教育信息化是当前教育体制改革的一项重要内容，不但顺应时代发展的需要，而且极大地方便了教学信息的沟通交流。某省高校资源库是一个服务于全省高校的信息资源管理的计算机信息网络，实现了各个高校教学资源的统一管理和信息资源共享，并且还是该省教育网对外信息发布的平台。下面就对这个计算机信息系统的拓扑结构以及如何运用榕基网络隐患扫描器进行漏洞侦测进行系统的说明。

 

网络环境

 

    该资源库采用千兆主干网络，百兆的工作站网络环境。整个网络在逻辑上被划分为4大区域，分别为：核心网络区、服务器网络区、存储区、工作站网络区。其中前三个网络为千兆网，工作站网络为百兆网。

 

    核心网络区中部署着防火墙、入侵检测系统等其它网络安全设备，通过防火墙向外连接Internet和各个高校的校园网，向内连接一台千兆核心交换机，再由该交换机连接到其它三个网络区域。

 

    服务器区部署着多台提供应用服务的服务器，包括资源库目录服务器、网络文件服务器、资源库管理服务器、Vod媒体服务器、web服务器、邮件服务器、Vod管理服务器、资源交换服务器、开发测试服务器、备份服务器等，该区域网络直接连接到千兆核心交换机，主要为各高校的校园网用户提供资源文件检索、下载服务，并且提供视频点播服务，丰富校园文化生活。资源库目录服务器、网络文件服务器、资源库管理服务器、Vod媒体服务器、web服务器跟存储区的SAN交换机相连，与磁盘阵列中的数据进行高速交换。

 

    工作站区是资源库的服务部门，主要有资源加工区、安全管理区等独立的子网构成，它们通过交换机与核心交换机相连，形成百兆局域网。

 

部署方案

 

    该资源库网络系统庞大，服务器多，子网多，网络环境较为复杂，如果部署单一的扫描系统将无法跨越不同的安全域进行漏洞扫描检测，从而导致安全评估缺乏完整性。因此采用RJ-iTop网络隐患扫描系统联动型产品，该型号由一台固定安装的机架式扫描服务器和一台便携的手持式扫描仪组成。

 

    考虑到资源库具体的网络环境，采用的方案是在核心网络区部署一台千兆级的高性能机架式扫描服务器，通过千兆核心交换机连接到资源库的主干网。借助网络拓扑图可以清楚的看到服务器区中所有服务器都直接连接到千兆核心交换机，经由防火墙与外部网络实现交互，这样由于RJ-iTop部署在防火墙内所以也就无需专门定制防火墙规则，只需简单配置即可开始扫描检测。

 

    RJ-iTop支持扫描各种常见的应用服务，如www服务、ftp服务、smtp服务，也支持扫描各种主流的操作系统，如Windows NT/2000/.Server 2003、Linux、Solaris等，所以能够对资源库的各个服务器进行彻底的安全扫描检测，对提供不同服务的服务器制定相应的扫描策略，从而使扫描更为高效。

 

关于应用

 

    高校资源库的主要功能就是服务于全省各地的校园网，满足高校行政工作人员、老师、学生的日常工作、学习、娱乐等需求。如今，该高校信息化建设已经进行了较长时间了，网络普及率高，覆盖面广，除了教学机房、图书馆、行政单位等区域网络已经具备较大规模外，很多学校把校园网延伸到了学生宿舍，因此对资源库的访问量也明显呈现上升趋势。这就对漏洞扫描器在进行扫描检测时的流量控制提出了较高的要求，RJ-iTop采用了性能优越的调度算法，在扫描过程中能够把对网络和目标主机的负面影响降到一个相对合理的水平，从而不影响正常的访问行为，减小不必要的网络资源损耗，而且在实施过程中启用了RJ-iTop的定时扫描功能，并把扫描时间设定在访问量相对较少的凌晨，以此错开访问高峰时段。

 

    漏洞扫描器的工作原理是通过模拟黑客攻击的手段来检测目标系统，这样在检测脚本中就不可避免地包含拒绝服务攻击脚本，在使用RJ-iTop的过程中，可以对特定的服务器制定相应针对性强的策略，比如扫描检测开发测试服务器、备份服务器等没有直接面对公众客户访问的服务器就可以去掉拒绝服务攻击检测项目。在另一方面，为了提高对运行主要应用服务的服务器如web服务器、Vod媒体服务器等拒绝服务漏洞检测的准确性，把RJ-iTop进行拒绝服务漏洞检测的方式从并发扫描改成了顺序扫描。如此，就可以通过灵活配置扫描参数达到最优的效果。

 

    对于工作区中众多隔离的独立子网扫描检测无疑是传统单一扫描器部署的难点所在，而利用手持式漏洞扫描仪的便携优势，在不需要进行其它相关网络设备配置的情况下，即可轻松实现对各个隔离的子网的扫描检测，不但可以单独生成某台主机某个网段的详细报表，而且还可以把各个子网的扫描结果汇总到机架式扫描服务器上形成统一的报表，从而实现对整个资源库网络的整体安全评估。