基于工具测试的校园网络服务平台漏洞扫描的探索与实践
2015-07-21赵之眸
摘 要:本文通过分析校园网络安全的现状,阐述了进行网络服务平台系统漏洞扫描的重要性,并且通过分析安全漏洞的原理,提出了使用工具测试的方法,利用漏扫工具进行安全性检测及漏洞扫描的一般方法,并以此对学院网络进行了测试,对发现的问题做了相对应的防范加固策略,最后还提出了漏洞扫描中应注意的问题。
关键词:网络攻击,漏洞扫描,工具测试,安全加固
中图分类号:TP319.3 文献标识码:A 文章编号:1672-3791(2015)06(a)-0000-00
作者简介:赵之眸(1981-),男,天津市人,工程硕士,天津机电职业技术学院讲师,研究方向:网络管理、虚拟化、软件开发
随着近几年高校信息化建设的逐步推进,许多学校已经建立了覆盖全校的有线、无线网络,并且逐渐将学校的业务系统进行信息化改造,打造了一个全新的、覆盖各业务的数字化校园。但是,在各项工作依赖于网络的同时,网络的安全性就变成了一个非常重要的问题。特别是,在整个数字化校园中起支撑作用的网络服务平台的系统安全性至关重要。本文将对网络服务平台的系统安全性及漏洞扫描进行研究。
一、研究的背景及目的
1. 校园网络安全形势
校园网网络安全包括个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造[1]。由于校园网的特殊性,它不同于其他的企业网或者政府网,一般的企业网在同一物理地区仅有几百、或者上千的用户,但校园网内一般都有超过六千、七千个用户,上万用户的校园网也比较常见。而且作为校园网内的主要用户——学生,又有着年轻、喜欢新事物、探索新技术的特点,他们大量浏览最新网页、最新视频、尝试最新软件,成为黑客攻击的主要目标,因此,校园网网络安全形势严峻。
2. 漏洞与漏洞扫描
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,可以使攻击者在未授权的情况下访问或破坏系统[2]。安全漏洞按照应用范围的不同分为三类:一、主机、数据库系统层安全漏洞,这类漏洞会被运行在该系统上的应用程序所继承;第二类是应用层(应用程序)的安全漏洞;第三类是应用服务协议的安全漏洞,如web漏洞。
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为[3]。
3. 研究的目的
由于日益严重的安全问题,校园网络服务平台虽然拥有很多完善的硬件基础,但如何应对来自于各方面的攻击,尤其是自身系统漏洞的发现与修补还有待加强,缺乏完整的方案。本文研究根据国家等保二级的要求,如何进行安全测评并进行漏洞扫描的一般方法。通过分析服务平台系统的安全需求,找出目前的安全策略和实际需求的差距,为保护整个系统的安全提供科学依据。研究为后期进一步安全防护措施的实施提供严谨的安全理论依据,为制定信息系统安全策略以及切实有效的安全措施、选择可靠的安全产品、建立全面的安全防护层次提供一套完整、规范的指导模型。并且,通过在笔者所在学校的实践,全面、准确的了解服务平台系统的具体运行状况以及安全现状,发现智能服务平台系统的安全问题及其可能的危害,为系统最终安全需求的提出提供依据,为日后进行等保测评做准备并进行安全保护。
二、漏洞扫描的实施
1. 需求分析
以笔者所在学院为例,目前校园网络服务平台硬件方面包括一组曙光T3600刀片式服务器用于提供业务服务,两台曙光A840-G10服务器提供数据库服务;软件方面拥有一套数字化校园服务系统。学校也购置了一些安全设备来应对复杂的网络安全问题,但随着学校网络规模的不断增大,单纯采取被动防御的技术手段无法满足实际需求,如何“事前”规避风险、探测与发现漏洞、修复漏洞,实现漏洞修复闭环,变得非常重要。
根据实际情况,此次安全检测和漏洞扫描主要部分包括:linux主机操作系统安全性与漏洞扫描、oracle数据库系统安全性与漏洞扫描、Apache中间件系统安全性与漏洞扫描、服务平台应用系统安全性与漏洞扫描。为了全面地对系统进行扫描,通过研究,制定了使用人工和自动测评工具相结合的方式对信息系统内的操作系统、应用软件、中间件和服务等进行安全漏洞扫描并进行修复的方案。
2. 漏洞扫描工具
