楊顯哲 尹毅峰 張宏濤 王瑞民 李潤知 毛保磊

1(鄭州輕工業(yè)大學(xué)計算機(jī)與通信學(xué)院 河南 鄭州 450001)

2(鄭州大學(xué)信息工程學(xué)院 河南 鄭州 450001)

3(國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心 河南 鄭州 450001)

0 引 言

隨著全球信息化發(fā)展的深入,網(wǎng)絡(luò)空間已經(jīng)成人類發(fā)展和爭奪的“第五大空間”[1],萬物互聯(lián),虛擬與現(xiàn)實深度融合,網(wǎng)絡(luò)與我們的關(guān)系越來越密切,并已成為我們?nèi)粘Ｉ睢⒐ぷ鳌W(xué)習(xí)中密不可分的部分,甚至影響著經(jīng)濟(jì)、文化、軍事和社會活動。但是,人們在享受著網(wǎng)絡(luò)生活帶來的便利和便捷同時,網(wǎng)絡(luò)安全問題隨之也日漸突出,例如2019年Qemu-kvm虛擬化逃逸漏洞、2020年Tomcat“幽靈貓”漏洞,以及自2016年至今日趨活躍的勒索病毒[2-3]的出現(xiàn)。系統(tǒng)漏洞、病毒傳播、垃圾郵件、信息泄露等網(wǎng)絡(luò)攻擊頻頻出現(xiàn),各類信息系統(tǒng)安全事件時常發(fā)生,而由經(jīng)濟(jì)利益驅(qū)動的網(wǎng)絡(luò)犯罪在全球日漸猖獗,各類網(wǎng)絡(luò)攻擊和危害網(wǎng)絡(luò)安全行為的活動日漸增多,危害程度不斷加大,這些不但嚴(yán)重影響了我們個人的切身利益,也嚴(yán)重影響了社會信息化的發(fā)展進(jìn)程乃至整個國家的安全及經(jīng)濟(jì)發(fā)展[4-5]。

教育行業(yè)作為創(chuàng)新的典型行業(yè),對信息化的依賴程度越來越高,同時網(wǎng)絡(luò)安全問題的嚴(yán)重性日益凸顯[6]。行業(yè)內(nèi)單位數(shù)量眾多,信息化應(yīng)用類型復(fù)雜多樣,安全管理邊界模糊,是教育行業(yè)網(wǎng)絡(luò)安全事件高發(fā)的重要原因。如何做好教育行業(yè)網(wǎng)絡(luò)安全管理工作,是我們當(dāng)前面臨的挑戰(zhàn)。面對網(wǎng)絡(luò)資產(chǎn)不斷發(fā)展和變化,對教育網(wǎng)內(nèi)網(wǎng)站、互聯(lián)網(wǎng)重要信息系統(tǒng)進(jìn)行探查和梳理,進(jìn)而形成可更新變化的網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)庫是安全監(jiān)測、管理、通報、防御工作的基礎(chǔ),建立網(wǎng)絡(luò)空間資產(chǎn)探查,自動、周期、準(zhǔn)確獲知資產(chǎn)底數(shù)以及動態(tài)變化的跟蹤與監(jiān)測是教育行業(yè)網(wǎng)絡(luò)安全管理工作的重要基石[7]。

近年來,國內(nèi)外陸續(xù)開展了網(wǎng)絡(luò)空間資產(chǎn)探測的相關(guān)工作。2009年Shodan[8]搜索引擎出現(xiàn),其通過掃描互聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)備并抓取解析各個設(shè)備返回的Banner信息,從而獲得各種探測信息,如網(wǎng)絡(luò)中哪種類型Web服務(wù)器最受歡迎,或是網(wǎng)絡(luò)中存在多少可匿名登錄的FTP服務(wù)器等。國內(nèi)則以Zoomeye[9]和FOFA[10]作為網(wǎng)絡(luò)空間資產(chǎn)探測系統(tǒng)的典型代表。上述系統(tǒng)主要基于全網(wǎng)絡(luò)的資產(chǎn)探測,采用分布式部署,探測周期長,教育系統(tǒng)的特點在于地址空間大且相對集中、應(yīng)用數(shù)量大且類型繁多[11]。作為省級教育系統(tǒng)網(wǎng)絡(luò)安全監(jiān)管單位,旨在建立一套網(wǎng)絡(luò)資產(chǎn)探測與預(yù)警平臺,通過對全省教育系統(tǒng)網(wǎng)絡(luò)資產(chǎn)的自動探測,進(jìn)而構(gòu)建資產(chǎn)數(shù)據(jù)檔案庫,并基于采集的資產(chǎn)指紋信息與漏洞特征,對高危風(fēng)險和0day漏洞進(jìn)行快速感知,從而提升網(wǎng)絡(luò)安全風(fēng)險預(yù)警與防護(hù)能力[12-16]。

