李岳夢,吳麗華

（中國移動通信集團(tuán)設(shè)計院有限公司,北京 100080）

1 引言

雖然運營商目前已部署了大量的信息安全設(shè)備，但仍存在多重安全隱患。

本文結(jié)合運營商信息安全現(xiàn)狀問題，從檢測平臺功能架構(gòu)、業(yè)務(wù)流程和網(wǎng)元布置方案等幾點入手，探討在云平臺上建設(shè)一套集中化的信息安全遠(yuǎn)程檢測平臺的建設(shè)方案。

2 信息安全遠(yuǎn)程檢測平臺功能架構(gòu)

信息安全遠(yuǎn)程檢測平臺（以下簡稱“檢測平臺”）是將安全檢測能力進(jìn)行整合與統(tǒng)一調(diào)度執(zhí)行的平臺，依據(jù)管理員制定的檢測任務(wù)，遠(yuǎn)程對網(wǎng)站、主機等對象進(jìn)行安全檢測掃描，系統(tǒng)檢測的結(jié)果通過專家審查驗證后發(fā)布。

檢測平臺具備的主要檢測能力包括：網(wǎng)站漏洞掃描、網(wǎng)站掛馬檢測、網(wǎng)站篡改檢測等功能。系統(tǒng)實現(xiàn)機器掃描與人工驗證的結(jié)合，通過專家團(tuán)隊對系統(tǒng)掃描的結(jié)果進(jìn)行驗證，并最終確定漏洞及危害。系統(tǒng)通過被測對象管理、測評任務(wù)管理、測評結(jié)果管理等功能實現(xiàn)系統(tǒng)管理功能，并通過統(tǒng)一界面與人工交互。

檢測平臺的邏輯體系架構(gòu)包含管理與專家團(tuán)隊、集中檢測平臺、基礎(chǔ)資源3個層面，系統(tǒng)邏輯層次圖如圖1所示。

3 檢測平臺業(yè)務(wù)流程

檢測平臺通過“機器+人工”的形式進(jìn)行系統(tǒng)、Web漏洞檢測的功能。

檢測平臺遠(yuǎn)程執(zhí)行網(wǎng)站漏洞掃描、系統(tǒng)（主機）漏洞檢測、網(wǎng)站篡改檢測、網(wǎng)站掛馬檢測的功能；系統(tǒng)對掃描發(fā)現(xiàn)的漏洞進(jìn)行分類管理，并依據(jù)要求將指定級別的漏洞上報專家審核團(tuán)隊；專家團(tuán)隊對漏洞進(jìn)行人工審核，完成后將審查結(jié)果發(fā)送到遠(yuǎn)程檢測平臺，最終形成整改任務(wù)或預(yù)警信息；省公司安全管理員依據(jù)整改的任務(wù)或預(yù)警信息進(jìn)行系統(tǒng)整改，落實檢查結(jié)果。

通過檢測平臺執(zhí)行任務(wù)的總體流程如圖2所示。

圖1 信息安全遠(yuǎn)程檢測平臺總體架構(gòu)圖

圖2 信息安全遠(yuǎn)程檢測平臺總體流程圖

4 平臺關(guān)鍵網(wǎng)元部署及技術(shù)方案探討

信息安全遠(yuǎn)程檢測平臺由管理平臺和檢測工具（網(wǎng)站漏洞掃描工具、網(wǎng)站掛馬監(jiān)測工具、網(wǎng)站篡改監(jiān)測工具、系統(tǒng)漏洞掃描工具）組成，設(shè)置在私有云平臺部署。

4.1 管理平臺建設(shè)方案

新建一套信息安全遠(yuǎn)程檢測管理平臺，對網(wǎng)站漏洞掃描、網(wǎng)站掛馬監(jiān)測、網(wǎng)站篡改監(jiān)測、系統(tǒng)漏洞掃描工具進(jìn)行整合集成，并提供各類安全評測結(jié)果歸并、安全專家評估、安全預(yù)警以及安全評測結(jié)果整改跟蹤等功能。

管理平臺功能：該管理平臺包括檢測對象管理、安全評測任務(wù)管理、安全評測結(jié)果閉環(huán)管理、用戶管理和訪問控制、系統(tǒng)管理等功能；該管理平臺實現(xiàn)安全評測任務(wù)和安全評測流程，包含各評測工具的封裝、任務(wù)分發(fā)、報告合并等；其中，安全評測整改工單本期采用人工派發(fā)方式。

