降低网络隐患 网络漏洞扫描系统必要性

降低网络隐患 网络漏洞扫描系统必要性（精选7篇）

篇1：降低网络隐患 网络漏洞扫描系统必要性

【赛迪网-IT技术报道】【社区整理】随着互联网飞速发展，越来越多的企业都通过网络开展业务，许多企业甚至感到离开网络，业务就无法正常运行，网络安全的重要性由此可见一斑，因此，企业不惜代价地在网络安全方面投入资金，购买防火墙、电子邮件防毒系统或桌面防毒系统，来阻止病毒泛滥和 攻击。在许多企业、甚至系统集成商看来，这样的 网络在安全方面可以高枕无忧了。

但是由于现有的企业网络安全基础设施存在缺陷，因此它们对新型的病毒和攻击无法防御。病毒传播和攻击的途径不再只是通过电子邮件传播，而是隐藏在复杂的应用层数据中，通过Web网页浏览、WebMail系统、聊天软件、P2P文件共享应用进行传播，但企业现有的安全设施还不能对这些传播渠道进行控制。现在，IT经理们不得不重新审视企业的网络安全系统。

企业网络面临新问题

当前企业网络面临以下几个方面的问题，如果处理得不好将直接导致企业生产力下降，最终损失的是企业的利润。

Web滥用降低企业生产力Web的广泛使用极大地帮助企业提高生产力，获取信息的速度前所未有。但互联网是一个大染缸，各种各样的内容充斥其中，新闻、购物、体育、色情等，用户一点鼠标，就有可能被带到与工作无关的站点，这必然会导致员工工作效率降低，进而导致企业生产力的下降，严重的还可能将病毒带入公司内网，或被攻击者植入后门，导致灾难性的后果。因此，对不合适的内容进行过滤、对恶意代码和病毒进行强制清除，管理、监控并实时督导员工正确地使用互联网，是提高企业利润的当务之急。

聊天工具的安全问题

这里所说的聊天工具是指MSN Messenger之类的实时信息交换工具，之所以这样称呼是因为它们最初是为朋友间聊天而出现的。而现在，这类聊天工具已成为一些企业信息交流的主要工具。然而，权威人士研究发现，这些聊天系统在设计时都着重考虑了灵活性，而没有考虑到安全问题。一个明显的事实是几乎所有免费聊天工具都具备绕过防火墙的功能，防火墙无法对其进行阻挡。而且，聊天用户之间的信息交换是穿过公网，通过聊天服务器转发，信息在网络上清楚可见，这就容易导致企业机密信息被窃取。如前所述，聊天工具也已成为病毒大量传播的一种途径。但在线聊天工具高效、方便的特点，正迅速被越来越多的人所接受，单纯地屏蔽是不合适的，关键是采取一种有效的聊天控制策略并加以监管，

点对点文件共享应用的安全问题

点对点文件共享应用（P2P），在中国称为BT下载，它是近年来迅速流行起来的一种互联网文件共享应用。这种应用中，每个用户既是客户端又是服务器，每个人都可从其他用户处下载自己需要的数据，也可将自己已下载的数据共享给其他需要这部分数据的用户。这样，由于这种应用消除了传统下载方式的服务器瓶颈，下载人数越多，下载速度就越快。P2P共享的文件通常是拥有版权的音乐、电影、商业软件等。然而，在企业网络中，这种应用没有理由存在，因为它不仅会对网络可用性造成严重影响，还能成为病毒传播的途径，其共享文件带来的版权问题也有可能给企业带来潜在的法律责任。因此，从各方面考虑，有必要对其进行屏蔽和控制。

代理服务解决问题

为什么防火墙不能有效解决以上那些问题呢？因为防火墙的主要功能是阻挡来自外部的攻击。企业现在使用的防火墙大多是包过滤型，或者是高级一些的状态检查型防火墙，其主要功能是根据管理员设定的规则进行数据包过滤，将攻击者挡在网络的外面。对由于内部人员访问外部资源而引起的入侵攻击行为大都束手无策。

防火墙不能有效进行应用层检查。当前企业网面临的新问题具有一个共同特征，即需要应用层的控制和管理问题。但现在的防火墙都是工作在网络层，虽然有的防火墙对部分协议实现了应用层处理功能，但由于其硬件和操作系统是针对数据包过滤和状态检查，使用专用芯片对IP地址和端口号进行快速匹配而设计的，如果要求防火墙将一个个传输的网络层数据包进行组装，并抽取其中的应用层数据，然后进行复杂的模式匹配，根本无法达到满意的性能。事实上，现在用户正在使用的防火墙，大部分只进行网络层检查，很少有用户会打开应用层检查功能，主要就是因为性能的问题。

对应用层检查最好的办法是使用新一代的安全代理专用设备代理专用设备就是代理用户的访问请求，由于所有用户访问流量都必须通过代理专用设备，就可在代理专用设备上针对用户、网络协议、时间等因素实施深层次的访问策略控制，并对违反策略的情形使用插入页面方式提醒用户。同时提供完整的访问日志、病毒扫描日志、聊天日志等，并经统计分析形成报告，尽早发现问题，使控制策略进一步完善。

安全代理专用设备是现有网络安全架构的一个重要的补充，但并不是取代  防火墙。新的网络安全观念认为应该用防火墙阻挡攻击者从正面的试探入侵，着重的是网络层的过滤；而安全代理专用设备管理和控制内部用户对外的访问，着重的是应用层内容的检查。两者相辅相成，达成全方位及最佳效能的安全防卫架构，重新定义企业网络安全前景。

★ 炼钢工程师简历表格

★ 网络推荐：营销智能系统的实践

★ 三维数字城市管理平台系统实践论文

★ 学会降低显示器辐射

★ 勤工俭学降低留学成本

★ 降低农产品成本 提高经济效益

★ 降低成本费用安全生产演讲稿

★ 如何降低无线电中波广播论文

★ 计划系统

★ 系统策划书

篇2：网络漏洞扫描系统的研究与实现

网络漏洞扫描系统是一把双刃剑,它可以用于网络系统安全评测,评估网络系统的安全性,对系统存在的漏洞提出修补的建议,这样可以防患于未然,因此进行网络漏洞扫描是网络安全防御的重要手段之一;同时,利用网络漏洞扫描系统的扫描结果,可以为攻击目标网络系统提供指导。因此,网络漏洞扫描系统也是网络攻击的重要武器之一。

2 系统设计

2.1 系统总体结构

鉴于网络的发展及安全的考虑,系统设计采用Client/Server模式。Server端负责运行扫描的进程,采用插件的形式,每个插件执行一个特定的扫描,用户可方便添加插件;Client端用来配置管理服务器端,提供友好的交互界面,通过请求服务器进程实现对指定目标对象的扫描检测,最终得到漏洞的扫描报告。系统的总体结构如图1所示:

