廈門大學讓二級學院也擁有漏洞掃描能力

文/鄭海山 屈斌 許卓斌

為提高高校網站和應用系統的安全性，高校會對已經存在和即將上線的網站和應用系統定期進行掃描，評估風險。常用的方法包括對源代碼進行代碼審計、對操作系統和數據庫等運行環境進行配置核查、對網站和應用系統進行漏洞掃描和滲透測試等，并根據結果進行整改加固。由于代碼審計需要有源代碼，不是所有系統都可以提供，而滲透測試專業性和成本較高，所以使用漏洞掃描工具對高校網站和應用系統進行掃描是最常見和有效的方法。

開放漏洞掃描背景

漏洞掃描工具有開源和商業的產品，漏洞掃描工具會對服務器和網站進行掃描，與已知漏洞數據庫進行比對，提示潛在的風險和提供修復建議。漏洞掃描工具的核心為漏洞數據庫。漏洞數據庫的覆蓋率、更新速度和準確度是評估漏洞掃描工具最重要的指標。為提高覆蓋率，一般會使用多個廠商多個類型的漏洞掃描工具。

高校購買了漏洞掃描設備，由信息中心集中掃描后分發給各個相關負責人要求整改。由于購買漏洞掃描設備一次性投入較高，而且需要專人維護，有些高校將掃描工作外包給安全廠商，定期請安全廠商對全校所有資產進行掃描。廈門大學通過兩種模式結合的方式，對于暴露在校園網的服務器、網站和應用系統，通過購買漏洞掃描工具來進行批量掃描；對于新上線和重要的系統在掃描的基礎上還通過購買滲透測試安全服務來提升安全性。

在實踐中，我們嘗試了向二級學院開放漏洞掃描能力。由于信息中心安全任務較重，人員配備不足，開放能力后二級學院大量計算機專業人員彌補了人員方面的短缺，擴大了掃描的范圍，使學校網站和應用系統的安全性得到了整體提升。另外以往信息中心人員掃描完后，需要分發掃描報告給各個服務器、網站和應用系統的相關負責人，相關負責人再轉發給具體的開發和運維人員，整改完還需要重新掃描驗證，溝通成本和時間成本都很高。通過開放該能力，上述問題得到了很好的解決，極大地提高了各個服務器、網站和應用系統的自查、整改和驗證效率。

市面上有些廠商的設備可以通過分析網絡流量對高校內的所有對外網站資產進行探測，對發現的資產在系統內進行備案并關聯負責人的郵箱等聯系方式，將對資產的漏洞掃描結果通過系統自動分發給各個不同的負責人，也可以達到以上類似效果。

Web應用上線安全評估方法

Web應用程序安全漏洞可以分為兩類，第一類為應用架構、邏輯方面的缺陷導致的安全漏洞，如失效的訪問控制、失效的身份認證等，對于這類安全缺陷的發現，必須通過人工測試判斷才能實現。第二類為應用編碼不嚴謹導致的安全缺陷，如緩沖區溢出、非法輸入等，這類缺陷既可以通過人工檢查的方法實現，也可以通過自動化的測試工具，如黑盒掃描和白盒掃描的方法來實現。

一般來說，要真正實現對Web應用進行全面的安全評測，需要經過三個主要的步驟：

1.審查Web應用的整體設計，找出由于設計上的不完善而導致的安全漏洞，比如敏感信息泄露、失效的訪問控制、失效的身份認證等。這步工作只能通過人工的方法實現，主要依靠評測人員的經驗。

2.對Web站點的代碼進行分析，找出由于編程的不完善而導致的安全漏洞，比如緩沖區溢出、SQL注入等。此項評測可通過三類方法實現：第一類是黑盒測試方法，主要通過HTTP請求對Web應用進行漏洞掃描；第二類是白盒測試方法，主要通過掃描源代碼發現其中存在的漏洞；第三類是通過人工靜態代碼分析實現。

3.評估Web站點的部署，模擬網絡用戶對Web站點進行攻擊，找出安全漏洞和弱點，比如認證不充分、信息泄漏等。此項評測可通過滲透測試的方法實現。采用上述的評測方法對應用進行上線前的安全評估，還需配置相應的準入規范。

心得體會

在開放的過程中，我們通過前期評估風險、編寫漏洞掃描工具使用文檔、建立QQ群、尋找種子用戶、過程中整理常見問答、最終擴大了開戶面，達到了較好的效果，同時也積累了以下心得：

1.《中華人民共和國網絡安全法》規定：任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動；不得提供專門用于從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具。對于漏洞掃描工具的提供應當符合上述規定，所以我們要求用戶使用強密碼并只限本人使用，嚴格限制用戶允許登錄的IP地址和允許掃描的IP和URL列表。同時我們通過網絡層限制漏洞掃描工具只能在校園網范圍內進行掃描，并對用戶普及《網絡安全法》知識，禁止用戶通過端口轉發或代理去掃描他人的服務器、網站和應用系統。

