趙毓鵬 劉 禎 胡宇宣 苗 晗 耿滋鈞

國網(wǎng)思極網(wǎng)安科技(北京)有限公司 北京 102209

1 概述

互聯(lián)網(wǎng)已經(jīng)成為日常生活中不可缺少的工具，各類數(shù)據(jù)信息變得更加重要，許多產(chǎn)業(yè)都與互聯(lián)網(wǎng)有或多或少的聯(lián)系。最近幾年各種網(wǎng)絡(luò)安全事件頻繁發(fā)生，網(wǎng)絡(luò)安全威脅形式愈來愈多，危害的范圍以及造成的影響不斷加大，使得每個行業(yè)都必須對它加強(qiáng)重視。能源又作為一個國家的核心資源，在資源行業(yè)中的網(wǎng)絡(luò)安全變得更加重要。因此，在電力物聯(lián)網(wǎng)這一熱門研究領(lǐng)域中，開展安全監(jiān)督檢查工具的研究，是十分必要的。其中，基于Web安全監(jiān)督檢查工具的研究，更是重中之重。監(jiān)督檢查主要是指對系統(tǒng)自身進(jìn)行安全防護(hù)性能的考察，從全生命周期角度出發(fā)，分析所存在的安全隱患和漏洞[1]。依據(jù)常見的網(wǎng)絡(luò)安全督查“突擊檢查”的工作性質(zhì)，結(jié)合各項(xiàng)網(wǎng)絡(luò)安全督查時間較短的工作特點(diǎn)，研究專業(yè)化技術(shù)手段，設(shè)計(jì)研究專業(yè)化Web安全監(jiān)督檢查工具，幫助督查人員精準(zhǔn)、快速檢測到網(wǎng)絡(luò)或系統(tǒng)存在的風(fēng)險(xiǎn)漏洞，實(shí)現(xiàn)自動化工作模式，加快監(jiān)督檢查流程，有效提升檢查效率和檢查結(jié)果的真實(shí)性[2]。

2 現(xiàn)實(shí)意義

能源行業(yè)信息系統(tǒng)至關(guān)重要，一旦遭到破壞、喪失功能或數(shù)據(jù)泄露會產(chǎn)生嚴(yán)重威脅[3]。近年來能源行業(yè)的網(wǎng)絡(luò)安全已經(jīng)成為影響能源行業(yè)安全的重要因素，保障能源行業(yè)的網(wǎng)絡(luò)安全是重中之重。

隨著社會的進(jìn)步與能源結(jié)構(gòu)的不斷發(fā)展，在未來會有越來越多的IoT設(shè)備接入電力系統(tǒng)[4]。網(wǎng)絡(luò)安全將面臨萬物互聯(lián)新挑戰(zhàn)，電力物聯(lián)網(wǎng)的安全也變得至關(guān)重要[5]。網(wǎng)絡(luò)安全監(jiān)督檢查對于公司日常安全運(yùn)行管理和維護(hù)電力系統(tǒng)的安全至關(guān)重要，是必不可少的一項(xiàng)工作。利用相關(guān)工作人員的經(jīng)驗(yàn)，再加上自動化的督查工具，使得安全檢查更有權(quán)威性，可以更好地解決出現(xiàn)的安全問題，提高整體安全性。

3 發(fā)展趨勢

目前，各類網(wǎng)絡(luò)和信息管理系統(tǒng)已經(jīng)深入各個行業(yè)，成為日常辦公必不可少的工具。正因?yàn)槠渲匾裕瑥亩Q生了網(wǎng)絡(luò)安全督查這一必要工作。國內(nèi)外在網(wǎng)絡(luò)安全這一領(lǐng)域的重視程度達(dá)到了空前的高度，對網(wǎng)絡(luò)安全這一方面的研究水平也在不斷提高，每年都會有許多新的網(wǎng)絡(luò)安全產(chǎn)品投入使用。網(wǎng)絡(luò)安全督查工具的研究工作還處于不斷完善的階段，擁有很好的發(fā)展趨勢。