对于漏洞的扫描,现有的扫描系统基本是采用漏洞库的匹配。网络系统漏洞扫描的关键部分就是它所使用的漏洞特征库。通过采用规则的模式特征匹配技术,即根据安全专家对网络系统漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验,可以形成一套标准的网络系统漏洞库,然后在此基础之上构成相应的匹配规则,由扫描程序自动进行漏洞扫描。

2.2 漏洞扫描模块的体系结构

漏洞扫描模块由扫描引擎、扫描插件库、插件依赖知识库、扫描历史库四部分组成。

其中,扫描引擎根据端口提供的开放端口信息从扫描插件库中调用相应的扫描插件,然后根据插件依赖知识库中的插件依赖关系将不同端口对应的扫描插件组成不同的依赖关系树。扫描历史库以每个扫描配置文件为记录,每个记录文件保存已完成或被中断的扫描服务的各种属性,例如被测目标系统的IP地址、扫描的日期和时间、扫描目标设置、扫描结果、评估结果等。扫描插件库是网络漏洞扫描系统的灵魂,插件库中漏洞信息的完整性和有效性决定了扫描系统的功能,扫描插件的编制方式决定了扫描插件的更新方式,同时影响扫描系统的运行时间。

3 功能实现

漏洞扫描模块是整个网络漏洞扫描器的核心部分,其基本原理就是根据漏洞本身的特征码构造和发送数据包,然后根据对方的回应信息进行判断是否存在漏洞。首先初始化并建立Socket连接,然后根据得到的相关端口及对应的服务,来调用相应的漏洞扫描子模块。

3.1 数据包的捕获

数据包捕获功能用来在网络扫描的过程中截获并阅读位于TCP/IP中各个协议层上的数据包。数据包捕获的基本原理是利用Socket编程设置网卡为混杂模式(Promiscuous Mode),在该模式下可以截获所有的数据包,而不管其物理地址。数据包捕获的过程中会涉及到过滤,用来过滤掉那些目的IP地址不是本地主机的数据包。并对捕获的数据包进行解析,过滤掉除TCP、UDP和ICMP协议之外的数据包。之后将捕获的TCP、UDP或ICMP的数据包进行分析,并把解析结果发向对应的处理模块。

数据包捕获的实现过程如下所述:当捕获到一个网络数据包时,假设该数据包中的协议是TCP,则首先按TCP的包格式对该TCP数据包进行解析,从而得到该TCP数据包中的源IP地址、目的IP地址、源端口地址、目的端口号、序号、确认号、标志位等,将这些数据保存在一个为TCP数据包结构体中,然后将该结构体以参数的形式传给下一步的数据分析模块[2]。

3.2 数据包的处理

当捕获到一个数据包,并对该数据包进行解析后,如果该数据包是一个TCP协议的数据包时,就将其解析结果以TCP数据结构体的形式发送给TCP处理模块。

TCP处理模块接收到新的TCP数据包后,分析程序把TCP数据包的结构体与所有TCP数据包有关的攻击特征规则进行匹配,如果发现与某条特征规则相符,根据是否需要有统计信息支持,采取相应的处理。紧接着,查找数据包的源IP地址是否己经在IP地址链表中存在,如果没有的话就将该IP地址加入到链表中,同时把该数据包的目的端口加入到该IP地址对应的端口链表中。

如果该IP地址己经存在于IP地址链表中,但目的端口没有存在端口链表,则将目的端口增加到端口链表中。如果数据包中的标志位是SYN=1、ACK=O,则将该端口的SYN标志位的参数SYNflagNum数值加1。如果数据包中的标志位是SYN=O、ACK=1,表示一次正常的TCP连接,就将该端口的参数SYNflagNum的数值减1。

3.3 扫描进程的后台运行

本模块是一种后台运行并且独立于所有终端控制之外的进程,也称为守护进程,用于定时、自动扫描。由于守护进程独立于所有的终端控制,无法像通常程序那样将信息直接输出到标准输出和标准错误输出,为此,定义了syslog()函数。

void syslog(int priority,char*format,…);

在一个进程使用syslog()的时候,应该先用openlog()打开系统记录:

void openlog(const*ident,int options,int facility);

参数ident是一个字符串,通常它是程序的名字。Options可以是下面的值:LO G_CONS:如果不能写入LOG值,则直接将其发送给主控台;LOG_NDELAY:直接建立SYSLOGD进程而不是打开LOG文件;LOG_PERROR:将信息写入LOG,同时也发送给标准错误输出;LOG_PID:在每个信息中加入PID值。用一个后台运行程序的基本实现过程如下:

(1)关闭文件描述符

for(i=0;i

(2)甩开控制终端

(3)脱离会话和进程组

使用为新会话setid设置领头进程。因为setid要求调用进程不是会话的领头进程时才有效。因此,首先可用fork派生,并结束父进程。之后调用setid,子进程成为新会话的领头进程,从而与原有会话、进程组、tty脱离。但是,为避免作为新会话领头进程的子进程在打开一个终端设备时,拥有一个控制终端,再次派生,并结束父进程,可让子进程成为非会话领头进程。基本的过程如下:

4 系统测试

测试对象:漏洞扫描攻击的通信可靠性。测试方法:控制端在不同网络负载下向受控端发送控制命令,检测受控端是否能收到并执行。

测试对象:网络数据包通信量受控端所受的影响。测试方法:受控端在不同网络负载下对网络数据包进行接收过滤,检测CPU使用率的变化。

从上面的测试结果可以看出网络漏洞扫描系统的控制端和受控端能够进行隐蔽可靠的通信,扫描在受控端完全隐藏,各模块运行正常,受控端操作系统无明显变化和异常特征。

摘要：从网络漏洞扫描系统的结构设计入手,探讨了漏洞扫描系统模块的组成,并对系统中的主要功能实现作了研究,测试结果表明了系统的有效性。

关键词：漏洞扫描,数据包捕获,网络安全

参考文献

[1]罗永昌.网络系统安全漏洞扫描浅析[J].商丘职业技术学院学报,2006,02:19-22.

篇3：降低网络隐患 网络漏洞扫描系统必要性

关键词：网络安全；Nessus；漏洞扫描；Web

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)12-21575-03

Design and Implementation of Network Vulnerability Scanning System Based on Web

YANG Zhong-yi

(Hunan Vocational College of Commerc, Changsha 410205, China)

Abstract: Network Vulnerability Scanner has become an indispensable tool for security administrators. Based on the current network vulnerability scanning tools inadequate, the paper gives the Web-based network vulnerability scanning system that is more adapt to security administrators.

