曾 杰，史裕饒，王 晨

（天津市公安局交通警察總隊(duì)科技和設(shè)施保障支隊(duì)，天津 300220）

在信息技術(shù)和互聯(lián)網(wǎng)高速發(fā)展的今天，云計(jì)算、大數(shù)據(jù)、移動互聯(lián)、物聯(lián)網(wǎng)已深入我國各個(gè)行業(yè)每一個(gè)角落。

天津交管設(shè)備專網(wǎng)是基于物聯(lián)網(wǎng)及傳統(tǒng)IT 網(wǎng)絡(luò)架構(gòu)的公共交通安全業(yè)務(wù)管理專網(wǎng)。交通管理監(jiān)控、違章抓拍、交通信號控制等業(yè)務(wù)系統(tǒng)均利用此專網(wǎng)，隨著納入的設(shè)備越來越多，專網(wǎng)得到了快速的發(fā)展，海量數(shù)據(jù)實(shí)現(xiàn)了網(wǎng)絡(luò)上的交換和使用。但與此同時(shí)，網(wǎng)絡(luò)空間安全形勢日益嚴(yán)峻，如何確保專網(wǎng)資產(chǎn)不暴露在互聯(lián)網(wǎng)上，減少暴露面，進(jìn)而更有效、更有針對性地進(jìn)行安全防護(hù)已提上日程。

本文研究利用專有終端（攝像頭、紅綠燈、電子眼）指紋識別技術(shù)、網(wǎng)絡(luò)空間資產(chǎn)主動探測技術(shù)、網(wǎng)絡(luò)空間資產(chǎn)被動探測技術(shù)、電子警務(wù)系統(tǒng)專項(xiàng)識別技術(shù)，構(gòu)建了一套集控管于一體的設(shè)備專網(wǎng)資產(chǎn)互聯(lián)網(wǎng)暴露面探測方法，結(jié)合網(wǎng)絡(luò)空間資源測繪方法，識別專網(wǎng)資產(chǎn)暴露風(fēng)險(xiǎn)，以此來提升設(shè)備專網(wǎng)邊界的完整性。

1 國內(nèi)外研究現(xiàn)狀和發(fā)展趨勢

網(wǎng)絡(luò)空間資源測繪是資產(chǎn)互聯(lián)網(wǎng)暴露面探測的技術(shù)核心支撐，主要對網(wǎng)絡(luò)空間中的各類資源及其屬性進(jìn)行探測、融合分析和繪制。

1.1 國外研究現(xiàn)狀

代表性工作包括美國國防部高級研究計(jì)劃局的“X計(jì)劃”、美國國土安全部的“SHINE 計(jì)劃”、美國國家安全局的“藏寶圖計(jì)劃”。

1.1.1 2013 年DARPA 制定X 計(jì)劃

允許美國軍方作戰(zhàn)人員規(guī)劃網(wǎng)絡(luò)戰(zhàn)，允許他們根據(jù)各類關(guān)鍵性網(wǎng)絡(luò)“地形”進(jìn)行作戰(zhàn)規(guī)劃，具體包括郵件與文件服務(wù)器、路由器及網(wǎng)關(guān)等需要著重防御的網(wǎng)絡(luò)組成要素，同時(shí)以出色的可視化效果審視各關(guān)鍵性網(wǎng)絡(luò)地形要素的活動、運(yùn)行情況及狀態(tài)。[1]

1.1.2 SHINE 計(jì)劃

項(xiàng)目名稱為SHINE（SHodan INtelligence Extraction），負(fù)責(zé)單位為DHS 下屬ICS-CERT（工業(yè)控制系統(tǒng)應(yīng)急小組），參與人員為Bob Radvanovsky &Jake Brodsky（Shodan兩位開發(fā)者），起止時(shí)間為2008 年中期-2014 年1 月31 日，關(guān)注點(diǎn)為美國本土關(guān)鍵基礎(chǔ)設(shè)施相關(guān)設(shè)備網(wǎng)絡(luò)可達(dá)及安全態(tài)勢。成果是將46 萬聯(lián)網(wǎng)設(shè)備（截止到2012.12，到2014 年共發(fā)現(xiàn)219 萬聯(lián)網(wǎng)設(shè)備）降低到7200 個(gè)。本項(xiàng)目涉及技術(shù)包括網(wǎng)絡(luò)空間資產(chǎn)主動探測技術(shù)、網(wǎng)絡(luò)空間資產(chǎn)被動探測技術(shù)、工業(yè)系統(tǒng)設(shè)備指紋識別技術(shù)以及SCADA 蜜網(wǎng)的開發(fā)。