要完成漏洞扫描,仅通过人工测试,或者是人工渗透是无法完成,必须使用相应的软件工具来辅助完成。工具扫描,针对系统、设备、应用的脆弱性进行自动化检测,帮助机构或者组织来侦测、扫描和改善其信息系统面临的风险隐患;侦测某个特定设备的系统配置、系统结构和属性;执行安全评估和漏洞检测;是机构和组织进行信息系统合规度量和审计的一种基础技术手段。工具扫描是确定安全漏洞修补方案的最佳手段。常见的漏洞扫描工具有:IBM AppScan、WVS、BurpSuite(BurpScanner)、W3AF、Nikto、WebInspect、WebScarab等等,本文研究中我们主要使用以下三种:
1)Acunetix Web Vulnerability Scanner:简称WVS,此软件为商业级的Web漏洞扫描程序,通过它可以测试Web应用程序中的许多漏洞:如SQL注入、XSS、身份验证中的弱口令长度等。与此同时,该软件为图形化操作界面,方便简单,且能建立专业级的Web站点安全审核报告,是此次研究中最主要的使用软件。
2)IBM Security AppScan :为一应用安全性测试套件,其能进行自动化漏洞测试、检测和扫描多种Web应用漏洞(SQL注入、跨站脚本、缓冲区溢出、Flash/Flex应用程序、Web2.0漏洞等)。
3)BurpSuite:是一套集成攻击平台,包含一系列Burp组件工具,工具之间可相互通信。提高整体攻击的效率。平台中所有工具统一采用具有良好持久性和可扩展性的robust框架,便于统一处理HTTP请求、认证、上游代理、日志记录、报警等。BurpSuite允许使用者结合自动技术和手工方法进行分析、枚举、攻击。BurpScanner为平台中的高级工具,可自动进行漏洞扫描。
3.漏洞扫描方案
通过对漏洞类型及作用范围的研究,制定了逐层检测的扫描方案,主要通过主机、数据库系统层漏洞扫描;应用层漏洞扫描;web漏洞扫描等三个方面进行逐一的检测,具体检测内容如表1所示。
表1-漏洞扫描具体内容
4. 漏洞扫描结果及修复
以笔者所在学院为例,根据上述测试方案中描述的内容,我们利用工具对学院主要系统:linux主机操作系统、oracle数据库系统、Apache中间件、服务平台应用系统进行了安全性与漏洞扫描。通过漏洞扫描,我们对网络服务平台进行了全面地检查,验证了利用工具测试的漏洞扫描方案的可行性,并且通过漏扫我们也将发现的一些系统漏洞进行了修复,漏洞扫描结果及修复方案详见表2。
表2-漏洞扫描结果
5. 漏洞扫描中的注意事项
按照制定的漏扫方案,利用相关工具能很好的完成需求分析中所提出的要求,但在在整个实施过程中还需要注意几点:
(1)测试的评价点位置很重要,在防火墙内、外,对系统进行测试有很大区别。如在内网测试时发现的SQL注入漏洞,在外网测试时因防火墙成功拦截没有被发现。通过防火墙修改进行限制,可以防御MSSQL注入执行中的全部内容;可以防御攻击变形中的大小变形、注释、URL编码、unicode标准编码、base64编码、和动态查询中上传exec函数的攻击。可以防御XSS攻击、OS命令注入、CSRF攻击、口令爆破、弱口令探测、应用信息探测、非法上传威胁文件等,有效降低了了Web系统被入侵、数据被篡改的可能性。(2)为防止工具测试造成用户网络和系统的服务中断,在工具测试中不能使用含有拒绝服务的测试策略,不能使用未经许可的方式进行工具测试。非常重要的系统不建议做深入的测试,避免意外崩溃而造成不可挽回的损失;具体测试过程中,最终结果可以由测试人员做推测,而不实施危险的操作步骤加以验证等。(3)工具评估扫描产品可以帮助客户发现安全漏洞,但是只能对漏洞进行粗浅的定性和不够完备的解决方案,无法达到安全漏洞精细化管理的目标。需要人工测试。
三、结束语
通过本文的研究,提出了基于工具测试的校园网络服务平台漏洞扫描的实施方案,并且进过实践证明了其有效性,为学院后期进行等保测评,通过网监检查提供了良好的帮助,同时也为有相同需要的其他院校进行漏洞扫描提供一套可行的方案。
参考文献
[1] 邓小莉,黄正荣.论校园网网络安全的现状及对策[J].科技信息,2009,(4):503.
[2] 百度百科 漏洞 http://baike.baidu.com/view/93544.htm
[3] 百度百科 漏洞扫描 http://baike.baidu.com/view/549550.htm
[4] 王智贤.基于数字校园建设的校园网安全解决方案[J].计算机安全,2010,(11):93-94.
[5] 边春莹.高校校园网安全策略的研究与设计[硕士论文].哈尔滨理工大学, 2013.3.