Key words: Network Security; Nessus; Vulnerability Scan; Web

1 引言

随着互连网的日趋普及，网络的重要性和对社会的影响也越来越大。网络安全正日益成为国内外网络计算机专家们研究的焦点。越来越多的系统都存在着不同程度的安全漏洞，从而遭到入侵攻击的威胁。但如何使漏洞在被恶意利用之前就被发现?安全扫描技术是一个良好的技术解决方案。

目前，网络安全问题成为因特网上备受关注的焦点，安全漏洞的存在是导致计算机网络安全问题最直接的原因之一，对待漏洞最可取的方法是尽早发现存在的漏洞并修补它们。安全扫描技术为安全漏洞的发现提供了技术支持。

随着安全扫描技术的发展，目前出现了许多不同种类的安全扫描器（系统）。所谓安全扫描器，是一种通过收集系统的信息来自动检测远程或本地主机安全性脆弱点的程序。基于安全扫描器的整体结构和采用的扫描检测方法的不同，安全扫描器主要可以分为两类：主机型安全扫描器和网络型安全扫描器。主机型安全扫描器主要是针对操作系统的扫描检测，通常涉及系统的内核、文件的属性、操作系统的补丁等问题，还包括口令解密等；网络型安全扫描器是针对远程网络或者主机的端口、开放的服务以及已知漏洞等。基于网络的安全扫描系统具有检测速度快、检测范围广、与操作系统无关、不占用受保护系统的系统资源等优点，目前已经出现了很多不同网络安全扫描器（系统），比较著名的如：

ISS Internet Scanner[1]作为商业的专用漏洞扫描器，技术特点是功能强大，漏洞检查集完备，图形界面友好，是集扫描、监视、漏洞修复于一体的安全评估软件。但Internet scanner系统升级较慢。

Nessus[2]是法国人Renaud Deiasion编写的。Nessus 是最好的免費网络漏洞扫描器，它可以运行于几乎所有的UNIX平台之上。它免费提供多达11000种插件，且永久升级。它的主要功能是远程或本地（已授权的）安全检查，客户端/服务器架构，GTK（Linux下的一种图形界面）图形界面，内置脚本语言编译器，可以用其编写自定义插件，或用来阅读别人写的插件。Nessus 3已经开发完成，其现阶段仍然免费，除非想获得最新的插件。

尽管出现了不少安全扫描系统，但这些系统的开发人员通常将重点放在这些系统的核心技术上，而忽略了系统操作的灵活性，便利性，使得用户操作、维护、管理这些系统很繁琐，而且系统检测的结果通常也不能满足不同用户的需求。本文设计和实现了一个基于Web的网络漏洞扫描系统，它能实时或定时地对所管辖的网络进行分段扫描，对扫描结果进行统一分析和风险评估，为网络管理员的漏洞检测提供极大的方便。

2 基于Web的网络漏洞扫描系统设计

2.1 体系结构

目前，网络漏洞扫描系统大都采用C/S或B/S的体系结构，这样的系统设计与实现均比较简单，但它的缺点是交互性比较差，扩展性不好，操作管理比较繁琐，系统的升级维护比较复杂。为了设计一个具有灵活性、安全性和可扩展性的网络漏洞扫描系统，本系统采用了一种由浏览器端、扫描控制端和扫描服务器端组成的分布式网络漏洞扫描系统体系结构。扫描服务器被部署到网络的各个个逻辑子网中、由扫描控制端进行集中管理，可实现分布式网络漏洞扫描，所有用户操作通过浏览器来完成。整个系统的系统结构如图1所示：

图1 网络漏洞扫描系统结构

扫描服务端作为扫描任务的执行者，对目标主机或子网进行安全扫描。扫描控制端是真正的扫描发起者，它虽然没有直接执行扫描任务，但是它负责将每个扫描服务端扫描的内容配置好再传送给扫描服务端进行扫描，然后再接收扫描报告。管理员可通过浏览器端在扫描控制端上管理各分布扫描服务端的任务配置和执行。

该体系结构中每一层均实现一个比较独立的功能，我们可以方便地向每层添加不同的资源来扩充扫描服务端的规模，而不会影响到其它的层面。在这种结构中，我们可将3个层面都部署在一个主机上，也可将每个层面部署在独立的主机上，但是为了保证各层的独立性，提高系统的性能，通常我们将各层分别放置在不同的主机上，使得各层不会消耗其它层面的系统资源。同时，这种部署方式，还可以更有效地控制系统的权限，增加系统的安全性。

2.2 系统功能设计

(1)浏览器端：系统的所有程序都在服务器端运行，所有的功能都可以通过Web浏览器，在远程进行访问。

(2)Web服务器：Web服务器提供远程客户机利用浏览器进行访问，通过浏览器下载HTML页，利用CGI脚本程序完成对整个系统的管理，如负责授权用户登录，进行数据库管理（制定扫描任务，维护Web用户账户，维护扫描策略，维护扫描目标集，维护扫描服务器集，查询扫描结果等），更新漏洞插件，控制和显示扫描任务的状态等。它主要由用户管理、参数设置模块、任务管理模块、报告管理模块、插件管理模块等部分组成。

①用户管理模块：系统用户管理模块是整个扫描器系统的权限管理内容，它能够对系统的用户进行权限设置（如可用扫描服务器，可扫描地址范围），以达到保护系统的目的，包括系统用户的划分、系统用户的添加和删除、用户的认证工作等。

本系统设置三种类型的用户：“管理员”、“扫描用户”和“普通用户”。不同类型的用户具有不同的权限。需要拥有授权的用户名和密码才能够登录系统。

②参数设置模块：用户可以设置扫描服务器的参数、选择扫描插件建立起扫描策略，形成扫描参数文件。它是扫描任务信息的重要组成部分，在向Nessus服务器提交扫描任务时被提交给服务器。

③任务管理模块：扫描任务模块的主要任务是对扫描任务建立与编辑和扫描任务过程控制。一个扫描任务信息包括扫描参数文件、扫描服务器列表、扫描目标列表、任务调度时间周期和执行时间、任务状态等。它保存在数据库中，方便在用户对其管理。扫描可以实时进行，也可定时进行，扫描过程中，用户可以暂停或终止扫描任务。

④报告管理模块：根据用户的要求，从数据库中导出扫描结果信息，满足用户对扫描结果的查询需要。如果该主机存在漏洞，网络安全管理员则把相应的扫描结果信息通知该主机管理员，以便及时对该机采取相应的补救措施。

⑤扫描插件管理模块：管理员通过该功能模块实现扫描服务器从扫描控制台更新漏洞插件脚本。

(3)控制台接口：连接扫描服务端，发送扫描任务文件和扫描任务操作指令，获取服务器扫描任务状态和扫描结果，把任务状态和结果存入数据库。

(4)扫描服务器：它的主要功能是接收和执行扫描控制台的指令，如接收到扫描請求，就会根据扫描策略调用漏洞扫描插件进行外部扫描和模拟入侵，将扫描结果信息返回给扫描控制台。

(5)数据库：数据库包含如下方面的信息：登录Web的用户账户信息，扫描任务信息，扫描策略信息，扫描目标集信息，扫描服务器集信息，漏洞插件信息，扫描结果信息等。采用数据库可实现对数据多样化的查询和维护。

