文/鄭海山 屈斌 許卓斌

為提高高校網(wǎng)站和應(yīng)用系統(tǒng)的安全性，高校會對已經(jīng)存在和即將上線的網(wǎng)站和應(yīng)用系統(tǒng)定期進行掃描，評估風(fēng)險。常用的方法包括對源代碼進行代碼審計、對操作系統(tǒng)和數(shù)據(jù)庫等運行環(huán)境進行配置核查、對網(wǎng)站和應(yīng)用系統(tǒng)進行漏洞掃描和滲透測試等，并根據(jù)結(jié)果進行整改加固。由于代碼審計需要有源代碼，不是所有系統(tǒng)都可以提供，而滲透測試專業(yè)性和成本較高，所以使用漏洞掃描工具對高校網(wǎng)站和應(yīng)用系統(tǒng)進行掃描是最常見和有效的方法。

開放漏洞掃描背景

漏洞掃描工具有開源和商業(yè)的產(chǎn)品，漏洞掃描工具會對服務(wù)器和網(wǎng)站進行掃描，與已知漏洞數(shù)據(jù)庫進行比對，提示潛在的風(fēng)險和提供修復(fù)建議。漏洞掃描工具的核心為漏洞數(shù)據(jù)庫。漏洞數(shù)據(jù)庫的覆蓋率、更新速度和準(zhǔn)確度是評估漏洞掃描工具最重要的指標(biāo)。為提高覆蓋率，一般會使用多個廠商多個類型的漏洞掃描工具。

高校購買了漏洞掃描設(shè)備，由信息中心集中掃描后分發(fā)給各個相關(guān)負責(zé)人要求整改。由于購買漏洞掃描設(shè)備一次性投入較高，而且需要專人維護，有些高校將掃描工作外包給安全廠商，定期請安全廠商對全校所有資產(chǎn)進行掃描。廈門大學(xué)通過兩種模式結(jié)合的方式，對于暴露在校園網(wǎng)的服務(wù)器、網(wǎng)站和應(yīng)用系統(tǒng)，通過購買漏洞掃描工具來進行批量掃描；對于新上線和重要的系統(tǒng)在掃描的基礎(chǔ)上還通過購買滲透測試安全服務(wù)來提升安全性。

在實踐中，我們嘗試了向二級學(xué)院開放漏洞掃描能力。由于信息中心安全任務(wù)較重，人員配備不足，開放能力后二級學(xué)院大量計算機專業(yè)人員彌補了人員方面的短缺，擴大了掃描的范圍，使學(xué)校網(wǎng)站和應(yīng)用系統(tǒng)的安全性得到了整體提升。另外以往信息中心人員掃描完后，需要分發(fā)掃描報告給各個服務(wù)器、網(wǎng)站和應(yīng)用系統(tǒng)的相關(guān)負責(zé)人，相關(guān)負責(zé)人再轉(zhuǎn)發(fā)給具體的開發(fā)和運維人員，整改完還需要重新掃描驗證，溝通成本和時間成本都很高。通過開放該能力，上述問題得到了很好的解決，極大地提高了各個服務(wù)器、網(wǎng)站和應(yīng)用系統(tǒng)的自查、整改和驗證效率。

市面上有些廠商的設(shè)備可以通過分析網(wǎng)絡(luò)流量對高校內(nèi)的所有對外網(wǎng)站資產(chǎn)進行探測，對發(fā)現(xiàn)的資產(chǎn)在系統(tǒng)內(nèi)進行備案并關(guān)聯(lián)負責(zé)人的郵箱等聯(lián)系方式，將對資產(chǎn)的漏洞掃描結(jié)果通過系統(tǒng)自動分發(fā)給各個不同的負責(zé)人，也可以達到以上類似效果。

Web應(yīng)用上線安全評估方法

Web應(yīng)用程序安全漏洞可以分為兩類，第一類為應(yīng)用架構(gòu)、邏輯方面的缺陷導(dǎo)致的安全漏洞，如失效的訪問控制、失效的身份認(rèn)證等，對于這類安全缺陷的發(fā)現(xiàn)，必須通過人工測試判斷才能實現(xiàn)。第二類為應(yīng)用編碼不嚴(yán)謹(jǐn)導(dǎo)致的安全缺陷，如緩沖區(qū)溢出、非法輸入等，這類缺陷既可以通過人工檢查的方法實現(xiàn)，也可以通過自動化的測試工具，如黑盒掃描和白盒掃描的方法來實現(xiàn)。

一般來說，要真正實現(xiàn)對Web應(yīng)用進行全面的安全評測，需要經(jīng)過三個主要的步驟：

1.審查Web應(yīng)用的整體設(shè)計，找出由于設(shè)計上的不完善而導(dǎo)致的安全漏洞，比如敏感信息泄露、失效的訪問控制、失效的身份認(rèn)證等。這步工作只能通過人工的方法實現(xiàn)，主要依靠評測人員的經(jīng)驗。