2.為減輕漏洞掃描工具壓力，減少無謂的掃描，對于托管在信息中心虛擬主機上的網站，我們通知用戶無需掃描服務器，只需掃描自己的網站即可。對于信息中心負責的虛擬主機和虛擬化宿主機的服務器掃描由信息中心統一負責。

3.為防止掃描對網站正常的訪問造成影響并防止多個任務同時啟動影響漏洞掃描服務器性能，我們建議用戶錯峰啟動任務，在網站訪問量較低的時段進行掃描。比如使用漏洞掃描工具的預約掃描時間功能，在夜間及凌晨進行掃描。

4.漏洞掃描有可能對數據造成破壞，我們建議用戶在掃描之前備份自己服務器的數據。

5.漏洞掃描可能被服務器的安全軟件攔截，我們建議用戶在安全軟件的白名單設置內對漏洞掃描工具IP地址是否添加例外分別進行多次掃描和對比。我們也建議用戶擴大掃描范圍，對內網不對外提供服務的服務器也進行相應的掃描。

6.漏洞掃描結果不一定完全準確，可能存在誤報，也可能即使掃描結果為安全也不一定完全安全。所以我們推薦除了使用我們的漏洞掃描工具掃描外，還可使用開源的OpenVAS、sqlmap、Nmap、Metasploit和商業軟件和互聯網云服務進行掃描并多方比較。

7.在種子用戶的選擇上，我們通過備案系統篩選出備案超過一定數量的管理員，溝通開戶事宜，同時在備案系統內增加可導出管理員負責的所有服務器的IP地址和URL地址功能，方便管理員直接導入漏洞掃描任務內，極大地減輕了管理員的工作量。

8.隨著時間的推移，操作系統或中間件的版本更新和應用的更新可能會產生新的漏洞，同時漏洞掃描工具的漏洞數據庫也會更新，所以我們建議管理員應當定期對服務器、網站和應用系統進行掃描。

9.根據用戶反饋不斷豐富使用文檔，結合QQ群的溝通，對用戶遇到的問題給出建議。

10.漏洞掃描工具對管理員的觸動較大，很多管理員通過自行掃描看到掃描結果后才發現自己原先認為很安全的服務器、網站和應用系統實際上存在著較多漏洞，提高了管理員的安全意識，通過掃描結果的修復建議和修復后重新驗證的過程，也讓管理員的安全知識得到了提升。

11.漏洞掃描工具內置了口令猜測和配置核查等模塊，并有完善的修復建議，對于不存在漏洞的服務器的加固也很有幫助。

12.漏洞掃描工具超級管理員應當密切關注漏洞掃描工具的使用情況，對所有用戶掃描的結果進行觀察，識別校內的風險點，并督促相關管理員及時進行整改。

廈門大學通過安全服務外包和采購漏洞掃描設備并開放給二級學院管理員使用的方法，對信息中心的日常安全運維工作形成了有效補充。開放漏洞掃描設備提高了設備的使用率和使用價值，提高了服務器、網站和應用系統從漏洞發現、分發、驗證、到修復的效率。通過QQ群組建立了內部管理員安全交流群，探索全民參與網絡安全的道路。

銳捷網絡2018產品及解決方案戰略發布會召開

本刊訊 3月27日，以“場景創新 精·進未來 ”為主題的銳捷網絡2018年產品及解決方案戰略發布會在北京召開。在本次發布會上，銳捷網絡強調用匠人精神打造精品、用精準的解決方案直擊用戶痛點、用精耕行業的應用幫助用戶數字化轉型。

銳捷網絡交換機產品事業部市場總監翟鵬遠表示：“銳捷率先啟動了25G數據中心架構產品和技術研發，投資數據中心實驗室；同時鍛造出25G數據中心架構下的全套產品以及RDMA、可視化、去堆疊等領先技術，在全球范圍內率先完成規模投產和商用。”

面對物聯網、AR/VR、數字化轉型等應用趨勢變化，銳捷網絡將在2018年全面啟動智能無線網戰略布局，通過人工智能分析、自動場景識別優化、網絡現象可解釋、全自動組網等科技創新，滿足萬物互聯時代的需求升級，并通過全新的行業解決方案，滿足高校、普教、醫療、企業等各個行業用戶的升級需求，同時還會在智慧校園物聯網等領域形成萬物聚集、萬物聯動、萬物感知的應用新格局。

云桌面是銳捷網絡基于“場景創新”理念下誕生的又一創新領域。銳捷網絡云桌面產品事業部市場總監肖廣維談到：“精致的場景細分，讓我們有信心把云課堂標準版、增強版、考試專業版、3D專業版在教育領域實現更大范圍的應用覆蓋。不論是傳統的學生機房、還是英語聽說考試、Pad教室，云課堂將滿足每間教室的定制化需求。”在此基礎上，銳捷網絡還推出“數字學習中心1.0”、“智慧云課堂1.0”，全新打造“云課堂+教室”的建設理念。