根據(jù)日常工作的經(jīng)驗(yàn)，總結(jié)出網(wǎng)絡(luò)安全常見的漏洞及風(fēng)險(xiǎn)，將其檢查技術(shù)進(jìn)行整合優(yōu)化，形成自動化的網(wǎng)絡(luò)安全監(jiān)督檢查工具。該工具在日后的各類網(wǎng)絡(luò)安全督查工作中，必將占有至關(guān)重要的地位，成為查找漏洞，提高安全性的一個利器。

4 監(jiān)督檢查工具功能分析

正是因?yàn)榫W(wǎng)絡(luò)安全的地位不斷上升，促使我們要定期進(jìn)行網(wǎng)絡(luò)安全的監(jiān)督檢查[6]。對于網(wǎng)絡(luò)進(jìn)行監(jiān)督檢查是保證信息安全生命周期的一個重要環(huán)節(jié)，針對企業(yè)的網(wǎng)絡(luò)拓?fù)?、設(shè)備物件、機(jī)房服務(wù)器、協(xié)議、各類接口、防火墻的策略配置等進(jìn)行定期的檢查，有利于保障企業(yè)的信息與數(shù)據(jù)安全[7]。在進(jìn)行督查之后，根據(jù)所發(fā)現(xiàn)的漏洞、弱口令等問題給出相應(yīng)的分析報(bào)告并提出有效的整改意見。

檢查工具在整個督查流程中，是不可缺少的。對檢查工具進(jìn)行改進(jìn)，也有著至關(guān)重要的意義和作用，工具逐漸向著自動化和標(biāo)準(zhǔn)化的方向發(fā)展。由于現(xiàn)實(shí)工作場景以及督查工作的時長要求，自動化的檢查工具不僅可以使得工作人員解放雙手，還提高了準(zhǔn)確性。在自動化的檢查過程中，工作人員可以進(jìn)行更多其他的物理環(huán)境方面的檢查，提高了整體的檢查效率。

黑客在進(jìn)行網(wǎng)絡(luò)滲透入侵時，會對目標(biāo)的主機(jī)或者網(wǎng)段進(jìn)行掃描，進(jìn)而發(fā)現(xiàn)主機(jī)或者目標(biāo)網(wǎng)段的漏洞或者脆弱點(diǎn)，之后便會根據(jù)所掃描到的漏洞位置或者詳細(xì)信息進(jìn)行下一步攻擊。漏洞本身不會對整個系統(tǒng)造成影響，但正是因?yàn)楹诳蜁眠@些漏洞，造成一定程度的危害。而安全工作者同樣可以使用掃描工具，對主機(jī)或者網(wǎng)段進(jìn)行掃描，發(fā)現(xiàn)漏洞采取補(bǔ)救措施，避免黑客入侵。工作者使用掃描工具進(jìn)行掃描屬于主動防御，可以發(fā)現(xiàn)所存在的隱患，做到防患于未然，是一種非常有效的方式。因此監(jiān)督檢查工具的主要思想就是采用一種逆向思維，以一種模擬黑客滲透的方式進(jìn)行檢測，如果成功滲透，則說明該主機(jī)或者網(wǎng)段存在風(fēng)險(xiǎn)。

檢查工具是以自動化的滲透測試為基礎(chǔ)，模擬進(jìn)行滲透攻擊，并探測到系統(tǒng)所存在的安全隱患的一種可視化黑盒測試工具。自動化主要體現(xiàn)在將多種實(shí)用性的滲透工具集成串聯(lián)，形成一條自動化的滲透測試鏈。