1.1.3 藏寶圖計(jì)劃

藏寶圖計(jì)劃的目標(biāo)是要識別互聯(lián)網(wǎng)地圖上的任何時(shí)間、任何地點(diǎn)的任何設(shè)備。藏寶圖計(jì)劃由NSA 和CSS（中央安全局）兩個(gè)部門共同負(fù)責(zé)，共同合作成立NTOC（威脅作戰(zhàn)中心），由NSA 負(fù)責(zé)維護(hù)運(yùn)行，搜集全球互聯(lián)網(wǎng)情報(bào)，用于建立態(tài)勢感知能力。[2]

1.2 國內(nèi)研究現(xiàn)狀和發(fā)展趨勢

目前，在網(wǎng)絡(luò)空間可視化領(lǐng)域，依舊處于起步階段，對于監(jiān)管單位，對其轄管的資產(chǎn)暴露面缺乏完善的自動化檢測及分析，僅通過梳理互聯(lián)網(wǎng)出口很難真實(shí)、清晰地反映互聯(lián)網(wǎng)暴露面風(fēng)險(xiǎn)。

在傳統(tǒng)的網(wǎng)絡(luò)安全業(yè)務(wù)上，統(tǒng)計(jì)、分析等工作多是以文本、圖表等方式進(jìn)行查詢與顯示。但隨著物聯(lián)網(wǎng)時(shí)代的來臨，IOT 設(shè)備被越來越多地應(yīng)用于當(dāng)前的信息采集建設(shè)中，由此帶來了更大的資產(chǎn)監(jiān)管挑戰(zhàn)，采集的數(shù)據(jù)信息量大、種類繁多、表現(xiàn)形式復(fù)雜，在網(wǎng)絡(luò)空間與地理空間上缺乏直觀的映射關(guān)系，難以直觀地找到暴露的出口，需要一種手段，全面地提供信息支持。

我國學(xué)者提出，通過網(wǎng)絡(luò)空間可視化表達(dá)，提供資源、產(chǎn)權(quán)、監(jiān)管、司法等涉網(wǎng)國內(nèi)經(jīng)濟(jì)、政治、文化、法治的基礎(chǔ)和保障，也是國家治理體系和治理能力現(xiàn)代化在網(wǎng)絡(luò)空間中進(jìn)行建設(shè)和實(shí)施的基本要素和重要保障[3]。

目前在我國網(wǎng)絡(luò)安全領(lǐng)域，有部分平臺提供了網(wǎng)絡(luò)空間資產(chǎn)的基礎(chǔ)探測能力，基于專用的測繪引擎，zoomeye 可以提供全球42 億 IP 地址的網(wǎng)絡(luò)空間資產(chǎn)發(fā)現(xiàn)能力[4]，hunter 可以提供超5 億IP 數(shù)，65 億資產(chǎn)總數(shù)[5]，因此具備利用現(xiàn)有基礎(chǔ)擴(kuò)充對專網(wǎng)互聯(lián)網(wǎng)暴露面測繪分析的基礎(chǔ)。

2 技術(shù)路線

在為保障業(yè)務(wù)系統(tǒng)的正常運(yùn)行，經(jīng)過多年的建設(shè)，天津市公安交通管理局建設(shè)了一張純物理專網(wǎng)，通過設(shè)備的專網(wǎng)專用，陸續(xù)建設(shè)了道路違法停車、高點(diǎn)監(jiān)控、鷹眼監(jiān)控、黃標(biāo)車違法抓拍、各類電子警察等一系列智能交通設(shè)施，在網(wǎng)絡(luò)安全層面，也率先引入鏈路即安全的運(yùn)營理念，為交管業(yè)務(wù)開展提供了堅(jiān)實(shí)的網(wǎng)絡(luò)環(huán)境保障。

