摘 要：針對(duì)校園群體的特殊性，設(shè)計(jì)了基于WSUS服務(wù)的校園漏洞掃描及修復(fù)算法，綁定到校園上網(wǎng)客戶端上，定時(shí)掃描PC機(jī)漏洞，采用數(shù)據(jù)庫校驗(yàn)、FTP服務(wù)器高速下載以及后臺(tái)無界面安裝的形式，不影響客戶正常使用，時(shí)刻保持PC機(jī)清潔無漏洞。并做日志記錄，確保PC機(jī)漏洞的完整修復(fù)，從而保障校內(nèi)大網(wǎng)絡(luò)的安全。

關(guān)鍵詞：WSUS；漏洞掃描；漏洞修復(fù)；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393.08

隨著網(wǎng)絡(luò)應(yīng)用的普及，國內(nèi)信息化水平的快速提高，網(wǎng)絡(luò)用戶數(shù)量迅速提升，網(wǎng)絡(luò)安全問題顯得越來越重要，現(xiàn)在的網(wǎng)絡(luò)應(yīng)用已經(jīng)涉及到用戶的個(gè)人隱私，涉及到用戶的銀行賬戶等等，一旦遭遇網(wǎng)絡(luò)攻擊，將會(huì)對(duì)個(gè)人用戶造成很大損失，如果是企業(yè)，甚至是國家的網(wǎng)絡(luò)遇到安全問題，那將是毀滅性的。然而，校園網(wǎng)一般都是最先接觸和應(yīng)用最先進(jìn)的網(wǎng)絡(luò)技術(shù)，且用戶群體大，安全意識(shí)又不高，極容易遭遇入侵，造成對(duì)校內(nèi)師生的個(gè)人損失。不僅如此，校園內(nèi)包含很多機(jī)密甚至絕密的信息，還有大量學(xué)生及教師的個(gè)人信息，校園信息內(nèi)網(wǎng)聯(lián)通，一旦黑客通過學(xué)生或教師個(gè)人計(jì)算機(jī)做跳板，攻擊校園服務(wù)器，校園的損失是不可估量的。目前最容易的攻擊個(gè)人計(jì)算機(jī)的方式就是通過操作系統(tǒng)漏洞或軟件漏洞，因此校園內(nèi)的漏洞掃描及修復(fù)工作成為校園安全的一道保護(hù)墻。

針對(duì)校園團(tuán)體的特殊性，我們研究了基于微軟WSUS漏洞更新服務(wù)和MSSQL作為數(shù)據(jù)存儲(chǔ)的漏洞掃描及修復(fù)技術(shù)，以綁定到學(xué)生上網(wǎng)客戶端的形式，利用內(nèi)網(wǎng)速度優(yōu)勢(shì)后臺(tái)無界面的定時(shí)漏洞掃描及漏洞修復(fù)，讓學(xué)生和教師在不影響正常使用的情況下，不知不覺的完成個(gè)人計(jì)算機(jī)的漏洞掃描及修復(fù)，保障校園網(wǎng)絡(luò)安全。

1 WSUS服務(wù)的相關(guān)配置

1.1 WSUS服務(wù)簡(jiǎn)介。WSUS即Windows Server Update Services的簡(jiǎn)稱，是微軟推出的免費(fèi)的Windows更新管理服務(wù)。除了支持Windows操作系統(tǒng)的更新管理外，還可以支持Office、Exchange、SQL Sever等軟件產(chǎn)品。

目前WSUS最新版本是WSUS 3.0，它除了繼承2.0的優(yōu)點(diǎn)外，還增加了以下一些主要新特性：（1）從管理控制臺(tái)管理WSUS：WSUS 3.0管理控制臺(tái)已從基于Web的控制臺(tái)變?yōu)镸icrosoft管理控制臺(tái)3.0版的一個(gè)插件，操作更加方便；（2）配置向?qū)В菏褂孟驅(qū)渲冒惭b后的任務(wù)，指導(dǎo)新用戶進(jìn)行安裝后的服務(wù)器配置過程，每一步都有提示操作，用戶管理操作都非常便利；（3）準(zhǔn)確性更高的多個(gè)報(bào)告：現(xiàn)在可以直接從更新視圖生成報(bào)告?？梢詧?bào)告更新的子集，如計(jì)算機(jī)需要但還未批準(zhǔn)安裝的安全更新或計(jì)算機(jī)需要已經(jīng)批準(zhǔn)安裝的安全更新；（4）可使用清除向?qū)姆?wù)器中刪除舊的計(jì)算機(jī)、舊的更新和舊的更新文件，減輕客戶機(jī)的負(fù)擔(dān)，加快客戶機(jī)的運(yùn)行速度；（5）更快獲得更新：使用WSUS 3.0，可以將服務(wù)器配置為最快每隔一小時(shí)自動(dòng)同步更新一次；（6）采用更快的性能：WSUS 3.0可獲得比WSUS 2.0高大約50%的可伸縮性。