網(wǎng)站漏洞掃描功能：檢測平臺提供的網(wǎng)站漏洞掃描工具對被檢測系統(tǒng)進(jìn)行漏洞掃描，采用至少兩個不同廠商的漏洞掃描工具進(jìn)行交叉掃描，以獲得較全面的掃描結(jié)果；檢測目標(biāo)為運營商在互聯(lián)網(wǎng)上開放的門戶網(wǎng)站/網(wǎng)上營業(yè)廳、基地業(yè)務(wù)網(wǎng)站、集團(tuán)客戶業(yè)務(wù)的網(wǎng)站（如無線城市、校訊通等），以及中小業(yè)務(wù)網(wǎng)站。

系統(tǒng)漏洞掃描功能：檢測平臺提供的系統(tǒng)漏掃工具對多種操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等的漏洞掃描；檢測目標(biāo)為通過互聯(lián)網(wǎng)，針對未設(shè)置防火墻、防火墻策略存在問題、或違規(guī)開放的系統(tǒng)進(jìn)行掃描。

網(wǎng)站掛馬監(jiān)測功能：網(wǎng)站掛馬檢測模塊用于檢測網(wǎng)站頁面中嵌入的網(wǎng)頁木馬、后門等惡意程序或腳本，采用爬蟲技術(shù)對網(wǎng)站頁面進(jìn)行爬取，采用特征分析和沙箱行為分析技術(shù)對網(wǎng)站進(jìn)行木馬監(jiān)測，從而實現(xiàn)快速、準(zhǔn)確的發(fā)現(xiàn)和定位網(wǎng)頁木馬，確保用戶在第一時間發(fā)現(xiàn)感染的木馬并及時消除。

網(wǎng)站篡改檢測功能：網(wǎng)站篡改檢測模塊支持通過遠(yuǎn)程頁面爬取的方式對網(wǎng)站的頁面進(jìn)行獲取，并對是否遭受篡改進(jìn)行檢測。檢測方式采用特征值比對方式，檢測內(nèi)容包括頁面整體內(nèi)容遭受篡改以及頁面嵌入不信任網(wǎng)站的鏈接等方面。

管理平臺與檢測工具之間的接口：檢測管理平臺與檢測工具之間的工具適配層要求通過Web Service方式實現(xiàn)，采用XML的格式進(jìn)行交互；具備擴(kuò)展通過CMD方式，包括通過檢測工具中的命令行工具客戶端與遠(yuǎn)端工具交互、通過命令行直接調(diào)用遠(yuǎn)端工具兩種模式。

4.2 網(wǎng)站漏洞掃描工具技術(shù)方案討論

根據(jù)當(dāng)前安全檢測平臺部署情況，網(wǎng)站漏洞掃描工具配置考慮新建至少兩個廠家的設(shè)備，每個廠家的設(shè)備配置都對全網(wǎng)被檢測網(wǎng)站進(jìn)行100%的掃描，對兩個或多個掃描結(jié)果進(jìn)行比對的部署方案。

網(wǎng)站漏洞是隨著B/S模式被廣泛的應(yīng)用產(chǎn)生，由于開發(fā)人員的水平和經(jīng)驗參差不齊，相當(dāng)一部分的開發(fā)人員在編寫代碼時，沒有對用戶的輸入數(shù)據(jù)或者是頁面中所攜帶的信息(如Cookie)進(jìn)行必要的合法性判斷，導(dǎo)致了攻擊者可以利用這個編程漏洞來入侵?jǐn)?shù)據(jù)庫或者攻擊Web應(yīng)用程序的使用者，由此獲得一些重要的數(shù)據(jù)和利益。

網(wǎng)站漏洞檢測通常是指基于漏洞數(shù)據(jù)庫，通過掃描等手段，對指定的遠(yuǎn)程或者本地計算機系統(tǒng)的安全脆弱性進(jìn)行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測（滲透攻擊）行為。

網(wǎng)站漏洞檢測是對需被檢測的網(wǎng)站進(jìn)行全方位的掃描，檢查當(dāng)前的網(wǎng)頁是否有漏洞，如果有漏洞則需要馬上進(jìn)行修復(fù)，否則網(wǎng)頁很容易受到網(wǎng)絡(luò)的傷害甚至被黑客借助于網(wǎng)頁的漏洞植入木馬，那么后果將不堪設(shè)想，一旦發(fā)現(xiàn)有漏洞就要馬上修復(fù)。

