陳嘉玲

摘要：國內(nèi)網(wǎng)絡(luò)環(huán)境日益成熟，幾乎所有的學(xué)校已構(gòu)建校園網(wǎng)絡(luò)，并設(shè)置網(wǎng)站以提供師生許多的便利服務(wù)。校園內(nèi)各個部門的網(wǎng)站服務(wù)眾多，卻不見得設(shè)置有類似于企業(yè)的防火墻的機制，管理者也欠缺網(wǎng)絡(luò)安全的警覺，使校園網(wǎng)絡(luò)經(jīng)常是黑客喜愛的攻擊對象。因此，為了構(gòu)建安全的校園網(wǎng)絡(luò)，使用掃描技術(shù)對校園網(wǎng)絡(luò)進行全面測試，找出其中的脆弱點，對于校園網(wǎng)安全防護具有重要的意義。在這種背景下，本文重點介紹了Nessus技術(shù)的應(yīng)用。

關(guān)鍵詞：Nessus；網(wǎng)絡(luò)掃描；校園網(wǎng)1校園網(wǎng)絡(luò)安全技術(shù)概述

網(wǎng)絡(luò)上的軟硬件難免因設(shè)計上的不良或操作上的疏忽，使其含有安全方面的弱點，這些弱點會造成系統(tǒng)或網(wǎng)絡(luò)的安全漏洞，成為系統(tǒng)被入侵的渠道。為了提高被入侵的困難度，必須有其它更積極的預(yù)防措施，若能利用安全檢測工具自行檢查校園網(wǎng)絡(luò)系統(tǒng)是否存有安全弱點，修補弱點或加強安全監(jiān)控，那么系統(tǒng)的入侵難度自然可大為提升。當(dāng)然想要確認(rèn)網(wǎng)絡(luò)上軟硬件的弱點，并不一定要使用安全檢測工具，只是就管理者而言，要知道每一個軟硬件的弱點是有其困難性，因為網(wǎng)絡(luò)管理者必須在閱讀冗長的咨詢報告后，自行判斷系統(tǒng)或檢測所用程序版本的信息，再借助網(wǎng)絡(luò)搜尋相關(guān)檢查程序，以及找出適合此系統(tǒng)弱點的修補程序。因此，合理應(yīng)用安全檢測工具，可有效減少弱點的維護成本。Nessus是極優(yōu)秀的安全檢測工具，功能強大且檢測速度快，可檢測的范圍涵蓋了所有網(wǎng)絡(luò)服務(wù)，適用于各種平臺與網(wǎng)絡(luò)設(shè)備，是當(dāng)今最好的網(wǎng)絡(luò)安全檢測工具，并且費用低廉，所以本文將介紹Nessus來進行校園網(wǎng)絡(luò)安全的檢測。

2Nessus功能與實際運用

當(dāng)網(wǎng)管人員大量檢測電腦系統(tǒng)的安全性時，無法依據(jù)各大網(wǎng)絡(luò)安全機構(gòu)所發(fā)布的安全通告來一一檢查系統(tǒng)是否存在弱點與漏洞，此時便需依賴安全檢測工具來檢查。當(dāng)設(shè)定了只掃描特定檢測程序時，由于Plugins之間可能有相依性，所以最好勾選Enable plugin dependencies功能，若沒勾選，有可能因欠缺另一檢測程序的檢測結(jié)果，導(dǎo)致網(wǎng)管人員選定的檢測程序無法掃描出真正結(jié)果。很多網(wǎng)絡(luò)病毒作用于Windows系統(tǒng)上，而學(xué)校多數(shù)電腦使用Windows環(huán)境，一臺一臺重復(fù)同樣步驟來檢測是件繁瑣的事，此時適合以Nessus安全檢測工具來針對這些網(wǎng)絡(luò)病毒進行大量檢測。