1.2 WSUS校園運(yùn)行方案。WSUS的運(yùn)行機(jī)制是：首先，WSUS服務(wù)器通過互聯(lián)網(wǎng)與Windows Update連接并獲得更新程序，這些更新程序主要包括為Feature Pack，Service Pack、安全更新程序、定義更新、更新程序、更新程序集、工具、關(guān)鍵更新程序、驅(qū)動(dòng)程序等，我們稱這個(gè)過程為同步過程。

之后可以配置WSUS自帶的客戶端自動(dòng)更新功能更新補(bǔ)丁，但這種方案需要學(xué)生在自己的PC機(jī)上進(jìn)行修改組策略和修改注冊(cè)表等復(fù)雜的配置，并無法做日志，無法確保每臺(tái)校內(nèi)計(jì)算機(jī)都做了最新的補(bǔ)丁修復(fù)，因此，我們采用MSSQL做漏洞編號(hào)記錄和記錄日志功能，F(xiàn)TP服務(wù)器做補(bǔ)丁存儲(chǔ)的可保證的漏洞掃描及修復(fù)方案。

1.4 WSUS服務(wù)器配置。從微軟網(wǎng)站下載WSUS安裝程序，目前最新版本為WSUS3.0，安裝WSUS 3.0時(shí)，需要安裝IIS服務(wù)和net2.0組件以及MMC 3.0控制臺(tái)程序，否則將不能使用WSUS管理UI。在“網(wǎng)站選擇”頁中，指定WSUS 3.0將使用的網(wǎng)站。若在端口號(hào)80上使用默認(rèn)IIS網(wǎng)站，請(qǐng)選擇第一個(gè)選項(xiàng)；若端口號(hào)80己經(jīng)有一個(gè)網(wǎng)站，可以通過選擇第二個(gè)選項(xiàng)在端口號(hào)8530上創(chuàng)建備用站點(diǎn)。

在完成WSUS的安裝后，安裝程序會(huì)自動(dòng)跳轉(zhuǎn)到“WSUS配置向?qū)А薄＿B續(xù)單擊“下一步”，直到選擇“上游服務(wù)器”，在這里選擇“從Microsoft Update進(jìn)行同步”。選擇校內(nèi)常用Windows系統(tǒng)，如Windows XP、Windows Vista、Windows 7、Windows 8等Windows系統(tǒng)的更新，以及常用校園軟件Office、.NET Framework等軟件的更新，定時(shí)1小時(shí)同步一次，同步的補(bǔ)丁編號(hào)保存到數(shù)據(jù)庫，補(bǔ)丁包同步到FTP服務(wù)器上，并在數(shù)據(jù)庫做標(biāo)示，搭建好服務(wù)器的補(bǔ)丁池。

2 MSSQL數(shù)據(jù)庫設(shè)計(jì)

4 結(jié)束語

通過對(duì)WSUS服務(wù)實(shí)現(xiàn)對(duì)校園PC漏洞實(shí)時(shí)掃描及修復(fù)的研究，了解到WSUS服務(wù)的強(qiáng)大功能，學(xué)習(xí)到.NET中WMI以及Windows API的使用?，F(xiàn)在的校園仍然面臨著很多問題，漏洞修復(fù)只是其中之一，今后面向校園的校園類軟件會(huì)越來越多，實(shí)現(xiàn)的功能也將越來越豐富，我們下一步研究的是關(guān)于校園保密文件粉碎功能的實(shí)現(xiàn)。

參考文獻(xiàn)：

[1]劉戰(zhàn)武.構(gòu)建基于WSUS的內(nèi)網(wǎng)補(bǔ)丁升級(jí)服務(wù)器[J].科技創(chuàng)業(yè)家，2013（11）：56.

[2]黃耀鋒，孫劍.WSUS在內(nèi)網(wǎng)機(jī)房中的架構(gòu)與實(shí)現(xiàn)[J].科技資訊，2011（33）：19.

[3]肖紅.WSUS服務(wù)器在圖書館網(wǎng)內(nèi)的架設(shè)[J].圖書館學(xué)刊，2010（09）：95-97.

作者簡(jiǎn)介：莫新宇（1992-），男，北京房山人，學(xué)生，研究方向：網(wǎng)絡(luò)工程。

作者單位：北京信息科技大學(xué)計(jì)算機(jī)學(xué)院，北京 100101