漏洞扫描进校园

　　以北京大学为例，校园网主干为 10G，百兆到桌面，有信息点近6.7万个，平均同时在线计算机1.5万台，高峰时超过2万台。随着系统和应用软件的漏洞不断被发现、利用，僵尸网络、网页挂马等新型的网络攻击频发，在综合考虑漏洞检测能力、扫描的准确性、底层技术、生成的报告的特性、对漏洞的分析和建议、性能、易用性、风险管理能力、安全性、服务、价格等因素后，我们在校园网上部署了一套企业级的主动式的、基于网络的漏洞扫描系统，如图2：

图2 漏洞扫描系统

　　该漏洞扫描系统能够检测近2900种漏洞，最大并发扫描任务数可达10个，可以并发扫描90台主机，每分钟可以完成对10台主机的扫描。我们每月1日对北京大学的B类网段162.105.0.0/16进行周期性的漏洞扫描。扫描所用时间与漏洞扫描的任务配置有极大的相关性，插件使用越多，扫描深度越深，主机存活测试越详细，扫描时间越长。此外端口扫描策略、方式、速度，是否探测弱口令，口令字典的大小也对扫描时间有极大的影响。对于北京大学这样的大型校园网，进行一次B类网段扫描，根据任务参数配置的不同，最少需要4小时，最多需要7天才能完成。经过多次测试，我们总结出一个兼顾扫描精确度和扫描时间的较优配置：最大并发扫描任务数设为8个，并发扫描主机数限制为70台，扫描深度取中间值，主机存活测试采用ICMP PING和检测21,22,23,25,80,443,445,139,3389,6000 这些TCP端口来判断，端口扫描用普通速度，仅对约2200常用服务的端口用普通的连接方式来判断是否开启，然后再调用相应的插件去检测是否存在漏洞。采用上述参数配置扫描任务，完成一次B类网段的扫描时间基本在7～9小时，扫描结果的精确度也较高，对整体掌握网络的安全状况可以接受。

　　漏洞扫描发现的问题

　　通过多次对北京大学的B类网段162.105.0.0/16进行全网扫描，可以总结下面几条规律：

　　1. 每次能够检测到的存活主机数量在9000～13000台左右，占该地址段IP数量的13.7％～19.8％。

　　2. 能够准确判定的操作系统类型占总数的18.3％～22.4％，其余的因为防火墙、安全加固等原因不能判定其操作系统类型及版本。其中Windows平台占12.2％～13.6％，Linux平台占4.9％～5.3％。

　　3. 高危的主机占6.1％～7.4％，如果是对提供公共服务的服务器网段进行扫描，非常危险的主机一般就占到32.5％～34.6％，这是因为服务器网段上各种服务众多，管理人员不会或没有及时升级、打补丁。

　　4. 弱口令的问题比较严重。Windows系列的一般为Administrator没有设置口令或是口令非常简单，极易破解。应用服务中MYSQL的问题最为严重，有很多root口令为空，攻击者不需要任何技术就能直接修改数据。

　　5. Web应用存在的漏洞一般为SQL 注入和XSS跨站攻击，某些网站的注入点之多，让人触目惊心。

　　6. 系统级的漏洞扫描和Web应用漏洞扫描最好采用各自专用的系统。目前虽然已经有一些综合的漏洞扫描系统，但是在测试过程中发现其侧重点还是在传统的系统级的漏洞扫描系统或Web应用漏洞扫描系统上增加另一种功能，不过新增的功能由于技术储备和研发能力的欠缺，检测效果并不理想。

　　值得注意的是，漏洞扫描是进行安全评估的必要手段，尤其在对大范围IP进行漏洞检查的时候，进行扫描评估能对被评估目标进行覆盖面广泛的安全漏洞查找，能较真实地反映主机系统、网络设备所存在的网络安全问题和面临的网络安全威胁。对全面掌握校园网服务器、网络设备、联网计算机的安全状况非常必要，可根据系统提供的扫描报告，在入侵事件发生之前对相关信息资产进行修补。我们在北京大学校园网上部署了漏洞扫描系统后，已经对整个校园网进行了多次漏洞扫描、安全评估，累计扫描计算机超过10万次，发出整改建议824条，逐步建立起北京大学自己的安全监控、安全服务体系，从底层、从根基上增强校园网的总体安全性。

　　（作者单位为北京大学计算中心）