一般来说，90%的攻击是由10%的安全漏洞引起的。随着安全漏洞的日益发展和复杂化，要修正网络中的每个潜在的安全漏洞是不太现实的。因此，选用一个高效的漏洞扫描系统就显得事半功倍。

CERNET主干网运行安全基本保障系统使用的漏洞扫描系统由上海交通大学网络信息中心和华中科技大学网络中心共同进行二次开发完成，跨时从2005年11月到2006年3月。该漏洞扫描系统以Nessus（http://www.nessus.org/）为基础，Nessus 是一个功能强大而又易于使用的远程安全扫描器，它不仅扩展性强而且扫描插件更新极快，可以扫描出多种安全漏洞，是业内公认的性能卓越的风险评估系统。

在此漏洞扫描系统中，服务器端支持使用Linux/FreeBSD平台下的安全漏洞扫描引擎和扫描插件的更新以及用户自定义扫描插件，进行最终安全扫描。客户端使用自行编写的Windows平台下的GUI程序或者浏览器，连接控制服务器端程序发起远程扫描。整套系统支持C/S（Client/Serve）和B/S（Browser/Server）架构。

基于C/S架构的系统功能

Client/Server客户端程序控制功能包括以下几点：

1.客户端程序和远程服务器端程序之间的数据传输支持TLS加密传输，可以使用用户名密码认证或者证书认证。

2.客户端程序支持扫描IP地址范围的多种形式定义，支持详细定制扫描参数，支持扫描状态的保存（断点扫描），支持多个扫描进程并发工作，支持扫描状态的动态显示，支持最终扫描结果的各种格式输出（文本格式/HTML网页格式等），支持扫描结果的本地存储和比对。

3.客户端程序除支持从远程服务器端读取预制的扫描插件库之外，还可以自行添加扫描规则和插件，发起扫描时可以自定义选择扫描插件和扫描规则。针对不同类型的远程扫描对象和需求，客户端程序提供预先定义分组好的的扫描策略和插件可供选择。

基于B/S架构的系统功能

Browser/Server浏览器控制功能如下：

1.Web系统使用Apache+mod_ssl+php+mysql 提供基于https方式使用服务器端的安全扫描引擎，可适用于各种平台，体系架构如图2。

2.允许定义域用户和组别，并分级赋予其扫描权限和管理其自定义的扫描进程和插件等高级管理功能。每一个域都对应于一个网络域，网络的域只是由一系列IP地址范围构成的网络范围。域中的用户只能对域内网络范围的主机进行扫描等操作管理，从而控制了各级域管理员和用户的权限。域管理员在设定子域时，在当前域中划分出网络范围给予子域网络管理权限。用户在申请扫描时，添加的主机IP必须在网络的域中。

3.支持扫描IP地址范围的多种形式定义，允许自定义扫描策略，支持最终扫描结果的各种格式输出（文本格式和HTML网页格式）和保存以及不同阶段扫描结果的比较，支持创建不同的扫描计划任务来完成定期定时扫描。

4.支持读取预制的扫描插件库之外，还可以自行添加扫描规则和插件，发起扫描时可以自定义选择扫描插件和扫描规则。针对不同类型的远程扫描对象和需求，提供预先定义分组好的的扫描策略和插件可供选择。

结束语

漏洞扫描只是一个完整的安全体系中的第一步，发现漏洞之后必须及时修复漏洞才能保障系统的安全。

近期，公安部公布的调查数据显示，校园网由于其固有的特点，成为网络攻击的重点对象之一。从本期开始，我们将选取发生在校园网中的典型攻击事件进行分析，以期能给校园网管理人员提供一定借鉴。