但在整體建設(shè)中，各區(qū)接入網(wǎng)絡(luò)的建設(shè)情況不盡相同，引入了包括MV 鏈路、MSTP 鏈路等多種專線的接入形式，還有部分點(diǎn)位存在4/5G 接入的情況，同時(shí)各區(qū)承建的運(yùn)營商單位，在對于各自建設(shè)的接入網(wǎng)絡(luò)的管理上，較純物理專網(wǎng)而言，在配置管理及網(wǎng)絡(luò)路由管理上有更大的暴露風(fēng)險(xiǎn)，因此需要采取本文中的解決思路，進(jìn)行統(tǒng)一監(jiān)管。

針對安全監(jiān)管需求，參考國家網(wǎng)絡(luò)安全法律法規(guī)、政策要求、等保2.0 網(wǎng)絡(luò)安全建設(shè)標(biāo)準(zhǔn)以及公安部對專網(wǎng)的建設(shè)要求，從“底數(shù)清、情況明、能處置”等維度，采用網(wǎng)絡(luò)空間資產(chǎn)主動探測技術(shù)、網(wǎng)絡(luò)空間資產(chǎn)被動探測技術(shù)以及網(wǎng)絡(luò)空間資產(chǎn)指紋識別技術(shù)，設(shè)計(jì)一套符合專網(wǎng)網(wǎng)絡(luò)的互聯(lián)網(wǎng)暴露面監(jiān)測的基于指紋技術(shù)的專網(wǎng)資產(chǎn)互聯(lián)網(wǎng)暴露面探測手段。

3 基于指紋技術(shù)的專網(wǎng)資產(chǎn)互聯(lián)網(wǎng)暴露面探測手段設(shè)計(jì)

天津市公安交通管理局的業(yè)務(wù)系統(tǒng)中應(yīng)用了監(jiān)控資產(chǎn)、信號燈資產(chǎn)、違停抓拍等物聯(lián)網(wǎng)資產(chǎn)模塊，由于在建設(shè)的最初設(shè)計(jì)中，專網(wǎng)環(huán)境不應(yīng)存在互聯(lián)網(wǎng)出口，因此無法采用IP 地址的監(jiān)控手段，對交管專網(wǎng)中的資產(chǎn)進(jìn)行互聯(lián)網(wǎng)暴露面分析，針對該組網(wǎng)模型的特點(diǎn)，設(shè)計(jì)基于指紋技術(shù)的專網(wǎng)資產(chǎn)互聯(lián)網(wǎng)暴露面探測方法。該方法將采用網(wǎng)絡(luò)空間資產(chǎn)主動探測技術(shù)、網(wǎng)絡(luò)空間資產(chǎn)被動探測技術(shù)以及資產(chǎn)指紋識別技術(shù)，實(shí)現(xiàn)對天津市公安交通管理局專網(wǎng)設(shè)備指紋識別和互聯(lián)網(wǎng)暴露面分析，避免出現(xiàn)因建設(shè)過程中出現(xiàn)的專網(wǎng)資產(chǎn)異常暴露在互聯(lián)網(wǎng)上的情況，切實(shí)保障專網(wǎng)的封閉網(wǎng)絡(luò)環(huán)境。

3.1 網(wǎng)絡(luò)空間資產(chǎn)主動探測技術(shù)

網(wǎng)絡(luò)空間資產(chǎn)主動探測技術(shù)是通過主動向目標(biāo)網(wǎng)絡(luò)資產(chǎn)發(fā)送構(gòu)造的數(shù)據(jù)包[6]，并從返回?cái)?shù)據(jù)包的相關(guān)信息（包括各層協(xié)議內(nèi)容、包重傳時(shí)間等）中提取目標(biāo)信息，來實(shí)現(xiàn)對開放端口及服務(wù)等網(wǎng)絡(luò)資產(chǎn)信息的主動探測。