2.對Web站點的代碼進行分析，找出由于編程的不完善而導(dǎo)致的安全漏洞，比如緩沖區(qū)溢出、SQL注入等。此項評測可通過三類方法實現(xiàn)：第一類是黑盒測試方法，主要通過HTTP請求對Web應(yīng)用進行漏洞掃描；第二類是白盒測試方法，主要通過掃描源代碼發(fā)現(xiàn)其中存在的漏洞；第三類是通過人工靜態(tài)代碼分析實現(xiàn)。

3.評估Web站點的部署，模擬網(wǎng)絡(luò)用戶對Web站點進行攻擊，找出安全漏洞和弱點，比如認(rèn)證不充分、信息泄漏等。此項評測可通過滲透測試的方法實現(xiàn)。采用上述的評測方法對應(yīng)用進行上線前的安全評估，還需配置相應(yīng)的準(zhǔn)入規(guī)范。

心得體會

在開放的過程中，我們通過前期評估風(fēng)險、編寫漏洞掃描工具使用文檔、建立QQ群、尋找種子用戶、過程中整理常見問答、最終擴大了開戶面，達到了較好的效果，同時也積累了以下心得：

1.《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定：任何個人和組織不得從事非法侵入他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動；不得提供專門用于從事侵入網(wǎng)絡(luò)、干擾網(wǎng)絡(luò)正常功能及防護措施、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全活動的程序、工具。對于漏洞掃描工具的提供應(yīng)當(dāng)符合上述規(guī)定，所以我們要求用戶使用強密碼并只限本人使用，嚴(yán)格限制用戶允許登錄的IP地址和允許掃描的IP和URL列表。同時我們通過網(wǎng)絡(luò)層限制漏洞掃描工具只能在校園網(wǎng)范圍內(nèi)進行掃描，并對用戶普及《網(wǎng)絡(luò)安全法》知識，禁止用戶通過端口轉(zhuǎn)發(fā)或代理去掃描他人的服務(wù)器、網(wǎng)站和應(yīng)用系統(tǒng)。

2.為減輕漏洞掃描工具壓力，減少無謂的掃描，對于托管在信息中心虛擬主機上的網(wǎng)站，我們通知用戶無需掃描服務(wù)器，只需掃描自己的網(wǎng)站即可。對于信息中心負責(zé)的虛擬主機和虛擬化宿主機的服務(wù)器掃描由信息中心統(tǒng)一負責(zé)。

3.為防止掃描對網(wǎng)站正常的訪問造成影響并防止多個任務(wù)同時啟動影響漏洞掃描服務(wù)器性能，我們建議用戶錯峰啟動任務(wù)，在網(wǎng)站訪問量較低的時段進行掃描。比如使用漏洞掃描工具的預(yù)約掃描時間功能，在夜間及凌晨進行掃描。

4.漏洞掃描有可能對數(shù)據(jù)造成破壞，我們建議用戶在掃描之前備份自己服務(wù)器的數(shù)據(jù)。

5.漏洞掃描可能被服務(wù)器的安全軟件攔截，我們建議用戶在安全軟件的白名單設(shè)置內(nèi)對漏洞掃描工具IP地址是否添加例外分別進行多次掃描和對比。我們也建議用戶擴大掃描范圍，對內(nèi)網(wǎng)不對外提供服務(wù)的服務(wù)器也進行相應(yīng)的掃描。

6.漏洞掃描結(jié)果不一定完全準(zhǔn)確，可能存在誤報，也可能即使掃描結(jié)果為安全也不一定完全安全。所以我們推薦除了使用我們的漏洞掃描工具掃描外，還可使用開源的OpenVAS、sqlmap、Nmap、Metasploit和商業(yè)軟件和互聯(lián)網(wǎng)云服務(wù)進行掃描并多方比較。

7.在種子用戶的選擇上，我們通過備案系統(tǒng)篩選出備案超過一定數(shù)量的管理員，溝通開戶事宜，同時在備案系統(tǒng)內(nèi)增加可導(dǎo)出管理員負責(zé)的所有服務(wù)器的IP地址和URL地址功能，方便管理員直接導(dǎo)入漏洞掃描任務(wù)內(nèi)，極大地減輕了管理員的工作量。

8.隨著時間的推移，操作系統(tǒng)或中間件的版本更新和應(yīng)用的更新可能會產(chǎn)生新的漏洞，同時漏洞掃描工具的漏洞數(shù)據(jù)庫也會更新，所以我們建議管理員應(yīng)當(dāng)定期對服務(wù)器、網(wǎng)站和應(yīng)用系統(tǒng)進行掃描。