3 基于web的网络漏洞扫描系统实现

该系统总体上主要由4个核心功能模块构成：扫描服务器、扫描控制台、数据库和Web服务器。对于扫描服务器模块来说，我们可以利用C语言的API函数库(如Libpcap)基于Socket来开发自己的扫描服务器模块，也可以使用现有的开源的扫描系统为核心，本系统采用Linux平台下的Nessus 3作为扫描服务器。扫描控制台模块使用Linux平台下的Nessus字符客户端[3]，与扫描服务器Nessus通信。数据库可采用多种关系型数据库，本系统使用了MySQL数据库作为数据库，它也支持远程的连接访问。Web服务器为用户提供一个操作界面，Web服务器工具使用Apache，数据库接口使用Adodb。本系统是基于Nessus系统设计和实现的，故下面将描述Nessus字符客户端的工作原理、数据库模块的实现和Web服务器模块的实现。

3.1 Nessus字符客户端

Nessus字符客户端以命令行的方法直接向Nessus服务器提交指定扫描参数文件、扫描目标、扫描服务器地址、扫描服务器端口、输出格式以及输出文件等等，服务器根据这些参数进行扫描。一个标准的扫描命令格式如下：

#/opt/nessus/bin/nessus -c -T –q [-pPS]

-c指定扫描参数文件，如不指定则使用系统用户主目录下的“.nessussrc”文件。-T 指定输出格式，可用的格式有“html”、“xml”、“text”、“nsr”等等。–q指定一个标准的请求列表，列表的格式为：扫描服务器IP地址、扫描服务器端口、nessus用户名、nessus密码、保存扫描目标主机列表的文件、输出文件，各个段之间用空格隔开。

本文利用nessus字符客户端实现与Nessus服务器的交互。

3.2 数据库模块

数据库服务器主要是把用户账户信息、扫描任务文件信息、扫描策略信息、扫描服务器信息、扫描目标地址信息和扫描结果信息等导入到一个关系数据库中，方便系统对这些数据的管理。本系统可支持很多种不同的关系数据库，我们采用的是MySQL数据库。

从MySQL的官方网站上下载MySQL数据库的源文件，然后编译源文件后进行安装，或者我们可以直接下载RPM包文件，直接进行安装。如果需要在主机上操作MySQL数据库，我们还需要安装MySQL的客户端工具。安装完毕后，可启动MySQL服务，进入其命令行状态，创建存放网络漏洞扫描系统信息的数据库，并建立网络漏洞扫描系统所需要的各种数据表，用来存放各类数据信息。从系统的安全性方面考虑，我们需要为安全扫描系统专门创建一个新的数据库用户，用以连接该数据库，查询、更新系统数据。

3.3 Web服务器模块

Web服务器为用户提供一个操作界面，Web服务器应用程序主要功能模块包括用户管理、参数设置、任务管理、报告管理、插件管理等部分。系统使用php脚本语言，实现Web服务器功能页面，使用perl脚本语言完成Web服务器功能扩展程序，Web服务器工具使用Apache Http Server。下面介绍Web服务器任务扫描的具体实现。

(1)扫描任务流程

一个标准的扫描任务流程如图2所示。

图2 扫描系统工作流程

(2)扫描参数文件的格式

扫描参数文件是纯文本文件，由一些参数段组成。下面是一个参数段的例子：

begin(SERVER_PREFS)

max_hosts=20

max_checks=4

port_rang=1-1024

end(SERVER_PREFS)

表1列出了几个主要的参数段以及用途。实际上许多参数可以忽略，只需要关心那些最可能改变的内容。例如端口范围、插件列表等等。

表1 扫描参数文件的格式

用户通过Web界面设置扫描参数，形成一个扫描参数文件。一个扫描任务信息包括扫描参数文件、扫描服务器列表、扫描目标列表、任务调度时间周期和执行时间、任务状态等。用户建立扫描任务后，需设置任务执行时间；系统自动把扫描任务信息存入数据库。

(3)任务时间调度周期

任务调度的时间周期有一次、每天、每周、每月等几种类型。任务的调度是通过使用脚本perl编辑Linux系统的crontab，调度Nessus字符客户端扫描命令来实现的。

4 结束语

针对网络管理员操作的需求，本文在网络漏洞扫描工具Nessus的基础上设计并实现了一个由扫描服务端、扫描控制端和浏览器端组成的分布式网络漏洞扫描系统。该系统具有如下特点：①美观友好、简单易用的全中文化图形界面；②采用浏览器/服务器结构，可移植性、可扩展性好；③支持多Nessus服务器分布扫描；④多用户分级管理；⑤可以在指定时间自动完成定时扫描任务或周期扫描任务。

实际运行表明：该系统具有良好的性能，确实能方便网络管理员的工作。

参考文献：

[1]http://www.iss.net/.

[2]http://www.nessus.org/.

[3]http://nessuswx.nessus.org/.

篇4：降低网络隐患 网络漏洞扫描系统必要性

信息技术的快速发展极大的方便了人们的生活，同时信息系统的安全问题也给人们带来了前所未有的烦恼。防火墙、入侵检测、数据加密、通信加密等技术这些逻辑隔离的手段并不能从根本上保证网络的安全。物理隔离机制虽然免除了来自互联网的上的各种攻击，却抵挡不住来自内部网络的入侵。据统计表明，对于网络系统安全的威胁有80%来自网络内部，其成功的可能性要远远大于来自于Internet的攻击, 而且内部攻击的目标主要是获取高级别的秘密信息，其破坏性要远远大于破坏系统本身。因此检测、修补物理隔离网络中的系统漏洞对于防范内部攻击、确保信息安全是一个非常紧迫而又亟待解决的问题。

然而，目前的网络漏洞检测系统，无论是基于主机的漏洞检测系统还是基于网络的漏洞检测系统，虽然都可以检测出网络系统存在的漏洞，但对于漏洞的修补还需要另外的解决方案。特别是对于物理隔离网络来讲，从漏洞发现到从互联网上下载补丁安装，是需要一段时间的。在这段时间内，网络系统的漏洞仍然存在，这种公开的漏洞信息更容易成为一些不法分子攻击的目标。另外对于一些小型的物理隔离网络，配置专门的漏洞扫描检测系统的成本代价太高，可操作性不强。基于此，本文提出了一种基于扫描代理的轻型漏洞扫描与修补系统，运行的成本低，对网络主机的影响小，能实现对物理隔离网络内主机的漏洞扫描及针对漏洞的修补任务。

1、漏洞扫描与修补系统设计模型

系统将大规模的物理网络划分为若干个逻辑子网，并在每个逻辑子网中安装扫描代理，由控制中心集中管理的方式，来实现对网络系统漏洞主机的检测与修补功能。分布在个各子网中的扫描代理负责对所在网段内的主机进行扫描，从而避免了防火墙等保护系统的访问限制，能够获得精准的扫描结果。由于采用控制中心集中控制，各移动代理分布扫描的机制，减少对网络资源的占用，使得本系统扫描效率大大提高的同时，也增强了整个网络系统的整体风险防范能力。