3.2 網(wǎng)絡(luò)空間資產(chǎn)被動探測技術(shù)

網(wǎng)絡(luò)空間資產(chǎn)被動探測技術(shù)是通過網(wǎng)絡(luò)旁路偵聽的方式[7]，被動采集目標(biāo)網(wǎng)絡(luò)的流量，對流量中的數(shù)據(jù)包中的相關(guān)字段IP、端口號、協(xié)議號等內(nèi)容進(jìn)行分析，從而實(shí)現(xiàn)對網(wǎng)絡(luò)資產(chǎn)信息的被動探測采集。

3.3 網(wǎng)絡(luò)資產(chǎn)指紋識別技術(shù)

網(wǎng)絡(luò)資產(chǎn)指紋識別技術(shù)憑借網(wǎng)絡(luò)資產(chǎn)探測的主動掃描探測技術(shù)和被動流量分析技術(shù)，得到目標(biāo)指紋，與系統(tǒng)內(nèi)置的資產(chǎn)特征指紋庫對比，完成網(wǎng)絡(luò)資產(chǎn)的匹配，確定資產(chǎn)指紋信息。資產(chǎn)識別結(jié)果的準(zhǔn)確性由指紋特征提取與匹配的精確度決定，指紋特征由對大量資產(chǎn)指紋進(jìn)行相同內(nèi)容提取，特有內(nèi)容區(qū)分，以確定資產(chǎn)信息與特征的對應(yīng)關(guān)系，以組成資產(chǎn)特征指紋庫。目標(biāo)指紋達(dá)成匹配條件則可獲得相應(yīng)資產(chǎn)組件的設(shè)備類型，組件名稱，廠商信息、型號版本等數(shù)據(jù)。

3.4 判定資產(chǎn)符合性技術(shù)

通過網(wǎng)絡(luò)空間主動探測技術(shù)和被動探測技術(shù)，獲取設(shè)備專網(wǎng)中目標(biāo)指紋，對指紋按內(nèi)容差異進(jìn)行大致分類，提取同類指紋之間相同內(nèi)容，提取可確定資產(chǎn)組件的關(guān)鍵字，例如服務(wù)器字段、標(biāo)題字段、UA 字段、廠商、cookie 等；區(qū)分關(guān)鍵字內(nèi)差異內(nèi)容，例如型號、版本信息等；有序組合相關(guān)關(guān)鍵字，組成完整特征，實(shí)現(xiàn)與資產(chǎn)的唯一對應(yīng)關(guān)系。

3.4.1 定制的入庫操作

將特征相關(guān)信息進(jìn)行完善補(bǔ)充，如服務(wù)類型、設(shè)備類型、主機(jī)信息及其他額外信息。將天津市公安交通管理局設(shè)備專網(wǎng)網(wǎng)絡(luò)資產(chǎn)指紋對應(yīng)特征為基礎(chǔ)建立匹配庫，服務(wù)于專有終端（攝像頭、紅綠燈、電子眼）等。

3.4.2 org 上的查找流程

利用搜索工具進(jìn)行專網(wǎng)資產(chǎn)指紋信息查找。選擇查詢類型，如組件名、設(shè)備類型、專有服務(wù)、關(guān)鍵字等；輸入對應(yīng)查詢內(nèi)容；選擇多個(gè)查詢條件間的查詢邏輯。

