基于工具測試的校園網絡服務平臺漏洞掃描的探索與實踐

摘 要：本文通過分析校園網絡安全的現狀，闡述了進行網絡服務平臺系統漏洞掃描的重要性，并且通過分析安全漏洞的原理，提出了使用工具測試的方法，利用漏掃工具進行安全性檢測及漏洞掃描的一般方法，并以此對學院網絡進行了測試，對發現的問題做了相對應的防范加固策略，最后還提出了漏洞掃描中應注意的問題。

關鍵詞：網絡攻擊，漏洞掃描，工具測試，安全加固

中圖分類號：TP319.3 文獻標識碼：A 文章編號：1672-3791（2015）06（a）-0000-00

作者簡介：趙之眸（1981-），男，天津市人，工程碩士，天津機電職業技術學院講師，研究方向：網絡管理、虛擬化、軟件開發

隨著近幾年高校信息化建設的逐步推進，許多學校已經建立了覆蓋全校的有線、無線網絡，并且逐漸將學校的業務系統進行信息化改造，打造了一個全新的、覆蓋各業務的數字化校園。但是，在各項工作依賴于網絡的同時，網絡的安全性就變成了一個非常重要的問題。特別是，在整個數字化校園中起支撐作用的網絡服務平臺的系統安全性至關重要。本文將對網絡服務平臺的系統安全性及漏洞掃描進行研究。

一、研究的背景及目的

1. 校園網絡安全形勢

校園網網絡安全包括個人隱私或機密信息在網絡上傳輸時受到保護，避免被竊聽、篡改和偽造[1]。由于校園網的特殊性，它不同于其他的企業網或者政府網，一般的企業網在同一物理地區僅有幾百、或者上千的用戶，但校園網內一般都有超過六千、七千個用戶，上萬用戶的校園網也比較常見。而且作為校園網內的主要用戶——學生，又有著年輕、喜歡新事物、探索新技術的特點，他們大量瀏覽最新網頁、最新視頻、嘗試最新軟件，成為黑客攻擊的主要目標，因此，校園網網絡安全形勢嚴峻。

2. 漏洞與漏洞掃描

漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，可以使攻擊者在未授權的情況下訪問或破壞系統[2]。安全漏洞按照應用范圍的不同分為三類：一、主機、數據庫系統層安全漏洞，這類漏洞會被運行在該系統上的應用程序所繼承；第二類是應用層（應用程序）的安全漏洞；第三類是應用服務協議的安全漏洞，如web漏洞。

漏洞掃描是指基于漏洞數據庫，通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，發現可利用的漏洞的一種安全檢測（滲透攻擊）行為[3]。

3. 研究的目的

由于日益嚴重的安全問題，校園網絡服務平臺雖然擁有很多完善的硬件基礎，但如何應對來自于各方面的攻擊，尤其是自身系統漏洞的發現與修補還有待加強，缺乏完整的方案。本文研究根據國家等保二級的要求，如何進行安全測評并進行漏洞掃描的一般方法。通過分析服務平臺系統的安全需求，找出目前的安全策略和實際需求的差距，為保護整個系統的安全提供科學依據。研究為后期進一步安全防護措施的實施提供嚴謹的安全理論依據，為制定信息系統安全策略以及切實有效的安全措施、選擇可靠的安全產品、建立全面的安全防護層次提供一套完整、規范的指導模型。并且，通過在筆者所在學校的實踐，全面、準確的了解服務平臺系統的具體運行狀況以及安全現狀，發現智能服務平臺系統的安全問題及其可能的危害，為系統最終安全需求的提出提供依據，為日后進行等保測評做準備并進行安全保護。

二、漏洞掃描的實施

1. 需求分析

以筆者所在學院為例，目前校園網絡服務平臺硬件方面包括一組曙光T3600刀片式服務器用于提供業務服務，兩臺曙光A840-G10服務器提供數據庫服務；軟件方面擁有一套數字化校園服務系統。學校也購置了一些安全設備來應對復雜的網絡安全問題，但隨著學校網絡規模的不斷增大，單純采取被動防御的技術手段無法滿足實際需求，如何“事前”規避風險、探測與發現漏洞、修復漏洞，實現漏洞修復閉環，變得非常重要。

根據實際情況，此次安全檢測和漏洞掃描主要部分包括：linux主機操作系統安全性與漏洞掃描、oracle數據庫系統安全性與漏洞掃描、Apache中間件系統安全性與漏洞掃描、服務平臺應用系統安全性與漏洞掃描。為了全面地對系統進行掃描，通過研究，制定了使用人工和自動測評工具相結合的方式對信息系統內的操作系統、應用軟件、中間件和服務等進行安全漏洞掃描并進行修復的方案。