1.1 漏洞扫描系统的的逻辑模型

该系统分为3个子系统：用户界面、控制中心和扫描代理。如图1

用户界面：主要为WEB服务器，负责人机交互, 是系统的用户接口部分。管理员通过用户界面可以设置扫描目标, 针对不同的网络状况形成不同的扫描策略, 通过网络对移动代理的远程控制，实现代理模块的维护及更新，以及查看扫描报告。

控制中心：控制管理模块、通信模块、列表管理模块、数据库管理模块、数据库等组成；负责制定扫描任务、获取扫描报告，记录对网络内主机维护情况并对补丁库进行升级等。

(1) 控制管理模块：主要用于处理扫描代理发送来的主机信息，同时根椐信息制定相应的漏洞扫描策略；并结合补丁列表组成漏洞知识定义集合发送至移动代理。还负责对扫描代理群的调度，实现对目标网络的扫描修补任务。

(2) 通信模块：采用Socket技术，实现控制中心系统与扫描代理之间的信息传递。主要是接收扫描代理回传的各类信息，并上报控制管理模块。传递控制模块对移动代理的各项指令，及向主机发布补丁程序。

(3) 数据库管理模块：用于对数据库中的各类信息的调用、查询、修改、增加、删除的管理任务。依据控制管理模块制定的修复策略生成相应的补丁程序序列，为补丁分发模块进行补丁程序投送做准备。

(4) 列表管理模块：根据数据库中的补丁程序的信息对补丁列表中的记录进行更新等操作。

(5) 数据库：主要用于记录网内各个主机的相关信息以及存放漏洞补丁程序。这些补丁程序一般是通过对各软件公司发布的补丁收集而来的。补丁库中的补丁程序是按照补丁发布的时间先后顺序存储的, 以便对其进行等管理。

1.2 扫描代理的逻辑组成

扫描代理是完成漏洞检测的主要部件，主要根据控制中心制定的扫描任务携带相应的补丁列表对目标网络内种主机进行扫描；扫描各主机上未安装的补丁程序，向控制中心报告扫描结果，主动从数据库中下载相应的补丁程序，并自动安装修补主机漏洞；将修补结果上报控制中心。

它是具体执行扫描的软件实体, 分为通信模块、控制管理模块、传播模块、状况检测模块、补丁连接模块和补丁列表六大部分, 具体逻辑组成如图2所示。

通信模块：主要实现信息的传递通信。它一方面将控制中心系统传来的用户扫描请求、控制信息及时传送至扫描代理后端的相应模块, 另一方面又把扫描的结果反馈给控制中心系统。

控制管理模块：是移动代理的核心，它的功能主要有:接收扫描代理前端传来的扫描请求，完成扫描代理的分发；接收控制中心传来的补丁列表，实现漏洞扫描的组织与情况上报。

传播模块：主要是实现扫描代理的分布式基础，分为第一主机安装模块和其它主机推进模块。第一主机安装模块的功能主要是对子网内的某台主机进行强代理安装，此代理不仅具有扫描本机漏洞的功能，而且还具有扫描子网内定制IP地址主机的功能，如果发现主机存在就对主机进行一般扫描代理安 (此代理功能只具有漏洞扫描和修补功能，无法实现对网络IP地址的扫描)

状况检测模块：主要是执行从控制中心接收的补丁列表信息，用其对目标主机进行漏洞检测。本系统中的漏洞检测基于系统信息收集的结果, 根据不同的系统信息所对应的漏洞定义来调用相应的补丁列表，这样可以避免不必要的列表调用，提高了漏洞检测的效率。

补丁列表：用于记录补丁数据库中的补丁信息，以便在扫描过程中与主机已打补丁情况进行比对。

2. 系统的工作过程

控制中心的工作流程主要有：第1步接受用户申请或者主动定制网络漏洞扫描任务；第2步安装扫描代理到目标网络，扫描网络中目标主机的存在的漏洞。第3步接收扫描代理反馈回的各种信息；第4步，接受代理传回的补丁程序下载请求，向目标主机发布补丁程序。第5步接收补丁修复的反馈信息，并添加到主机信息数据库中。

移动代理的工作流程主要有：第1步强扫描代理安装到第一主机，扫描目标列表内的IP地址。第2步发现IP地址存在主机，对其进行一般扫描代理安装。第3步对所感染主机已经安装补丁情况与补丁列表进行比对；第4步发现未安装补丁，向控制中心报告，并从控制中心下载相应的补丁到主机上运行安装；第5步将主机更新的信息汇报控制中心。

3. 总结

物理隔离网络漏洞检测与修复系统是以分布式扫描代理为核心, 面向异构网络平台而构建的。扫描代理的分布性使其适用于对复杂网络进行快速、有效的安全测试的特点；基于列表的扫描模块更易于其功能的扩充与扩展。该系统还提高了随着网络结构及状况地变化而动态调整扫描系统的灵活度。

摘要：针对企业局域网络因与国际互联网隔离, 对软件供应商发布的漏洞信息接收不及时, 漏洞不能在第一时间内得到修补的状况, 提出了一种基于扫描代理的漏洞扫描与修补系统。把网络划分为若干逻辑子网, 应用扫描代理技术检测子网内各主机的漏洞, 并从控制中心下载补丁程序修补漏洞, 具有扫描速度快、针对性强、对网络影响小、实用性广、成本低廉的特点, 适合物理隔离网络中各主机漏洞发现与修补。

关键词：隔离网络,分布式,扫描代理,漏洞修补

参考文献

[1]陈东红, 王震宇分布式漏洞扫描系统的设计信息工程大学学报[J]2006, 7 (2) :144-146

[2]花青、高岭、张林分布式漏洞检测系统的设计与实现东南大学学报[J]2008, 38 (1) :94-99

[3]Chris hare, Karanjit Siyan.Internet防火墙与网络安全[M].北京:机械工业出版社, 1998

[4]Milliot Jim.Cryptography is urgent need[J].Weekly, 2000, 247 (12) :28-30

篇5：网络信息系统安全漏洞的探析

【关键词】网络信息系统；软件安全漏洞；硬件安全漏洞

网络与信息系统的安全已经危及到国家的政治、经济、文化、军事等方方面面，已经成为一个极其严重十分紧迫的社会问题。来自全球的黑客攻击重要的政府部门和军事部门，盗取国家机密和军事情报；攻击科研院所，窃取大量的技术资料；攻击公司企业，偷取技术资料和商业机密。许多国家也组建了网络部队，培养了大量的黑客队伍。现今网络攻击无处不在，无时不有，已成为一个严重的国际问题。本文将对网络信息系统的安全漏洞进行初步探讨和分析。

一、网络信息系统

所谓网络信息系统，就是在计算机网络环境中，各种硬件设备通过网络设备和网络链路互连，在网络操作系统和各种网络应用软件的控制下，具备数据信息采集、存储、传输、处理和输出等功能的计算机信息系统。

