統(tǒng)的安全需求，找出目前的安全策略和實(shí)際需求的差距，為保護(hù)整個(gè)系統(tǒng)的安全提供科學(xué)依據(jù)。研究為后期進(jìn)一步安全防護(hù)措施的實(shí)施提供嚴(yán)謹(jǐn)?shù)陌踩碚撘罁?jù)，為制定信息系統(tǒng)安全策略以及切實(shí)有效的安全措施、選擇可靠的安全產(chǎn)品、建立全面的安全防護(hù)層次提供一套完整、規(guī)范的指導(dǎo)模型。并且，通過在筆者所在學(xué)校的實(shí)踐，全面、準(zhǔn)確的了解服務(wù)平臺(tái)系統(tǒng)的具體運(yùn)行狀況以及安全現(xiàn)狀，發(fā)現(xiàn)智能服務(wù)平臺(tái)系統(tǒng)的安全問題及其可能的危害，為系統(tǒng)最終安全需求的提出提供依據(jù)，為日后進(jìn)行等保測(cè)評(píng)做準(zhǔn)備并進(jìn)行安全保護(hù)。

二、漏洞掃描的實(shí)施

1. 需求分析

以筆者所在學(xué)院為例，目前校園網(wǎng)絡(luò)服務(wù)平臺(tái)硬件方面包括一組曙光T3600刀片式服務(wù)器用于提供業(yè)務(wù)服務(wù)，兩臺(tái)曙光A840-G10服務(wù)器提供數(shù)據(jù)庫服務(wù)；軟件方面擁有一套數(shù)字化校園服務(wù)系統(tǒng)。學(xué)校也購置了一些安全設(shè)備來應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)安全問題，但隨著學(xué)校網(wǎng)絡(luò)規(guī)模的不斷增大，單純采取被動(dòng)防御的技術(shù)手段無法滿足實(shí)際需求，如何“事前”規(guī)避風(fēng)險(xiǎn)、探測(cè)與發(fā)現(xiàn)漏洞、修復(fù)漏洞，實(shí)現(xiàn)漏洞修復(fù)閉環(huán)，變得非常重要。

根據(jù)實(shí)際情況，此次安全檢測(cè)和漏洞掃描主要部分包括：linux主機(jī)操作系統(tǒng)安全性與漏洞掃描、oracle數(shù)據(jù)庫系統(tǒng)安全性與漏洞掃描、Apache中間件系統(tǒng)安全性與漏洞掃描、服務(wù)平臺(tái)應(yīng)用系統(tǒng)安全性與漏洞掃描。為了全面地對(duì)系統(tǒng)進(jìn)行掃描，通過研究，制定了使用人工和自動(dòng)測(cè)評(píng)工具相結(jié)合的方式對(duì)信息系統(tǒng)內(nèi)的操作系統(tǒng)、應(yīng)用軟件、中間件和服務(wù)等進(jìn)行安全漏洞掃描并進(jìn)行修復(fù)的方案。

2. 漏洞掃描工具

要完成漏洞掃描，僅通過人工測(cè)試，或者是人工滲透是無法完成，必須使用相應(yīng)的軟件工具來輔助完成。工具掃描，針對(duì)系統(tǒng)、設(shè)備、應(yīng)用的脆弱性進(jìn)行自動(dòng)化檢測(cè)，幫助機(jī)構(gòu)或者組織來偵測(cè)、掃描和改善其信息系統(tǒng)面臨的風(fēng)險(xiǎn)隱患；偵測(cè)某個(gè)特定設(shè)備的系統(tǒng)配置、系統(tǒng)結(jié)構(gòu)和屬性；執(zhí)行安全評(píng)估和漏洞檢測(cè)；是機(jī)構(gòu)和組織進(jìn)行信息系統(tǒng)合規(guī)度量和審計(jì)的一種基礎(chǔ)技術(shù)手段。工具掃描是確定安全漏洞修補(bǔ)方案的最佳手段。常見的漏洞掃描工具有：IBM AppScan、WVS、BurpSuite（BurpScanner）、W3AF、Nikto、WebInspect、WebScarab等等，本文研究中我們主要使用以下三種：

1）Acunetix Web Vulnerability Scanner：簡(jiǎn)稱WVS，此軟件為商業(yè)級(jí)的Web漏洞掃描程序，通過它可以測(cè)試Web應(yīng)用程序中的許多漏洞：如SQL注入、XSS、身份驗(yàn)證中的弱口令長(zhǎng)度等。與此同時(shí)，該軟件為圖形化操作界面，方便簡(jiǎn)單，且能建立專業(yè)級(jí)的Web站點(diǎn)安全審核報(bào)告，是此次研究中最主要的使用軟件。

2）IBM Security AppScan ：為一應(yīng)用安全性測(cè)試套件，其能進(jìn)行自動(dòng)化漏洞測(cè)試、檢測(cè)和掃描多種Web應(yīng)用漏洞（SQL注入、跨站腳本、緩沖區(qū)溢出、Flash/Flex應(yīng)用程序、Web2.0漏洞等）。