網(wǎng)站漏洞檢測的工具目前有兩種模式：軟件掃描和平臺掃描。軟件掃描就通過下載軟件安裝，對自身網(wǎng)站進(jìn)行漏洞掃描，一般網(wǎng)站漏洞軟件都需要付費的，本平臺進(jìn)行的網(wǎng)站漏洞掃描就是近幾年興起的這種基于平臺的，將被掃描的網(wǎng)站提交到平臺，通過平臺集成的網(wǎng)站漏洞掃描工具軟件對需要被掃描的網(wǎng)站進(jìn)行漏洞掃描，認(rèn)證后將掃描結(jié)果通過IP承載網(wǎng)上內(nèi)部連接把漏洞清單發(fā)給省安全維護(hù)管理員和集團(tuán)信息安全檢測平臺的安全審核專家，對漏洞清單進(jìn)行核對整理。安全檢測平臺放置在私有云上，可以通過云平臺的安全策略來保證安全檢測平臺的安全。

發(fā)現(xiàn)漏洞，僅僅是掃描才完成一半工作。本檢測平臺配置了一套完整的方案。經(jīng)過與各廠家充分調(diào)研，發(fā)現(xiàn)不同的廠家的網(wǎng)站漏洞掃描工具軟件掃描出的漏洞情況是由每個廠家不同的漏洞庫決定的，會有不同程度的漏掃和誤報情況；為了減少漏掃和誤報情況的發(fā)生，可以采用使用多個不同的廠家的掃描軟件對被檢測網(wǎng)站進(jìn)行全部掃描的方法，對掃描結(jié)果進(jìn)行專家審核同時對掃描結(jié)果中的漏掃和誤報情況進(jìn)行人工分析確認(rèn)。

漏洞修復(fù)是網(wǎng)站漏洞掃描檢測工具掃描后的另一個要完成的重要任務(wù)，它根據(jù)掃描工具的掃描結(jié)果與專家審核相結(jié)合確定出來的漏洞情況，對掃描結(jié)果進(jìn)行匯總，由各被檢測網(wǎng)站的安全管理人員完成漏洞的修復(fù)。

4.3 網(wǎng)站篡改監(jiān)測工具技術(shù)方案討論

在總部集中部署網(wǎng)站篡改監(jiān)測掃描引擎，并由管理平臺進(jìn)行調(diào)度及負(fù)載均衡，滿足每周掃描兩次、總掃描量達(dá)到檢測需求。

當(dāng)前網(wǎng)站篡改監(jiān)測主要存在特征值匹配和文件比對等兩種實現(xiàn)技術(shù)，比較分析如表1所示。

黑名單方式監(jiān)測效果基于特征庫，僅能發(fā)現(xiàn)已知篡改特征；當(dāng)網(wǎng)頁框架、內(nèi)容大量改變時，可能會誤判，對于大部分網(wǎng)頁正常更新不會誤判能檢查出所有的被篡改網(wǎng)頁，但是誤報率較高，需要大量的人工審核資源；對于網(wǎng)頁的任何正常變更均會報警。

本檢測平臺中文件比對技術(shù)雖然理論上能發(fā)現(xiàn)所有被篡改網(wǎng)頁，但按照當(dāng)前信息安全管理職責(zé)分工界面，若各專業(yè)維護(hù)部門不提供網(wǎng)頁更新等內(nèi)容，則采用該方式將需要大量人工審核資源，實現(xiàn)難度較大，因而不建議采用文件比對技術(shù)。因而鑒于特征值匹配技術(shù)使用范圍較廣，可用性較強，建議采用黑名單與白名單相結(jié)合的特征值匹配技術(shù)進(jìn)行網(wǎng)站篡改監(jiān)測。

表1 網(wǎng)站篡改監(jiān)測工具建設(shè)方案比較

本節(jié)詳細(xì)介紹了遠(yuǎn)程檢測平臺建設(shè)方案及其中相關(guān)檢測工具技術(shù)方案討論，網(wǎng)站漏洞掃描工具和網(wǎng)站篡改監(jiān)測工具的技術(shù)方案雖然建議的方案不是最節(jié)約投資的，但是在技術(shù)層面上采用了目前安全檢測領(lǐng)域較先進(jìn)的技術(shù)，最適合且最利于將來檢測平臺系統(tǒng)工作及升級。

5 總結(jié)

本文詳細(xì)分析運營商信息安全現(xiàn)狀存在的安全問題以及目前網(wǎng)上已部署的設(shè)備情況，集合已有的設(shè)備配置，提出了建設(shè)檢測平臺功能架構(gòu)、檢測平臺業(yè)務(wù)流程、檢測平臺系統(tǒng)功能以及平臺關(guān)鍵網(wǎng)元部署及技術(shù)方案探討等一套完整的信息安全遠(yuǎn)程檢測平臺的建設(shè)方案。這套檢測平臺的建設(shè)完成將有利于運營商在常見信息安全問題上的安全隱患大大降低。