二、网络信息系统安全漏洞

（一）软件方面的安全漏洞

计算机网络信息系统在软件方面存在的安全漏洞有许多方面，主要有以下几类。

（1）非法读取受限文件

攻击者通过利用某些软件的缺陷漏洞，读取使用系统中他无权限使用的文件，这些文件很可能是机密的、重要的或私密的。如某些数据库或系统日志文件是全局可读的而且为明文，日志文件中存储了连接的用户名和密码，攻击者很容易读取到，这将造成十分严重的安全问题。

（2）远程存取非授权文件

黑客利用这些软件方面的缺陷漏洞，他可以在未经授权的情况下访问存取远程系统中的某些文件，窃取文件、破坏数据，甚至传播病毒与本马。该种缺陷主要是由一些有漏洞的CGI程序所引起的。如Windows IE存在很多漏洞，黑客可以十分容易的通过Web页面非法读取远程服务器中的文件和数据。

（3）拒绝服务攻击（DoS）

黑客利用软件程序的某些缺陷漏洞，能够直接或间接控制其他主机或服务器对某一特定系统发起狂轰滥炸，即拒绝服务攻击（DoS：Denial of Service），导致系统或相关的应用程序响应迟缓甚至瘫痪崩溃，而正常的业务反而得不到及时的处理不能执行。这种漏洞一般是系统本身或其守护进程有漏洞或对系统设置不正确所引发的。如Windows系统自带的Net Meeting程序存在一些缺陷，通过向它集中发送大量的数据，可导致服务器的内存耗尽、CPU超负荷运转甚至瘫痪。

（3）密码破译

如果用户设置了一个较弱的密码，黑客可以十分容易地人工或利用工具破译你的系统密码，得到密码后黑客就可以随心所欲为所欲为的侵入你的系统。

（5）欺骗

黑客利用该种软件缺陷漏洞，就能对特定的服务器进行某种形式的欺骗攻击。如Windows IE曾经存在一个缺陷，它允许一个用户在Web页面的窗口中插入内容，这很容易引诱欺骗用户输入自己的重要机密或私密数据。

（6）非法窃取本地管理员权限

如果黑客已经掌握了一个本地帐号，他就可以顺利登录进入该系统，然后攻击本系统中某些有缺陷漏洞的程序，就可以非法窃取到本地的管理员权限。如Linux操作系统中有一个名叫restore的程序，它运行时需要依赖系统变量rsh，黑客可以修过这个系统变量rsh的目录，就能以root的身份执行系统变量rsh中所指定的软件程序，黑客就此得到了该本地系统的root权限。

（7）非法窃取远程管理员权限

黑客可以在没有远程系统的帐号的情况下，就能登录进入某特定的远程服务器，非法窃取到远程管理员的权限。黑客经常是采用攻击有缺陷漏洞的、以root身份执行的系统守护进程来达到非法窃取权限的目的。这些漏洞的绝大多数来自于系统缓冲区的溢出，也有少数来源于守护进程本身所存在的缺陷漏洞。 黑客就能轻而易举非法窃取得到管理员权限。

（8）泄露服务器信息

黑客抓住这方面的软件缺陷漏洞，为了下一步攻击系统而蓄意收集待攻击系统的一些必要的信息。该方面的漏洞主要是服务器系统程序有缺陷，抑或是对错误故障的不正确处理。如Windows IIS存在这种漏洞，当用户向服务器请求某些不存在的文件时，服务器可能会返回出错信息，这些出错信息中可能就暴露了IIS的安装目录信息，黑客就可以利用这些信息对服务器发起攻击。

（二）硬件的缺陷和漏洞

计算机与网络硬件设备也存在许许多多安全方面的漏洞。

计算机的核心部件中央处理器（CPU）中往往还隐藏了大量未曾公开的指令代码，生产厂家可通过这些潜伏的指令代码来监控诊断调试设备，甚至有可能被恶意用作入侵系统的“后门”，可以窃取数据、破坏系统或损坏硬件设备，植入木马或传播病毒。

内存中没有有效的安全保护措施，任何人都可以编写程序，该程序运行时能够访问内存空间的任何位置，甚至能够篡改内存中的系统工作区（如系统的堆栈区和中断向量区），造成对系统的重要影响。对于内存中的用户数据区，也没有相应的安全保障方面的机制。

计算机输入输出设备即外部设备（I/O设备）不会受操作系统的安全控制的，例如任何人任何时候都能够通过计算机打印输出文件，这就很容易造成信息的泄漏或被窃取。

电磁辐射是一个不可避免的物理现象，存储设备、网络传输介质如双绞线和电缆，或多或少都存在电磁泄漏与辐射，黑客或间谍可以利用先进的设备，在存储设备或网络链路附近收集辐射出的电磁信息，这也造成了存储中的或传输中的信息被泄漏。

三、结论

认清网络信息系统在安全方面的脆弱性和潜在威胁，针对不同情况采取行之有效的安全措施，这对于保障网络安全十分必要万分紧迫。与此同时，计算机网络技术迅猛发展日新月异，新技术新应用层出不穷，其中也难免会存在一些缺陷和漏洞，因此，防范网络安全工作要与时俱进，不断追踪新技术，跟踪新应用，及时升级更新、不断完善计算机网络的安全防范措施。

参考文献：

[1] 王凤英. 网络与信息安全（第2版）. 中国铁道出版社，2011.06.

[2] 刘永华. 计算机网络安全技术. 中国水利水电出版社，2012.07.

[3] 蒋亚军. 网络安全技术与实践. 人民邮电出版社，2012.08.

篇6：降低网络隐患 网络漏洞扫描系统必要性

网络技术具有资源共享、信息传输与集中处理、负载均衡与分布处理和综合信息服务等功能,给我们的工作和生活提供了极大的方便。网络技术丰富多彩,吸引着越来越多的人使用它,其正在改变我们长久以来形成的思维模式和生活模式。但是其在使用过程中也存在着一些漏洞,诸如带宽短缺、IP地址资源匮乏、 数据驱动型漏洞等。而这些漏洞的存在也影响着我们的正常安全使用,随着科学技术的不断进步,相信网络技术所存在的漏洞都能够逐一得到解决。

1数据驱动型漏洞的形成原理

这里我们将对基于网络技术的两种数据驱动型漏洞形成原理进行介绍。攻击者希望利用数据驱动型漏洞对网络技术进行攻击,进而得到自己想要的东西。为避免数据驱动型漏洞的出现, 我们应当了解其基本的形成原理,这样才能够从源头上保证信息安全。