4.1 拓?fù)涮綔y

掃描所輸入的IP范圍內(nèi)所有的資產(chǎn)信息，對設(shè)備的端口和服務(wù)進(jìn)行掃描，從而對設(shè)備臺賬、MAC地址及開放的端口與服務(wù)進(jìn)行分析，從而可以間接或直觀地了解所存在的安全問題。將掃描得到的設(shè)備與上次更新所保存的配置拓?fù)鋱D進(jìn)行對比，保障沒有違規(guī)接入的外部設(shè)備。并且可以進(jìn)行拓?fù)鋱D編輯，保證新增設(shè)備后的及時更新。在進(jìn)行探測之后，通過餅狀圖的形式，展示各類資產(chǎn)的信息，如各類端口數(shù)或漏洞類型。資產(chǎn)顯示包含了域名和主機(jī)，域名主要用來展示子域名信息，例如地址、狀態(tài)、標(biāo)題等信息，主機(jī)主要用來展示主機(jī)IP以及爆破得到的端口、協(xié)議之類的信息(如下圖所示)。如果存在Web的服務(wù)，還會對該端口進(jìn)行目錄掃描。同時可以檢測IP的存活情況，通過發(fā)送TCP的SYN包，完成偵測，代替完整的TCP/IP“三次握手”，使得整體速度得到提高。

掃描結(jié)果圖

4.2 漏洞檢測

漏洞檢測是整個檢查中比較重要的一個環(huán)節(jié)，主要目的就是為了發(fā)現(xiàn)所查設(shè)備弱點(diǎn)。使用Proof of Concept(PoC)掃描進(jìn)行漏洞檢測。利用PoC打擊對關(guān)聯(lián)的IP進(jìn)行資產(chǎn)查看，并且可以利用IP資產(chǎn)驗(yàn)證PoC，如果資產(chǎn)中含有Web、系統(tǒng)、弱口令等漏洞信息，便會進(jìn)行漏洞報(bào)告。所有的漏洞信息會自動按照高、中、低進(jìn)行等級分類。同時也可以通過IP顯示對應(yīng)資產(chǎn)的漏洞，方便后續(xù)工作。

同時針對某一IP地址進(jìn)行查詢，可以得到關(guān)聯(lián)的PoC，并且使其自動對該P(yáng)oC進(jìn)行驗(yàn)證任務(wù)。當(dāng)驗(yàn)證完畢，會自動返回該IP所涉及的漏洞，例如，弱口令、溢出、遠(yuǎn)程代碼執(zhí)行等漏洞。

4.3 滲透利用

對部分存在特定的漏洞的系統(tǒng)執(zhí)行一系列的操作。主要使用的技術(shù)有代碼sql注入和緩沖區(qū)溢出等，將滲透測試流程鏈接并分類管理?？梢岳肊xploit(EXP)打擊，自動化的將可以利用的PoC和EXP聚合，尋找可以利用的滲透成功的設(shè)備資產(chǎn)。通過驗(yàn)證報(bào)告可以更好的發(fā)現(xiàn)擁有的資產(chǎn)中，是否存在安全風(fēng)險(xiǎn)，并及時更正。

4.4 手動模式

當(dāng)通過漏洞檢測后，會展現(xiàn)所有IP下的所有漏洞列表，對于可利用的漏洞，我們也可以直接通過手動模式進(jìn)行更加深入的也更為專業(yè)的操作。例如，域名爆破、口令爆破、目錄爆破等。通過手動模式可以進(jìn)行單點(diǎn)的掃描和利用。

例如，在口令爆破中，對服務(wù)、IP、端口進(jìn)行設(shè)置之后，可通過系統(tǒng)自帶的默認(rèn)用戶字典以及默認(rèn)密碼字典來進(jìn)行爆破，將用戶名與密碼一一對應(yīng)。

4.5 策略預(yù)設(shè)

該部分中，可以提前設(shè)置IP查詢模板、端口查詢模板、漏洞檢測模板以及EXP模板等。方便為下次進(jìn)行檢查時，直接引用。

在IP模板中，可以根據(jù)常掃描的目標(biāo)IP進(jìn)行設(shè)置。以及端口模板中，根據(jù)需要將掃描的端口進(jìn)行存儲，避免將需要掃描的IP和端口逐一填寫的繁復(fù)操作。例如，設(shè)置常用的100個或者1000個端口掃描，抑或者設(shè)置UDP端口的掃描。在漏洞檢測模板中，可以將PoC驗(yàn)證、弱口令檢測等掃描配置提前部署成固定模板，消除煩瑣的工作量。