2. 漏洞掃描工具

要完成漏洞掃描，僅通過人工測試，或者是人工滲透是無法完成，必須使用相應的軟件工具來輔助完成。工具掃描，針對系統、設備、應用的脆弱性進行自動化檢測，幫助機構或者組織來偵測、掃描和改善其信息系統面臨的風險隱患；偵測某個特定設備的系統配置、系統結構和屬性；執行安全評估和漏洞檢測；是機構和組織進行信息系統合規度量和審計的一種基礎技術手段。工具掃描是確定安全漏洞修補方案的最佳手段。常見的漏洞掃描工具有：IBM AppScan、WVS、BurpSuite（BurpScanner）、W3AF、Nikto、WebInspect、WebScarab等等，本文研究中我們主要使用以下三種：

1）Acunetix Web Vulnerability Scanner：簡稱WVS，此軟件為商業級的Web漏洞掃描程序，通過它可以測試Web應用程序中的許多漏洞：如SQL注入、XSS、身份驗證中的弱口令長度等。與此同時，該軟件為圖形化操作界面，方便簡單，且能建立專業級的Web站點安全審核報告，是此次研究中最主要的使用軟件。

2）IBM Security AppScan ：為一應用安全性測試套件，其能進行自動化漏洞測試、檢測和掃描多種Web應用漏洞（SQL注入、跨站腳本、緩沖區溢出、Flash/Flex應用程序、Web2.0漏洞等）。

3）BurpSuite：是一套集成攻擊平臺，包含一系列Burp組件工具，工具之間可相互通信。提高整體攻擊的效率。平臺中所有工具統一采用具有良好持久性和可擴展性的robust框架，便于統一處理HTTP請求、認證、上游代理、日志記錄、報警等。BurpSuite允許使用者結合自動技術和手工方法進行分析、枚舉、攻擊。BurpScanner為平臺中的高級工具，可自動進行漏洞掃描。

3.漏洞掃描方案

通過對漏洞類型及作用范圍的研究，制定了逐層檢測的掃描方案，主要通過主機、數據庫系統層漏洞掃描；應用層漏洞掃描；web漏洞掃描等三個方面進行逐一的檢測，具體檢測內容如表1所示。

表1-漏洞掃描具體內容

4. 漏洞掃描結果及修復

以筆者所在學院為例，根據上述測試方案中描述的內容，我們利用工具對學院主要系統：linux主機操作系統、oracle數據庫系統、Apache中間件、服務平臺應用系統進行了安全性與漏洞掃描。通過漏洞掃描，我們對網絡服務平臺進行了全面地檢查，驗證了利用工具測試的漏洞掃描方案的可行性，并且通過漏掃我們也將發現的一些系統漏洞進行了修復，漏洞掃描結果及修復方案詳見表2。

表2-漏洞掃描結果

5. 漏洞掃描中的注意事項

按照制定的漏掃方案，利用相關工具能很好的完成需求分析中所提出的要求，但在在整個實施過程中還需要注意幾點：

（1）測試的評價點位置很重要，在防火墻內、外，對系統進行測試有很大區別。如在內網測試時發現的SQL注入漏洞，在外網測試時因防火墻成功攔截沒有被發現。通過防火墻修改進行限制，可以防御MSSQL注入執行中的全部內容；可以防御攻擊變形中的大小變形、注釋、URL編碼、unicode標準編碼、base64編碼、和動態查詢中上傳exec函數的攻擊。可以防御XSS攻擊、OS命令注入、CSRF攻擊、口令爆破、弱口令探測、應用信息探測、非法上傳威脅文件等，有效降低了了Web系統被入侵、數據被篡改的可能性。（2）為防止工具測試造成用戶網絡和系統的服務中斷，在工具測試中不能使用含有拒絕服務的測試策略，不能使用未經許可的方式進行工具測試。非常重要的系統不建議做深入的測試，避免意外崩潰而造成不可挽回的損失；具體測試過程中，最終結果可以由測試人員做推測，而不實施危險的操作步驟加以驗證等。（3）工具評估掃描產品可以幫助客戶發現安全漏洞，但是只能對漏洞進行粗淺的定性和不夠完備的解決方案，無法達到安全漏洞精細化管理的目標。需要人工測試。

三、結束語

通過本文的研究，提出了基于工具測試的校園網絡服務平臺漏洞掃描的實施方案，并且進過實踐證明了其有效性，為學院后期進行等保測評，通過網監檢查提供了良好的幫助，同時也為有相同需要的其他院校進行漏洞掃描提供一套可行的方案。

參考文獻

[1] 鄧小莉，黃正榮.論校園網網絡安全的現狀及對策[J].科技信息，2009，（4）：503.

[2] 百度百科 漏洞 http：//baike.baidu.com/view/93544.htm

[3] 百度百科 漏洞掃描 http：//baike.baidu.com/view/549550.htm

[4] 王智賢.基于數字校園建設的校園網安全解決方案[J].計算機安全，2010，（11）：93-94.

[5] 邊春瑩.高校校園網安全策略的研究與設計[碩士論文].哈爾濱理工大學， 2013.3.