其一是缓冲区溢出漏洞。其攻击原理是向程序中的缓冲区写入超出其边界的数据,造成溢出。攻击者所想的到的效果是溢出所产生的错误程序能够执行攻击者预设的代码,进而顺利打开远程连接的Shell,以得到自己想得到的信息。而栈溢出是最为常见的缓冲区溢出方式。程序编码都有固定的函数表达方式,如果更改了函数的表达方式就会导致栈溢出。攻击者通常会对某个函数进行调用,并在栈顶为调用的函数分配一个固定的栈帧结构, 这样就可以实现益处。攻击者如果想要实现对程序的控制和信息的获取,就可以将返回地址值覆盖,这样一来就可以使函数在返回程序的时候就会转向新的地址继续执行,就可以实现对程序的控制和信息的获取。

其二是格式化字符串漏洞。其形成原理是,当Printf()系列函数被调用的时候,会从字符串里面读取字符,如果遇到格式化的字符的时候,函数会按照控制字符从输出表项对应的变量中读取数据,然后按照控制字符的规定格式输出数据,这样就可以实现对系统程序的控制。程序的运行是依托于代码的,如果更改了代码内的函数编排顺序,就可以改变程序的运行方向,达到攻击者的目的。而格式化字符串漏洞则是通过改变字符串的运行方式实现对系统的控制的。

2数据驱动型漏洞攻击及检测现状

网络技术是从1990年左右逐渐发展起来的一项新技术,而从那个时候开始,针对数据驱动型漏洞的研究就已经开始了,发展到现在,对基于数据驱动漏洞的攻击行为和方式的研究已经比较成熟。数据驱动型漏洞的攻击行为,从不同的角度观察有着不同的结果。例如从程序员的角度观察,基于网络技术的数据驱动型漏洞的缓冲区溢出应当是不可避免的。从网络技术开始应用的时候,国内外就开始对基于数据驱动型漏洞的攻击行为进行研究了。比较典型的有2000年的时候,在acm sigsoft会议上,CERT的Richard Pethia认为数据驱动型漏洞是唯一最重要的安全问题。 而从我们现在的角度来看,他的这句话是及其正确的。目前我们在网络技术的应用中,数据驱动型漏洞确实是唯一最重要的安全问题。而国内对基于网络技术的数据驱动型攻击技术的研究起步较晚,没有形成相应的体系,只有部分黑客和安全人员在这一方方面有着深入的研究。另外,国内的一些比较知名的杀毒软件, 在进行软件开发的时候,也对基于网络技术的数据驱动型漏洞检测技术有所研究。

目前针对数据驱动型漏洞的检测主要有两种,即动态监测和静态检测。动态监测技术主要是从操作系统的底层出发,针对C语言编辑器本身的特征,对运行中的程序进行动态追踪和保护。 动态监测顾名思义,需要编码程序在运行过程中进行检测工作, 在程序运行过程中,如果收到恶意攻击或者非法篡改代码的情况,就会自动发出警告信息或者直接将程序停止运行,避免危险的侵入。这种技术主要包含增强编译器技术、黑盒测试技术和安全链接技术等。而静态检测技术则依托于源代码,并不需要程序运行。静态检测技术在应用过程中需要得到编译理论的支持和对源代码进行分析和模式匹配等,这样才能够保证静态检测技术的正常运行。静态检测技术在工作过程中,如果识别到漏洞信息, 就会对其进行准确的定位,并发出警告和进行自动修复。在具体的应用过程中,可以结合这两种技术进行使用,以最大程度的避免漏洞对网络技术的损害。

3数据驱动型漏洞的检测系统的实现

数据驱动型漏洞的检测系统依托的是语义分析的原型检测系统,是以编译原理中的词法分析和语法分析作为基础的,采用的是Wagner对缓冲区的数学描述方法,实现语义方面的检测。 而原型系统主要包括四个模块,即语法分析模块、缓冲区预先搜索模块、创建程序执行流程模块及综合处理模块。四个模块分别具有自己的作用,通过四个模块的协调配合,及时的监测出与源代码所不同的地方,并发出预警和尽可能的进行自我修复。语法分析模块负责的事读入源代码文件及源代码文件的关键字等部分,而缓冲区预先搜索模块则是在源代码系统中进行准确的缓冲区定位,而创建程序执行流程模块则是遍历源代码,生成程序执行流程的有向图,而综合处理模块则是采用语法分析、语义分析的手段对源代码进行检测,并及时的得出检测的结果。

缓冲区溢出漏洞的检测。针对缓冲区益处漏洞的检测,采用的是缓冲区搜索的方法,对缓冲区进行全面的搜索,对溢出位置进行及时的警告,通过停止程序运行等方式对益处问题进行解决,从而保证信息安全。数据驱动型漏洞的形成与源代码中缓冲区的开辟有着不可分割的关系,所以需要对源代码的缓冲区进行搜索和预判,这样才能够及时的发现溢出位置,并进行解决,避免信息安全问题的出现。

格式化字符串漏洞的检测。不同于其他漏洞的形成原理,格式化字符串漏洞是通过对格式化字符串实现的系统漏洞,通常是由Printf()以及同一类的函数形成的,所以对其的漏洞检测工作也比较简单。针对格式化字符串攻击的局限性,可以采用对源代码进行检测的方式实现对格式化字符串漏统的检测。具体的检测方式通常会采用模式匹配算法。这样可以对字符串中的函数进行逐一的对比,对于出现错误或者出现缺少的参数,会及时的提出字符串缺失或错误的信号,引起检测者的注意。

4总结

数据驱动型漏洞是现有阶段唯一最重要的安全问题,必须着手解决数据驱动型漏洞,才能够保证信息安全。当软件出现漏洞的时候,极其容易被木马、病毒等利用,而产生信息安全问题, 所以解决漏洞问题势在必行。而数据驱动型漏洞又是漏洞问题中出现最多的一种形式。所以有必要加强数据驱动型漏洞的系统检测工作,这样才能够从根本上保证网络技术安全和网络信息安全。

参考文献

[1]文雪巍,秦秀媛,王凤领.基于缓冲区溢出的数据驱动型漏洞检测系统总体设计与实现[J].哈尔滨师范大学自然科学学报.2015.

[2]刘正,张国印.基于云计算的Web漏洞检测分析系统[J].哈尔滨工程大学学报.2013.

[3]罗宏伟.计算机软件中安全漏洞检测技术及其应用[J].硅谷.2012.

[4]陈锦富,张超,卢炎生,王环环.构件栈缓冲区溢出漏洞检测系统的设计与实现[J].山东大学学报(理学版).2011.

[5]高攀,陈景春.VC.net/GS选项分析[J].成都信息工程学院学报.2005.

[6]刘永艳,殷肖川,邓军.缓冲区溢出机理及攻击分析[J].空军工程大学学报(自然科学版).2003.

