厦门大学:让二级学院也拥有漏洞扫描能力


厦门大学通过安全服务外包和采购漏洞扫描设备并开放给二级学院管理员使用的方法,探索全民参与网络安全的道路。

为提高高校网站和应用系统的安全性,高校会对已经存在和即将上线的网站和应用系统定期进行扫描,评估风险。常用的方法包括对源代码进行代码审计、对操作系统和数据库等运行环境进行配置核查、对网站和应用系统进行漏洞扫描和渗透测试等,并根据结果进行整改加固。由于代码审计需要有源代码,不是所有系统都可以提供,而渗透测试专业性和成本较高,所以使用漏洞扫描工具对高校网站和应用系统进行扫描是最常见和有效的方法。

开放漏洞扫描背景

漏洞扫描工具有开源和商业的产品,漏洞扫描工具会对服务器和网站进行扫描,与已知漏洞数据库进行比对,提示潜在的风险和提供修复建议。漏洞扫描工具的核心为漏洞数据库。漏洞数据库的覆盖率、更新速度和准确度是评估漏洞扫描工具最重要的指标。为提高覆盖率,一般会使用多个厂商多个类型的漏洞扫描工具。

高校购买了漏洞扫描设备,由信息中心集中扫描后分发给各个相关负责人要求整改。由于购买漏洞扫描设备一次性投入较高,而且需要专人维护,有些高校将扫描工作外包给安全厂商,定期请安全厂商对全校所有资产进行扫描。厦门大学通过两种模式结合的方式,对于暴露在校园网的服务器、网站和应用系统,通过购买漏洞扫描工具来进行批量扫描;对于新上线和重要的系统在扫描的基础上还通过购买渗透测试安全服务来提升安全性。

在实践中,我们尝试了向二级学院开放漏洞扫描能力。由于信息中心安全任务较重,人员配备不足,开放能力后二级学院大量计算机专业人员弥补了人员方面的短缺,扩大了扫描的范围,使学校网站和应用系统的安全性得到了整体提升。另外以往信息中心人员扫描完后,需要分发扫描报告给各个服务器、网站和应用系统的相关负责人,相关负责人再转发给具体的开发和运维人员,整改完还需要重新扫描验证,沟通成本和时间成本都很高。通过开放该能力,上述问题得到了很好的解决,极大地提高了各个服务器、网站和应用系统的自查、整改和验证效率。

市面上有些厂商的设备可以通过分析网络流量对高校内的所有对外网站资产进行探测,对发现的资产在系统内进行备案并关联负责人的邮箱等联系方式,将对资产的漏洞扫描结果通过系统自动分发给各个不同的负责人,也可以达到以上类似效果。

心得体会

在开放的过程中,我们通过前期评估风险、编写漏洞扫描工具使用文档、建立QQ群、寻找种子用户、过程中整理常见问答、最终扩大了开户面,达到了较好的效果,同时也积累了以下心得:

1.《中华人民共和国网络安全法》规定:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具。对于漏洞扫描工具的提供应当符合上述规定,所以我们要求用户使用强密码并只限本人使用,严格限制用户允许登录的IP地址和允许扫描的IP和URL列表。同时我们通过网络层限制漏洞扫描工具只能在校园网范围内进行扫描,并对用户普及《网络安全法》知识,禁止用户通过端口转发或代理去扫描他人的服务器、网站和应用系统。

2.为减轻漏洞扫描工具压力,减少无谓的扫描,对于托管在信息中心虚拟主机上的网站,我们通知用户无需扫描服务器,只需扫描自己的网站即可。对于信息中心负责的虚拟主机和虚拟化宿主机的服务器扫描由信息中心统一负责。

3.为防止扫描对网站正常的访问造成影响并防止多个任务同时启动影响漏洞扫描服务器性能,我们建议用户错峰启动任务,在网站访问量较低的时段进行扫描。比如使用漏洞扫描工具的预约扫描时间功能,在夜间及凌晨进行扫描。

4.漏洞扫描有可能对数据造成破坏,我们建议用户在扫描之前备份自己服务器的数据。

5.漏洞扫描可能被服务器的安全软件拦截,我们建议用户在安全软件的白名单设置内对漏洞扫描工具IP地址是否添加例外分别进行多次扫描和对比。我们也建议用户扩大扫描范围,对内网不对外提供服务的服务器也进行相应的扫描。

6.漏洞扫描结果不一定完全准确,可能存在误报,也可能即使扫描结果为安全也不一定完全安全。所以我们推荐除了使用我们的漏洞扫描工具扫描外,还可使用开源的OpenVAS、sqlmap、Nmap、Metasploit和商业软件和互联网云服务进行扫描并多方比较。

7.在种子用户的选择上,我们通过备案系统筛选出备案超过一定数量的管理员,沟通开户事宜,同时在备案系统内增加可导出管理员负责的所有服务器的IP地址和URL地址功能,方便管理员直接导入漏洞扫描任务内,极大地减轻了管理员的工作量。

8.随着时间的推移,操作系统或中间件的版本更新和应用的更新可能会产生新的漏洞,同时漏洞扫描工具的漏洞数据库也会更新,所以我们建议管理员应当定期对服务器、网站和应用系统进行扫描。

