如何有效实施基于漏洞扫描器的主机安全策略

　　 　1．引言 　　

　　获得强健的主机安全，是每一个系统管理员的理想。但是，系统管理员在回答自己的主机系统是否安全这个问题时，必须使用漏洞扫描器实际度量系统后才能准确回应。在系统管理员辛辛苦苦地修改了主机系统配置之后，也必须使用漏洞扫描器来评价修改的效果。笔者认为漏洞扫描器是审核和评价主机安全性的一个重要工具。本文首先介绍了漏洞扫描器的概念和工作原理，然后从网络系统管理员的角度提出了一个基于漏洞扫描器的主机安全策略。 　　

　　2．漏洞扫描器 　　

　　2.1 概念 　　

　　在Internet安全领域，在黑客眼里，漏洞扫描器可以说是最基本的武器，他们认为“一个好的TCP端口扫描器相当于几百个合法用户的口令”。而在系统管理员的视野里，漏洞扫描器可以说是最好的助手，能够主动发现Web服务器主机系统的漏洞，在主机系统安全保卫战中做到“有的放矢”，及时修补漏洞，构筑坚固的安全长城。 　　

　　漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器，系统管理员能够发现所维护的Web服务器的各种TCP端口的分配、提供的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。同时，漏洞扫描器还能从主机系统内部检测系统配置的缺陷，模拟系统管理员进行系统内部审核的全过程，发现能够被黑客利用的种种误配置。我们将前者称为漏洞扫描器的外部扫描，是因为它是在实际的Internet环境下通过网络对系统管理员所维护的Web服务器进行外部特征扫描；将后者称为漏洞扫描器的内部扫描，是因为它是以系统管理员的身份对所维护的Web服务器进行内部特征扫描。实际上，能够从主机系统内部检测系统配置的缺陷，是系统管理员的漏洞扫描器与黑客拥有的漏洞扫描器之间在技术上的最大区别。黑客在扫描目标主机漏洞阶段，即在攻击准备阶段，是不可能进行目标主机系统内部检测的。 　　

　　2.2 工作原理 　　

　　对于外部扫描来说，它通过远程检测目标主机TCP/IP不同端口的服务，记录目标给予的回答。通过这种方法，可以搜集到很多目标主机的各种信息（例如：是否能用匿名登陆、是否有可写的FTP目录、是否能用TELNET、HTTPD是否是用root在运行）。在获得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后，与漏洞扫描系统提供的漏洞库进行匹配，满足匹配条件则视为漏洞。此外，通过模拟黑客的进攻手法，对目标主机系统进行攻击性的安全漏洞扫描，如测试弱势口令等，也是实施外部扫描的方法之一。如果模拟攻击成功，则可视为漏洞存在。对于内部扫描来说，它通过以root身份登录目标主机，记录系统配置的各项主要参数，分析配置的漏洞。通过这种方法，可以搜集到很多目标主机的配置信息。在获得目标主机配置信息的情况下，将之与安全配置标准库进行比较和匹配，凡不满足者即视为漏洞。 　　

　　3．基于漏洞扫描器的主机安全策略 　　

　　3.1 漏洞扫描器的使用权 　　

　　漏洞扫描器的使用权归root所有。对于普通用户，内、外扫描所获得的漏洞数据应该是保密的。黑客往往来自网站内部，他们的威胁也是最大的。从本质上分析，漏洞扫描器是系统管理的辅助工具。 　　

　　目前，Internet上各种扫描软件层出不穷，虽然大部分功能单一陈旧，漏洞搜寻准确度不高，但人人可以获得和使用，对Web服务器形成了一定的威胁。对于严格的系统管理，非系统管理用途的漏洞扫描可以视为不友好的举动，应禁止普通用户使用漏洞扫描器扫描本网站内部主机以及其他网站的主机。 　　

　　3.2 漏洞扫描器自身的安全性 　　

　　漏洞扫描器应运行在网站外部网，且摆放于防火墙之后，可以划归于“非军事化区“内。同时，运行漏洞扫描器的计算机应禁止来自Internet的外部访问。总之，避免漏洞扫描器遭到黑客的攻击。 　　

　　另外，漏洞扫描器软件和它生成漏洞报告文件的读写及执行权限应只属于root。避免普通用户接触漏洞报告文件。漏洞扫描器软件和漏洞库的升级工作一定由root用户亲自完成。 　　

　　3.3 漏洞扫描器的使用方法 　　

　　（1）制定扫描周期表 　　

　　漏洞扫描工作是系统管理员的日常工作之一，应制定科学的扫描周期。对于规模较大的网站，漏洞扫描耗时巨大，日常周期以一周为宜。制定扫描周期表应体现下列原则：　　

　　● 与系统配置修改挂钩，当配置修改完毕即执行漏洞扫描； 　　

　　● 与漏洞库及漏洞扫描器软件升级挂钩，当升级完毕即执行漏洞扫描； 　　

　　● 与漏洞修补工作挂钩，当修补工作完毕即执行漏洞扫描。 　　

　　（2）制定漏洞修补措施 　　

　　漏洞扫描工作是主机系统安全的初期工作，是发现漏洞的过程。如果发现漏洞却不去修补，漏洞扫描就毫无意义。漏洞修补措施的原则是： 　　

　　● 漏洞报告分析，主要分清漏洞产生的原因、系统管理员误配置、系统和软件自身的缺陷、黑客行为（如木马程序）； 　　

　　● 对于系统管理员误配置，应及时参考有关手册，得出正确的配置方案并对误配置进行更正； 　　

　　● 对于操作系统和应用软件自身的缺陷，应该向开发商寻求升级版本或有关补丁（patch）； 　　

　　● 对于黑客行为，关键要弄清楚其留下的木马或后门（Back Door）的原理和位置，并及时清除。 　　

　　3.4 漏洞扫描器的维护 　　

　　漏洞扫描器维护工作的核心是漏洞库和系统配置标准规则的升级。这与PC杀毒软件相似。对于漏洞库长期没有得到升级的漏洞扫描器，检测结果的可信度大大降低。著名的扫描器satan是一例，自1995年诞生以来，升级次数不多。目前看它的功能已显单薄，王者之位已经让位于ISS等后起之秀。 　　

　　漏洞库和系统配置标准规则的升级主要来自三个方面： 　　

　　● 对于商业软件，可从开发商手中获取升级信息； 　　

　　● 系统管理员直接从诸如www.cert.org等安全网站下载漏洞信息，自己进行升级； 　　

　　● 系统管理员根据自己的工作经验特别是与黑客较量中获得的经验教训，自己编制漏洞库以进行升级。 　　

　　4．结束语 　　

　　漏洞扫描器是审核和评价主机安全性的重要工具，但在具体应用中，漏洞扫描器必须和有效的网络安全管理结合起来，这样才能最大限度地发挥它的效能，保护主机系统的安全。因此，制定有效而合理的基于漏洞扫描器的主机安全策略是非常必要的。