本文立足于教育行業(yè)網(wǎng)絡(luò)實際情況,結(jié)合三種新型網(wǎng)絡(luò)資產(chǎn)探測方式,從“資產(chǎn)采集-識別存儲-分析預(yù)警”三個層次提出了網(wǎng)絡(luò)資產(chǎn)探測與預(yù)警平臺的設(shè)計模型。通過對比分析在教育網(wǎng)絡(luò)環(huán)境下輕量化掃描、三種指紋識別方式組合迭代、依據(jù)漏洞特征進(jìn)行的快速掃描預(yù)警的效率與準(zhǔn)確度的實驗結(jié)果,得出本文所提供的網(wǎng)絡(luò)資產(chǎn)探測與預(yù)警平臺模型可以快速、高效且較為準(zhǔn)確地獲取和發(fā)布相關(guān)網(wǎng)絡(luò)空間資產(chǎn)信息與漏洞預(yù)警,適用于教育網(wǎng)網(wǎng)絡(luò)環(huán)境下對資產(chǎn)探測與預(yù)警的能力,同時也希望能夠為其他行業(yè)中大規(guī)模網(wǎng)絡(luò)的安全監(jiān)管提供一種新的模式與思路。

1 預(yù)備知識

1.1 網(wǎng)絡(luò)資產(chǎn)

網(wǎng)絡(luò)資產(chǎn)指設(shè)備、系統(tǒng)、數(shù)據(jù)和服務(wù)等各類要素的總和,其中,設(shè)備、系統(tǒng)、數(shù)據(jù)和服務(wù)是資產(chǎn)不同維度的呈現(xiàn),不僅覆蓋通信基礎(chǔ)設(shè)施、IP網(wǎng)絡(luò)、覆蓋網(wǎng)絡(luò)、應(yīng)用支撐系統(tǒng)等互聯(lián)網(wǎng)基礎(chǔ)設(shè)施實體資產(chǎn),而且覆蓋承載在實體設(shè)施之上的信息內(nèi)容等虛擬資產(chǎn)[17]。

每個網(wǎng)絡(luò)資產(chǎn)都有自己的特征,這些特征可以形象地描述為網(wǎng)絡(luò)資產(chǎn)指紋,例如Wordpress會在Robots.txt中會包含WP-Admin之類,默認(rèn)樣式會在首頁中包含Generator=Wordpress xx,頁面中會包含WP-Content路徑、特殊端口等,以此類推,幾乎所有開源CMS、Iot設(shè)備、網(wǎng)絡(luò)設(shè)備等都有類似的指紋特征。資產(chǎn)指紋信息一般包含例如軟件名稱、版本號、服務(wù)類型等多個敏感信息。

本文主要研究教育行業(yè)信息化建設(shè)和網(wǎng)絡(luò)安全相關(guān)的各類資產(chǎn)如：為支撐學(xué)校教學(xué)、科研和管理等各項業(yè)務(wù)開展的校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)、網(wǎng)站、數(shù)據(jù)、移動應(yīng)用、聯(lián)網(wǎng)設(shè)備等有形或無形的信息技術(shù)相關(guān)的資產(chǎn)。

1.2 網(wǎng)絡(luò)資產(chǎn)探測

目前針對網(wǎng)絡(luò)資產(chǎn)的探索手段可以歸納總結(jié)以下三種：主動式IP探測方式、被動式流量分析方式、非入侵式搜索引擎抓取[18]。

