基于插件技术的漏洞扫描系统设计与实现

宗明

在网络安全中，漏洞扫描技术是一项重要技术，能够有效的检测网络系统的安全性，从而抵御外来网络攻击，并对通讯网络中的安全漏洞进行及时弥补。随着我国信息化的不断发展，国家对于网络通讯技术的依赖度逐步加强，保证网络的安全是一项十分重要的工作。插件技术为网络漏洞扫描系统的持续发展提供了技术保障，成为当下网络安全扫描系统的重要支撑。目前，如何加强插件技术在网络漏洞扫描系统中的应用，从而实现网络漏洞扫描系统的最大作用成为了重要的研究目标。

网络安全关乎着国家经济的发展，同时也影响着国家各行各业的发展。通过多年的发展，我国网络漏洞扫描和处理技术不断地改进，插件技术的应用为网络漏洞扫描技术提供了更强的扫描范围和扫描力度，通过网络的相关信息与网络漏洞扫描之后的信息相对比匹配，能够迅速的找到网络安全中存在的问题，然后有针对性的进行修补。因此，国家对于网路漏洞扫描系统的发展尤为关注，在其发展中，尤其要注重网络扫描系统的设计和其目标的实现，要通过多方面的努力，共同为网络漏洞扫描系统的进一步优化出力，保障我国的网络安全，从而保障国家安全。

一、基于插件技术的漏洞扫描系统的概述

漏洞扫描技术是目前网络安全防御中的一项重要技术，在网络的应用中，会面临来自各种木马等病毒的入侵威胁.只有网络漏洞扫描系统和电脑本身的防火墙进行密切的配合才能有效的提升网络的安全性能。在网络使用中，通过网络漏洞对电脑进行扫描，网络使用者以及管理者能够清晰的了解到网络安全方面的配置情况和其运行情况，同时发现电脑运行中的安全漏洞，从而对网络的风险进行一个整体的评估。

近几年，网络漏洞扫描技术发展速度不断加快，主要是因为网络黑客的手段不断的提高，从而倒逼着网络安全扫描技术的提升。由于网络使用规模的不断扩大，计算机系统也逐渐的复杂，这就需要更好的网络安全扫描系统来保障网络的安全。

二、基于插件技术的漏洞扫描系统的设计

（一）系统设计的原则

网络漏洞的扫描技术相对属于比较特殊的系统，为了达到用户的一些特殊需求，网络安全漏洞扫描的设计就需要遵循一定的原则。

1.因地制宜原则

由于每一种扫描技术的使用目的和检测的环境不相同，因此，针对于不同的检测场所和不同的检测目的就需要不同的扫描技术。比如在端口的扫描中就必须依据不同的特点来进行选择，有的使用直接连接，有些使用隐蔽连接，这种原则的使用要求系统在检测时要有更多的选择余地来为用户提供更多的选择。

2.全面性原则

因为各种的网络扫描系统都有自己的特点，所以为了满足客户更多的需求，就必须在网络安全扫描系统的设计中综合各类的扫描技术。另外，在扫描一些比较隐蔽的网络漏洞时，单纯的使用一种技术可能无法有效的进行全面的扫描，因此，在网络安全扫描系统的设计时必须遵循全面性的原则。

3.非破坏性原则

由于电脑系统是一个整体，因此在具体的操作使用中会出现系统之间的相互合作，但是如果安装与电脑系统不匹配的系统就会使得两个系统之间出现不相容的情况，从而导致两个系统相互抵制破坏的情况出现，因此.在网络安全系统的设计中一定要考虑非破坏性原则，从而保障电脑的安全，另外，在电脑系统比较繁忙的时候，尽量不要进行安全扫描，以免导致系统出现错误而破坏电脑自身的系统，同时，在没有得到授权的前提下，应该避免对电脑系统进行安全扫描。

4.实时性原则

在电脑系统中，虽然有针对于系统维护的功能，但是由于网络漏洞的更新速度加快，因此对于漏洞的时时检测是比较困难的，为了能够有效的进行漏洞检测，就必须要保证网络漏洞检测的实时性，要定时的对网络漏洞检测系统进行更细升级。在系统运行过程中，我们要时时关注网络的实际情况，尽量满足电脑自身提示的需求，保证系统的安全。