9.根据用户反馈不断丰富使用文档,结合QQ群的沟通,对用户遇到的问题给出建议。

10.漏洞扫描工具对管理员的触动较大,很多管理员通过自行扫描看到扫描结果后才发现自己原先认为很安全的服务器、网站和应用系统实际上存在着较多漏洞,提高了管理员的安全意识,通过扫描结果的修复建议和修复后重新验证的过程,也让管理员的安全知识得到了提升。

11.漏洞扫描工具内置了口令猜测和配置核查等模块,并有完善的修复建议,对于不存在漏洞的服务器的加固也很有帮助。

12.漏洞扫描工具超级管理员应当密切关注漏洞扫描工具的使用情况,对所有用户扫描的结果进行观察,识别校内的风险点,并督促相关管理员及时进行整改。

厦门大学通过安全服务外包和采购漏洞扫描设备并开放给二级学院管理员使用的方法,对信息中心的日常安全运维工作形成了有效补充。开放漏洞扫描设备提高了设备的使用率和使用价值,提高了服务器、网站和应用系统从漏洞发现、分发、验证、到修复的效率。通过QQ群组建立了内部管理员安全交流群,探索全民参与网络安全的道路。

  (作者单位为厦门大学信息与网络中心)

本文刊载于《中国教育网络》2018年4月刊


(0)

相关推荐

  • 应用系统安全评估指南

    应用系统安全评估指南目的是规范应用系统上线前安全评估工作,确保信息系统安全评估的充分性. ▼▼检查过程 应用系统上线前应进行全面的安全评估,确保应用系统符合相关安全要求,主要活动包括:配置检查.工具扫 ...

  • 安全运维之APT攻击

    APT攻击简介 APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的"恶意商业间谍威胁".这种行为往往经过长期的经营与策划,并具备高度的隐蔽性.A ...

  • 鲁大师软件是什么有什么用

    显卡 最佳答案 鲁大师(原名:Z武器)是一款个人电脑系统工具,支持win2000以上的所有windows系统版本.它是适合于各种品牌台式机.笔记本电脑.DIY兼容机,拥有硬件检测,可以提供中文厂商信息 ...

  • 第三方智能手表应用有漏洞,攻击者或可使病患用户过量服药

    现在愈来愈多人喜欢使用智能手表,因为其可以提供不少传统手表都做不到的功能,例如查看微信聊天纪录.接电话.监测心跳血压等.不过,有的手表本身相配套的应用可能会存在安全漏洞,使攻击者可以向用户,特别是病患 ...

  • 关于推进高校二级学院治理体系和治理能力现代化的思考

    西安交通大学化学工程与技术学院院长 魏进家 坚持和完善中国特色现代大学制度,推进高校治理体系和治理能力现代化是扎根中国大地办好中国特色高水平大学的重要保证.二级学院作为高校的基本办学主体和实施人才培养 ...

  • 工具|Windows主机漏洞扫描工具v2

    0x01 前言 之前发布了一篇Windows主机漏洞扫描工具v1,目前由于微软官方更新了查询安全更新的站点,因而本工具需要进行相应的更新. 微软官方安全通知网站: https://msrc.micro ...

  • 厦门大学公共事务学院

    厦门大学公共事务学院 中文名称 厦门大学公共事务学院 创办时间 2003年11月 所属地区 福建省·厦门市 现任校长 张荣 主管部门 厦门大学 硕士点 6个 个 博士点 5个 个 博士后流动站 3个 ...

  • 符号执行,从漏洞扫描到自动化生成测试用例

    背景 ThoughtWorks安全团队曾经在可信Frimware领域做了一些探索和研究.背景大概是这样的:整车制造过程中,常常会引入供应商的部分设备,如车载娱乐系统,但是出于知识产权的原因,这些供应商 ...

  • 一年激增近200所学院!职校为何打响二级学院建设争霸赛?

    2019年以来,高职院校持续扩招.为满足扩招需求,职业院校也在扩大办学规模.建设二级学院是职业院校深化发展的重要途径.二级学院在全面提高教育质量.办出水平和特色方面发挥着越来越重要的作用. 心系职教的 ...

  • 厦门大学筹建电影学院,是为了增强综合实力,还是不务正业?

    厦门大学筹建电影学院,是为了增强综合实力,还是不务正业?

  • “重心下移”激活二级学院办学活力

    作为高校治理的重要组成部分,二级学院治理不仅是高等教育改革与发展的重要主题,也是当前高校治理的热点之一.基于目前部分高校二级学院存在治理理念滞后.党政二元结构难以耦合.学术权力与行政权力矛盾.配套制度 ...

  • 正式亮相!这所高校12个二级学院全名称正式发布

    来源:安徽新华学院 编辑:双一流高校 12月2日,安徽新华学院二级学院全名称正式对外发布.大数据与人工智能学院.城市建设学院.电子工程学院.智能制造学院.文化与传媒学院.财会与金融学院.国际教育学院. ...

  • 这所省部共建高校,牵手211大学:共建二级学院及研究生院!

    来源:浙江水利水电学院.网络 等 编辑:双一流高校 11月22日下午,河海大学与浙江水利水电学院合作办学战略协议签订仪式在杭州举行.河海大学校长徐辉.副校长董增川,浙江省水利厅二级巡视员(教授级高级工 ...