Nessus所開發(fā)的每個NASL檢測程序均是依據(jù)各大網(wǎng)絡(luò)安全機構(gòu)所發(fā)布的安全通告發(fā)展而成。檢測結(jié)果主要是描述漏洞發(fā)生于何種系統(tǒng)、服務(wù)中，并且告知如何進行修正與核對措施。因為新的弱點與漏洞持續(xù)被發(fā)現(xiàn)，Nessus組織也持續(xù)發(fā)布新的NASL檢測程序，所以Nessus須勤加更新plugin，如果希望系統(tǒng)能自動更新，可使用crontab來做plugin的周期性更新。此外，Nessus也允許Nessus使用者自行依據(jù)各大網(wǎng)絡(luò)安全機構(gòu)所發(fā)布的安全通告撰寫NASL語言。若想自行編寫新的檢測程序，熟知入侵行為模式是必備的。撰寫完的檢測程序必需上傳至Nessus Server才能使用，而Nessus Server預(yù)設(shè)不允許使用者上傳plugin，需將Nessus Server的組態(tài)檔nessusd.conf設(shè)定成Nessus使用者可上傳plugin，再重新啟動Server服務(wù)，使用者才能上傳使用。上傳的plugin存放在Nessus使用者個人路徑內(nèi)，所以只有上傳該plugin的使用者可使用該檢測程序。

在Linux上，Nessus Client端有圖形界面與文字界面，文字界面所使用的掃描指令可利用系統(tǒng)的crontab，在plugin周期性更新后，再做安全掃描，以實現(xiàn)自動化。然而，網(wǎng)絡(luò)管理者仍須經(jīng)常查看檢測結(jié)果，勤加更新修正系統(tǒng)。當(dāng)安全檢測完成后，可根據(jù)檢測結(jié)果的建議進行修正漏洞，修正漏洞的方法通常是更新版本、執(zhí)行PATCH檔或修正設(shè)定，但即使都按照建議進行修正后，也無法保證系統(tǒng)有百分百的安全性。因為系統(tǒng)本身仍潛藏著尚未被發(fā)現(xiàn)的漏洞，或是已發(fā)布的漏洞尚未撰寫成NASL檢測程序，所以管理者應(yīng)該注意各大網(wǎng)絡(luò)安全機構(gòu)所發(fā)布的安全通告，并且核對Nessus組織是否有發(fā)布新的Plugin，勤加更新Plugin，或者自行撰寫Plugin。這樣一來，才能確保有最新的Plugin，使可檢測的安全弱點也越齊全，也才能有較安全的校園網(wǎng)絡(luò)。

3小結(jié)

為了使校務(wù)運作正常、確保資料安全，對校園網(wǎng)絡(luò)進行全面的安全檢測是必不可少的。使用Nessus不僅減少已公布弱點的維護，相對提高了校園網(wǎng)絡(luò)被入侵的困難度，并可免于重復(fù)檢測的動作，尤其當(dāng)有大量電腦需作檢測，更可減輕網(wǎng)絡(luò)管理的負(fù)擔(dān)。檢測后可能有大量電腦需進行更新修正，但對于更新版本、執(zhí)行PATCH檔或修正設(shè)定，仍無法免于重復(fù)同樣的動作，目前并無大量電腦同時更新修正的機制。操作系統(tǒng)若是RedHat，那么可通過crontab使用APT來自動升級系統(tǒng)，只不過升級并不一定是最好的解決方法，因為新的版本畢竟可能潛藏著尚未被發(fā)的安全問題。此外，APT套件本身仍在發(fā)展階段，所以使用了這個套件并無任何保證。至于Windows環(huán)境，只要微軟有繼續(xù)支援，可使用Windows Update來更新修正。

[參考文獻]

[1]龔靜.高校校園網(wǎng)的安全與防護[J].教育信息化.2005(04).

[2]胡勇.入侵檢測系統(tǒng)分析研究[J].中國電力教育.2008(11).