3.5 基于指紋技術(shù)的專網(wǎng)資產(chǎn)互聯(lián)網(wǎng)暴露面探測應(yīng)用

針對專網(wǎng)資產(chǎn)進(jìn)行對應(yīng)指紋的定向開發(fā)，建立設(shè)備專網(wǎng)網(wǎng)絡(luò)資產(chǎn)指紋特征匹配庫。通過網(wǎng)絡(luò)空間主動探測技術(shù)和被動探測技術(shù)，獲取天津市公安交通管理局設(shè)備專網(wǎng)中專有設(shè)備信息，將探測獲取的資產(chǎn)信息與設(shè)備網(wǎng)絡(luò)資產(chǎn)指紋特征匹配庫進(jìn)行匹配，從而得到天津市公安交通管理局設(shè)備專網(wǎng)專有設(shè)備的指紋信息。該指紋信息包括設(shè)備操作系統(tǒng)、設(shè)備信息、廠商信息、IP 地址、端口、服務(wù)組件等資產(chǎn)數(shù)據(jù)。當(dāng)通過互聯(lián)網(wǎng)上的探測節(jié)點(diǎn)，結(jié)合指紋信息可以在全網(wǎng)中收集到的資產(chǎn)庫進(jìn)行匹對，如果發(fā)現(xiàn)存在指紋相同的資產(chǎn)，即可說明，某個(gè)專網(wǎng)的接入側(cè)節(jié)點(diǎn)存在異常，可能存在互聯(lián)網(wǎng)暴露風(fēng)險(xiǎn)，結(jié)合IP 地理位置信息，可以進(jìn)行準(zhǔn)確的通報(bào)，結(jié)合人工的手段，將該風(fēng)險(xiǎn)進(jìn)行排查整改。

4 應(yīng)用實(shí)踐

獲得指紋：

1.根據(jù)專網(wǎng)的專用ip 庫，通過網(wǎng)絡(luò)空間主動探測技術(shù)和被動探測技術(shù)，匹配系統(tǒng)內(nèi)資產(chǎn)特征指紋庫獲得目標(biāo)指紋。

2.根據(jù)已匹配出的資產(chǎn)設(shè)備類型與指紋本身內(nèi)容差異進(jìn)行大致分類，提取同類指紋之間相同內(nèi)容，尋找可確定資產(chǎn)組件的關(guān)鍵字。

以某品牌電警設(shè)備為例，通過交互流量抓取，結(jié)合頁面爬取，獲取到對應(yīng)品牌的強(qiáng)關(guān)聯(lián)信息，也就是設(shè)備的指紋信息：

（1）指紋：Apache。

（2）指紋：XXX XXX httpd。

（3）指紋：XXX IP XXX httpd。

3.截取指紋內(nèi)關(guān)鍵字部分，進(jìn)一步對比，確定差異內(nèi)容。

4.編寫特征指紋，補(bǔ)充資產(chǎn)組件相關(guān)信息。

通過分析，共獲取一組指紋信息，確定三個(gè)指紋規(guī)則。

5.用特征指紋構(gòu)成專網(wǎng)專用資產(chǎn)指紋特征庫，利用專用ip 庫進(jìn)行測試，測算識別率，確保指紋提取正確性。

根據(jù)指紋特征，在互聯(lián)網(wǎng)上，通過指紋信息進(jìn)行空間資產(chǎn)檢索，典型操作如下：

（1）在搜索框中輸入專網(wǎng)資產(chǎn)指紋信息，并進(jìn)行搜索。

（2）在發(fā)現(xiàn)存在該類型資產(chǎn)后，進(jìn)行下鉆，通過相關(guān)其開放的服務(wù)和端口，評估其暴露在互聯(lián)網(wǎng)上后，可能對專網(wǎng)造成的影響。

（3）通過組件可能存在的漏洞，判斷是否有漏洞被利用的風(fēng)險(xiǎn)。

（4）通過高精地理位置信息，確認(rèn)其資產(chǎn)歸屬地，推送至相關(guān)單位進(jìn)行整改。

通過相關(guān)信息的整理分析，可以實(shí)現(xiàn)針對暴露在互聯(lián)網(wǎng)上的資產(chǎn)進(jìn)行梳理，為優(yōu)化專網(wǎng)的安全使用環(huán)境提供信息情報(bào)指引，從互聯(lián)網(wǎng)監(jiān)測層面找到專網(wǎng)的暴露風(fēng)險(xiǎn)，豐富專網(wǎng)安全監(jiān)測運(yùn)維手段，避免專網(wǎng)中存在未知的互聯(lián)網(wǎng)邊界出口，形成入侵的脆弱點(diǎn)，確保專網(wǎng)專用，降低因大規(guī)模建設(shè)過程中的人為因素導(dǎo)致專網(wǎng)設(shè)備異常暴露在互聯(lián)網(wǎng)上的異常事件發(fā)生。