9.根據(jù)用戶反饋不斷豐富使用文檔，結(jié)合QQ群的溝通，對用戶遇到的問題給出建議。

10.漏洞掃描工具對管理員的觸動較大，很多管理員通過自行掃描看到掃描結(jié)果后才發(fā)現(xiàn)自己原先認(rèn)為很安全的服務(wù)器、網(wǎng)站和應(yīng)用系統(tǒng)實際上存在著較多漏洞，提高了管理員的安全意識，通過掃描結(jié)果的修復(fù)建議和修復(fù)后重新驗證的過程，也讓管理員的安全知識得到了提升。

11.漏洞掃描工具內(nèi)置了口令猜測和配置核查等模塊，并有完善的修復(fù)建議，對于不存在漏洞的服務(wù)器的加固也很有幫助。

12.漏洞掃描工具超級管理員應(yīng)當(dāng)密切關(guān)注漏洞掃描工具的使用情況，對所有用戶掃描的結(jié)果進行觀察，識別校內(nèi)的風(fēng)險點，并督促相關(guān)管理員及時進行整改。

廈門大學(xué)通過安全服務(wù)外包和采購漏洞掃描設(shè)備并開放給二級學(xué)院管理員使用的方法，對信息中心的日常安全運維工作形成了有效補充。開放漏洞掃描設(shè)備提高了設(shè)備的使用率和使用價值，提高了服務(wù)器、網(wǎng)站和應(yīng)用系統(tǒng)從漏洞發(fā)現(xiàn)、分發(fā)、驗證、到修復(fù)的效率。通過QQ群組建立了內(nèi)部管理員安全交流群，探索全民參與網(wǎng)絡(luò)安全的道路。

銳捷網(wǎng)絡(luò)2018產(chǎn)品及解決方案戰(zhàn)略發(fā)布會召開

本刊訊 3月27日，以“場景創(chuàng)新 精·進未來 ”為主題的銳捷網(wǎng)絡(luò)2018年產(chǎn)品及解決方案戰(zhàn)略發(fā)布會在北京召開。在本次發(fā)布會上，銳捷網(wǎng)絡(luò)強調(diào)用匠人精神打造精品、用精準(zhǔn)的解決方案直擊用戶痛點、用精耕行業(yè)的應(yīng)用幫助用戶數(shù)字化轉(zhuǎn)型。

銳捷網(wǎng)絡(luò)交換機產(chǎn)品事業(yè)部市場總監(jiān)翟鵬遠表示：“銳捷率先啟動了25G數(shù)據(jù)中心架構(gòu)產(chǎn)品和技術(shù)研發(fā)，投資數(shù)據(jù)中心實驗室；同時鍛造出25G數(shù)據(jù)中心架構(gòu)下的全套產(chǎn)品以及RDMA、可視化、去堆疊等領(lǐng)先技術(shù)，在全球范圍內(nèi)率先完成規(guī)模投產(chǎn)和商用?！?/p>

面對物聯(lián)網(wǎng)、AR/VR、數(shù)字化轉(zhuǎn)型等應(yīng)用趨勢變化，銳捷網(wǎng)絡(luò)將在2018年全面啟動智能無線網(wǎng)戰(zhàn)略布局，通過人工智能分析、自動場景識別優(yōu)化、網(wǎng)絡(luò)現(xiàn)象可解釋、全自動組網(wǎng)等科技創(chuàng)新，滿足萬物互聯(lián)時代的需求升級，并通過全新的行業(yè)解決方案，滿足高校、普教、醫(yī)療、企業(yè)等各個行業(yè)用戶的升級需求，同時還會在智慧校園物聯(lián)網(wǎng)等領(lǐng)域形成萬物聚集、萬物聯(lián)動、萬物感知的應(yīng)用新格局。

云桌面是銳捷網(wǎng)絡(luò)基于“場景創(chuàng)新”理念下誕生的又一創(chuàng)新領(lǐng)域。銳捷網(wǎng)絡(luò)云桌面產(chǎn)品事業(yè)部市場總監(jiān)肖廣維談到：“精致的場景細分，讓我們有信心把云課堂標(biāo)準(zhǔn)版、增強版、考試專業(yè)版、3D專業(yè)版在教育領(lǐng)域?qū)崿F(xiàn)更大范圍的應(yīng)用覆蓋。不論是傳統(tǒng)的學(xué)生機房、還是英語聽說考試、Pad教室，云課堂將滿足每間教室的定制化需求。”在此基礎(chǔ)上，銳捷網(wǎng)絡(luò)還推出“數(shù)字學(xué)習(xí)中心1.0”、“智慧云課堂1.0”，全新打造“云課堂+教室”的建設(shè)理念。