3）BurpSuite：是一套集成攻擊平臺(tái)，包含一系列Burp組件工具，工具之間可相互通信。提高整體攻擊的效率。平臺(tái)中所有工具統(tǒng)一采用具有良好持久性和可擴(kuò)展性的robust框架，便于統(tǒng)一處理HTTP請(qǐng)求、認(rèn)證、上游代理、日志記錄、報(bào)警等。BurpSuite允許使用者結(jié)合自動(dòng)技術(shù)和手工方法進(jìn)行分析、枚舉、攻擊。BurpScanner為平臺(tái)中的高級(jí)工具，可自動(dòng)進(jìn)行漏洞掃描。

3.漏洞掃描方案

通過對(duì)漏洞類型及作用范圍的研究，制定了逐層檢測(cè)的掃描方案，主要通過主機(jī)、數(shù)據(jù)庫系統(tǒng)層漏洞掃描；應(yīng)用層漏洞掃描；web漏洞掃描等三個(gè)方面進(jìn)行逐一的檢測(cè)，具體檢測(cè)內(nèi)容如表1所示。

表1-漏洞掃描具體內(nèi)容

4. 漏洞掃描結(jié)果及修復(fù)

以筆者所在學(xué)院為例，根據(jù)上述測(cè)試方案中描述的內(nèi)容，我們利用工具對(duì)學(xué)院主要系統(tǒng)：linux主機(jī)操作系統(tǒng)、oracle數(shù)據(jù)庫系統(tǒng)、Apache中間件、服務(wù)平臺(tái)應(yīng)用系統(tǒng)進(jìn)行了安全性與漏洞掃描。通過漏洞掃描，我們對(duì)網(wǎng)絡(luò)服務(wù)平臺(tái)進(jìn)行了全面地檢查，驗(yàn)證了利用工具測(cè)試的漏洞掃描方案的可行性，并且通過漏掃我們也將發(fā)現(xiàn)的一些系統(tǒng)漏洞進(jìn)行了修復(fù)，漏洞掃描結(jié)果及修復(fù)方案詳見表2。

表2-漏洞掃描結(jié)果

5. 漏洞掃描中的注意事項(xiàng)

按照制定的漏掃方案，利用相關(guān)工具能很好的完成需求分析中所提出的要求，但在在整個(gè)實(shí)施過程中還需要注意幾點(diǎn)：

（1）測(cè)試的評(píng)價(jià)點(diǎn)位置很重要，在防火墻內(nèi)、外，對(duì)系統(tǒng)進(jìn)行測(cè)試有很大區(qū)別。如在內(nèi)網(wǎng)測(cè)試時(shí)發(fā)現(xiàn)的SQL注入漏洞，在外網(wǎng)測(cè)試時(shí)因防火墻成功攔截沒有被發(fā)現(xiàn)。通過防火墻修改進(jìn)行限制，可以防御MSSQL注入執(zhí)行中的全部?jī)?nèi)容；可以防御攻擊變形中的大小變形、注釋、URL編碼、unicode標(biāo)準(zhǔn)編碼、base64編碼、和動(dòng)態(tài)查詢中上傳exec函數(shù)的攻擊?？梢苑烙鵛SS攻擊、OS命令注入、CSRF攻擊、口令爆破、弱口令探測(cè)、應(yīng)用信息探測(cè)、非法上傳威脅文件等，有效降低了了Web系統(tǒng)被入侵、數(shù)據(jù)被篡改的可能性。（2）為防止工具測(cè)試造成用戶網(wǎng)絡(luò)和系統(tǒng)的服務(wù)中斷，在工具測(cè)試中不能使用含有拒絕服務(wù)的測(cè)試策略，不能使用未經(jīng)許可的方式進(jìn)行工具測(cè)試。非常重要的系統(tǒng)不建議做深入的測(cè)試，避免意外崩潰而造成不可挽回的損失；具體測(cè)試過程中，最終結(jié)果可以由測(cè)試人員做推測(cè)，而不實(shí)施危險(xiǎn)的操作步驟加以驗(yàn)證等。（3）工具評(píng)估掃描產(chǎn)品可以幫助客戶發(fā)現(xiàn)安全漏洞，但是只能對(duì)漏洞進(jìn)行粗淺的定性和不夠完備的解決方案，無法達(dá)到安全漏洞精細(xì)化管理的目標(biāo)。需要人工測(cè)試。

三、結(jié)束語

通過本文的研究，提出了基于工具測(cè)試的校園網(wǎng)絡(luò)服務(wù)平臺(tái)漏洞掃描的實(shí)施方案，并且進(jìn)過實(shí)踐證明了其有效性，為學(xué)院后期進(jìn)行等保測(cè)評(píng)，通過網(wǎng)監(jiān)檢查提供了良好的幫助，同時(shí)也為有相同需要的其他院校進(jìn)行漏洞掃描提供一套可行的方案。

參考文獻(xiàn)

[1] 鄧小莉，黃正榮.論校園網(wǎng)網(wǎng)絡(luò)安全的現(xiàn)狀及對(duì)策[J].科技信息，2009，（4）：503.

[2] 百度百科 漏洞 http：//baike.baidu.com/view/93544.htm

[3] 百度百科 漏洞掃描 http：//baike.baidu.com/view/549550.htm

[4] 王智賢.基于數(shù)字校園建設(shè)的校園網(wǎng)安全解決方案[J].計(jì)算機(jī)安全，2010，（11）：93-94.

[5] 邊春瑩.高校校園網(wǎng)安全策略的研究與設(shè)計(jì)[碩士論文].哈爾濱理工大學(xué)， 2013.3.