4.6 事件檢測

該功能針對基于不同操作系統(tǒng)的系統(tǒng)內(nèi)容進(jìn)行排查，通過對相關(guān)日志信息的查詢，得知是否受到攻擊以及攻擊事件的取證。

4.7 檢查審計(jì)

該部分利用區(qū)塊鏈的可追溯性以及不可修改性，利用區(qū)塊鏈技術(shù)進(jìn)行數(shù)據(jù)標(biāo)記，記錄整個檢查過程中的各項(xiàng)操作，保證當(dāng)產(chǎn)生風(fēng)險(xiǎn)、數(shù)據(jù)泄露或受到攻擊時，通過標(biāo)記證明不是由于本次以滲透攻擊模式進(jìn)行檢查所引起的，提高責(zé)任劃分的準(zhǔn)確性。

4.8 規(guī)則庫

該模塊主要是對于一些常見的攻擊，例如漏洞、PoC等對應(yīng)的說明及解決方案，是安全防護(hù)很重要的一部分。安全專家針對各類系統(tǒng)所存在的漏洞、各類黑客所進(jìn)行過的攻擊以及對安全配置的工作經(jīng)驗(yàn)，從而形成這套規(guī)則庫。不僅擁有完整性，而且會根據(jù)實(shí)際情況，定期進(jìn)行規(guī)則庫的更新。

在漏洞庫中，大部分是基于腳本的規(guī)則庫，包括系統(tǒng)插件和Web插件。擁有CVE、CVSS、CNNVD等系列的漏洞；在口令庫中，包含有常見的組合字典、用戶名字典、密碼字典，針對不同需求下的弱口令掃描；在PoC庫中，主要針對緊急的系統(tǒng)漏洞和Web漏洞快速響應(yīng)，進(jìn)行批量檢測定位目標(biāo)對象是否安全；在EXP庫中，含有許多漏洞利用插件，通過EXP對發(fā)現(xiàn)的安全漏洞進(jìn)行漏洞利用，能夠直觀地體現(xiàn)漏洞的安全風(fēng)險(xiǎn)級別與危害程度。

4.9 武器庫

該模塊為手動模式而配備，包含多種主流常用工具，如Wireshark、nmap、sqlmap等滲透工具。提供一種操作顆粒度更細(xì)致的執(zhí)行方式，使得在督查工作中，可以進(jìn)行更精準(zhǔn)的檢查及分析。

4.10 報(bào)告生成

該模塊主要進(jìn)行測試結(jié)果的管理，并生成檢測報(bào)告。在報(bào)告中，包含IP目標(biāo)、端口、所查漏洞以及滲透利用的結(jié)果。檢查人員可以根據(jù)所生成的報(bào)告，對該次檢查工作進(jìn)行檢查意見的書寫。指出存在的問題，并可以給出相應(yīng)的意見，督促該單位的整改。

結(jié)語

現(xiàn)代信息社會的發(fā)展主要依靠網(wǎng)絡(luò)，是交流與開展各類活動必不可少的一項(xiàng)工具，但計(jì)算機(jī)網(wǎng)絡(luò)的安全問題也越來越復(fù)雜，因此保障網(wǎng)絡(luò)安全就變得至關(guān)重要。網(wǎng)絡(luò)安全監(jiān)督檢查工具的利用也只會有增無減，該工具未來的發(fā)展，將會更加趨于自動化、定量化以及功能整合化。本文對檢查工具進(jìn)行了功能的研究與設(shè)計(jì)，完善了缺陷并提高了自動化水平，可以實(shí)現(xiàn)一鍵自動化實(shí)現(xiàn)。加強(qiáng)了對設(shè)備的策略監(jiān)測和管控，提高了整體檢查效率，為各行業(yè)的網(wǎng)絡(luò)安全檢查提供了一項(xiàng)工具模板。