（二）扫描插件库的设计

对于网络安全扫描系统的设计，必须要根据具体的需要进行检测脚本的填充，对于每一个检测的漏洞，都必须利用与之相对应的检测脚本插件，这些插件视为检测的实用性所进行服务的。在检测的过程中，由于系统的安全漏洞是时时升级的，因此并不会被一次性发现，这就需要检测系统的插件要具备一定的通用性和适当的拓展性，从而更好的发挥系统维护的作用。当然，如果有新发现的系统漏洞也可以通过插件语言进行随时的编辑，增加目前所需要的功能，提升系统检测的效用。

（三）系统漏洞库的设计

当前使用的网络系统扫描工具基本都具備系统楼栋库，当系统楼栋库中记录的某个方面的漏洞时，在发现问题的时候系统会自定的进行修复。由于不同的扫描工具的系统漏洞库不相同，因此在实际的扫描中对同一个安全问题，不同的扫描工具之间并无法做到统一，这种差异性有利有弊，有利的一方面是可以相互弥补促进，不利的一方面是会想造成系统安全方面的差异化增大，从而无法对评估工具进行规范，实现其标准化。CVE是目前应对这些问题最好的处理办法，能够及时的发现系统的潜在漏洞。CVE能够将大家所熟知的各类安全扫描工具进行标准化，帮助各种不同的安全工具之间实现数据的共享，更加容易的获取相应的信息。因此，在网络安全扫描系统工具的设计时，必须建立与CVE兼容的系统漏洞库，从而不断更新系统需要的功能。

三、基于插件技术的漏洞扫描系统的实现

（一）服务器端口的实现

对于网络安全扫描系统，要实现其设计时的功能，主要是要针对其服务器端，帮助相应功能的实现，可以将整个服务器端口的设计功能进行划分，将其分成好几个小块，从而逐步的进行每个模块的设计组装。具体的模块可以分为扫描系统漏洞模块、扫描插件模块、扫描引擎模块，根据每个模块不同的功能分别进行相应的设计和组装，最终实现综合的功能。

（二）端口扫描的实现

在网络安全扫描系统中，一般采用TCP端口进行其功能的发挥.也是目前应用最广泛的端口扫描方式，由于其扫描的过程与正常的数据传输的流程基本一致，因此在具体的实现中非常方便。在具体的功能实现中，TCP端口可以根据具体的需要进行端口的开放和建立，保证安全扫描的全面性和实效性。

（三）识别系统功能的实现

在网络安全扫描系统中，操作识别功能的实现主要采用ICMP应答的方式，通过发送相应的请求来获得相关的信息，然后对信息进行分析，从而根据回应做出一定的判断，再进行具体的操作。

（四）系统漏洞库的实现

系统漏洞库是网络安全扫描系统的重要组成部分，发挥着重要的作用，里面包含了多种操作系统中可能存在的漏洞信息，同时，漏洞库中也集中了再日产操作中比较常见的问题和其具体的措施，一旦出现问题，系统会自动的进行修复。同时，由于会不断地出现新的问题，因此，漏洞库需要进行及时更新。

在系统漏洞的扫描中.CVE技术发挥了重要的作用。由于在系统的检测中需要一定的时间，因此漏洞库的程序化非常重要，能够极大的缩短检测时间，一般情况下，实际存在的漏洞比CVE描述的漏洞发现的问题要多，这也说明了仅仅依靠CVE是远远不够的。漏洞库功能的实现能够极大的弥补这方面的不足，结合插件库中提供的信息，提供比较全面的信息。

（五）扫描结果模块的实现

网络安全扫描系统的最终结果是解决系统中的漏洞问题，但是扫描之后的结构必须呈现给用户，方便用户了解具体问题，为今后的使用提供一定指导。由于扫描结果是用来呈现给用户的，因此，结果界面一定要尽量简单，能够帮助用户清楚的了解到相关的信息。在系统扫描中.必须对扫描结果的类型进行分辨定制，可以采用doc＼txt＼htm等多种格式进行标识，为用户的系统安全提供保障。扫描结果一般包括被扫描电脑的IP地址、电脑主机的名称、操作系统类型、漏洞数量、名称、开放端口以及解决方案等。

在所有设计完成后，要及时的进行测试，确保扫描技术的安全性，为网络安全扫描系统的具体应用提供支持。

四、结语

通过对网络系统漏洞的扫描，能够有效的排除计算机系统中的风险.只有不断地提升相关的扫描技术，才能为计算机的安全保障提供不断地动力和技术支持。

作者单位：大庆油田设计院有限公司