篇7：降低网络隐患 网络漏洞扫描系统必要性

1.1 微软Windows操作系统本身的设计缺陷

由于微软公司的Windows操作系统在桌面市场的占有率极高, 因此Windows操作系统也就成为黑客、源代码爱好者的研究首选对象;而无论何种操作系统或者其他软件都不可避免地存在大大小小的设计缺陷或者漏洞, 由于Windows操作系统的关注度最高、关注的人群广泛, 其被发现的操作系统漏洞也越来越多, 微软公司也被迫提供了专门的网站对操作系统漏洞进行分析及通过修补程序进行bug修复。因此, 及时对操作系统的漏洞进行修补已经成为计算机用户的必修课。

1.2 针对操作系统漏洞进行攻击的病毒大批出现

由于这些漏洞是Windows操作系统本身的bug, 因此杀毒软件的作用也不是太大, 只能“治标不治本”, 只有通过微软的Windows Update进行补丁修复才能“治标治本”。因此, 为了防范公司局域网中蠕虫等病毒泛滥, 维护局域网的安全与稳定, 必须及时对日常使用的Windows操作系统进行漏洞修复。

2 课题目标

2.1 可行性分析

(1) WSUS服务器的选择与软件的安装。由于WSUS服务器端需要的空间较小, 对系统要求也不算太高。WSUS属于微软免费发布, 数据库需求经讨论后采用微软免费的MSDE, 虽然MSDE对数据库的大小限制在2G以内, 但WSUS需要的数据库空间很小, MSDE已经足够满足需要。

(2) 架设WSUS管理控制台。实现补丁的选择、管理, 客户端状态的自动监测, 以及重要补丁无需管理员审批即可自动发布等功能。

2.2 活动目标

(1) 实现WSUS服务器的架设与自动更新。

(2) 实现WSUS服务器上补丁及客户端的管理与重要补丁的自动发布。

2.3 结论

(1) 软件及服务器的选择:公司的服务器完全可以同时运行杀毒软件及WSUS系统, 实施起来没有问题。

(2) 控制台的安装:在WSUS完成后可调整服务器的IIS设置来完成, 实施起来也没有问题。

3 安装过程

3.1 WSUS的安装与调试

安装WSUS服务器之前, 要确保服务器符合SUS的最低硬件要求:奔腾III 750MHz或更高的处理器, 512MB内存, 8GB硬盘空间, NTFS文件系统格式, 如需要升级的客户机在500台以上, 对CPU的要求更高, 内存应在1GB以上。

相关软件要求如下:

(1) 操作系统安装:只有包含SP4或更高版本的Windows2000 Advanced Server (Windows 2000 Server) , 以及Windows Server 2003才能作为WSUS服务器, 建议采用Windows 2000Advanced Server。

(2) 在操作系统上安装Microsoft Internet Information Services (IIS) 5.0。

(3) 在操作系统上安装Background Intelligent Transfer Service (BITS) 2.0。

(4) 在操作系统上安装Microsoft SQL Server 2000及SQL的SP4补丁。

(5) 在操作系统上安装Microsoft Internet Explorer 6.0Service Pack 1。

(6) 在操作系统上安装Microsoft.NET Framework Version1.1 Redistributable Package。

(7) 在操作系统上安装Microsoft.NET Framework 1.1Service Pack 1。

(8) 最后打好所有的系统补丁。

以上相关软件到微软的网站上下载即可。

复查安装要求之后, 便可安装WSUS。必须使用本地Administrators组成员的账户登录到要安装WSUS的服务器。只有本地Administrators组的成员才能安装WSUS。

以下过程使用Windows Server 2003的默认WSUS安装选项, 其中包括安装用于WSUS的Windows SQL Server 2000Desktop Engine (WMSDE) 数据库软件、在本地存储更新以及在端口80上使用IIS默认网站。

(1) 双击安装程序文件“WSUSSetup.exe”。

(2) 在向导的“欢迎使用”页上, 单击“下一步”。

(3) 仔细阅读许可协议的条款, 单击“我接受许可协议中的条款”, 然后单击“下一步”。

(4) 在“选择更新源”页上, 可以指定客户端获得更新的来源。如果选中“本地存储更新”复选框, 更新便会存储在WSUS服务器上, 因此需要在文件系统中选择一个用于存储更新的位置。路径选择为D:WSUS, 然后单击“下一步”, “选择更新源”。

(5) 在“数据库选项”页上, 选择用于管理WSUS数据库的软件。默认情况下, 如果要安装的计算机运行Windows Server2003, WSUS安装程序将提出安装WMSDE。

保留默认选项, 然后单击“下一步”, “数据库选项”。

(6) 在“网站选择”页上, 指定WSUS将使用的网站。此页还列出了基于此选择的两个重要URL:将WSUS客户端计算机指向其中以获取更新的URL以及用于配置WSUS的WSUS控制台的URL。

保留默认选项, 然后单击“下一步”“网站选择”页。

(7) 在“镜像更新设置”页上, 可以指定此WSUS服务器的管理角色。因为这是网络上的唯一一台WSUS服务器, 因此直接点击“下一步”。

(8) 在“准备安装Windows Server Update Services”页上, 复查各项选择, 然后单击“下一步”, “准备安装Windows Server Update Services”页。

(9) 如果向导的最后一页确认WSUS安装已成功完成, 则单击“完成”。

3.2 控制台的参数控制及自动更新设置

(1) 在IE浏览器中的地址栏, 输入以下URL, 从网络中任意服务器或计算机上的Internet Explorer打开WSUS控制台:http://10.140.150.201/WSUSAdmin或者http://服务器主机名/WSUSAdmin, 点击“立即同步”。

(2) 在“计划”对话框中选择红框中“每天同步时间”确定自动升级时间点。

(3) 点击“立即同步”。

(4) 单击“主页”, 将可以看到WSUS服务器已经下载补丁的百分比。

(5) 在同步完成后, 选择“更新”。

在“更新”页面的左边可以进行查看, “产品和分类”选择所有更新, “批准”选择安装, 点击“应用”。

因此, 我们需要做的工作就是通过程序的编制实现在客户端运行一次即可自动更改客户端PC的更新地址为“http://10140.150.201” (我公司的WSUS服务器) 。

考虑到此工作相对简单, 所以不考虑采用C、Delphi等高级语言, 直接采用批处理程序完成, 可以省略高级语言编译的过程, 提高运行效率。

首先, 批处理需要停止客户端PC的自动更新服务, 然后自动在C盘根目录生成一个“sus.reg”的注册表文件, 相应的注册表键值修改都放置到“sus.reg”中, 最后将此注册表文件导入客户端系统的注册表中, 并删除C盘生成的“sus.reg”文件, 最后重新启动客户端PC的自动更新服务。

最后, 将此程序通过OA及网站发布到公司内部, 并在OA上群发给全体人员, 要求运行此程序。客户端一次运行后即可在服务器端检测到操作系统的运行状态、操作系统及需要安装的补丁名称和数量, 并在10分钟 (或程序内部指定的运行时间) 内自动从WSUS服务器下载相关的补丁, 并在指定的时间过后的5分钟内自动进行安装。

摘要：为了防范公司局域网中病毒泛滥, 维护局域网的安全与稳定, 必须及时对日常使用的Windows操作系统进行漏洞修复。本文就内部网络中的计算机漏洞自动修复系统进行阐述。