(1) 主動式IP探測方式：基于IP地址進(jìn)行主動式掃描探測,用于發(fā)現(xiàn)目標(biāo)主機(jī)是否在線,通過發(fā)送探測包到目標(biāo)主機(jī),收到回復(fù),則目標(biāo)主機(jī)在線。主機(jī)探測方式有多種,如發(fā)送ICMP/ECHO/TIMESTAMP/NETMASK報文、發(fā)送TCPSYN/ACK包、發(fā)送SCTP INIT/COOKIE-ECHO包等,可靈活選用不同的方式來探測目標(biāo)主機(jī)[19]。

(2) 被動式流量分析方式：通過對特定流量進(jìn)行采集與分析,采用算法模型對標(biāo)準(zhǔn)的網(wǎng)絡(luò)層級中的各個流量信息進(jìn)行分類,通過不同的特征信息與協(xié)議類型獲取到網(wǎng)絡(luò)內(nèi)具體的網(wǎng)絡(luò)資產(chǎn)信息情況,基于數(shù)據(jù)流量能夠較為準(zhǔn)確地分析出網(wǎng)絡(luò)資產(chǎn)主機(jī)信息、域名、操作系統(tǒng)、IP、中間件等信息。

(3) 非入侵式搜索引擎抓?。夯趥鹘y(tǒng)搜索引擎或者專業(yè)信息安全搜索引擎進(jìn)行抓取與探測,常見的傳統(tǒng)搜索引擎有百度、搜狗、360搜索、谷歌、Bing等,通常利用特定的搜索語法進(jìn)行檢索,例如：intitle：、inurl：、site：、link：等。專業(yè)的信息安全搜索引擎則以Shodan、Zoomeye和FOFA為代表,其功能主要包括網(wǎng)絡(luò)指紋識別、應(yīng)用服務(wù)識別、組件查找、資產(chǎn)發(fā)現(xiàn)等。通過對傳統(tǒng)與專業(yè)信息安全搜索引擎進(jìn)行定向特征抓取從而獲取到所需要的網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)信息。不要超過兩行。

從社會和公眾角度講，社會和公眾的需要是多方面的，相比之下，企業(yè)提供產(chǎn)品或服務(wù)往往只從市場交易的層面考慮，那些社會和公眾的非市場化需要則必須由公共產(chǎn)品來滿足。因此，公眾在有需要且政府不能提供滿足的時候自然會訴諸企業(yè)，這就形成了一種自發(fā)的心理期望。當(dāng)這部分自發(fā)的公眾期望被滿足時，在公眾心理上產(chǎn)生的正面影響不言而喻。

2 網(wǎng)絡(luò)資產(chǎn)探測與預(yù)警平臺設(shè)計模型

本文所提出的網(wǎng)絡(luò)資產(chǎn)探測與預(yù)警平臺模型,通過對特定網(wǎng)絡(luò)空間內(nèi)的網(wǎng)絡(luò)資產(chǎn)進(jìn)行探測、分析、檢索,進(jìn)而建立包含指紋特征的網(wǎng)絡(luò)資產(chǎn)庫,其中包括域名、IP、端口、中間件、操作系統(tǒng)、開發(fā)語言等指紋信息,從而幫助網(wǎng)絡(luò)安全管理人員界定安全防護(hù)邊界。提取已知以及0 day漏洞的特征屬性,建立漏洞特征庫,匹配鎖定資產(chǎn)庫中的高危風(fēng)險資產(chǎn),配合威脅流量分析技術(shù),提高網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)和精準(zhǔn)預(yù)警能力。本文將分別從資產(chǎn)采集、識別存儲和分析預(yù)警三個主要模塊進(jìn)行介紹和分析。

圖1 網(wǎng)絡(luò)資產(chǎn)探測與預(yù)警平臺設(shè)計模型

2.1 輕量化網(wǎng)絡(luò)資產(chǎn)探測與采集層

教育行業(yè)優(yōu)勢在于可以通過IP清楚地標(biāo)識是否是教育系統(tǒng)資產(chǎn),但教育網(wǎng)內(nèi)信息資產(chǎn)數(shù)量相較其他網(wǎng)絡(luò)種類繁雜,各高校信息化水平參差不齊。面對這些問題,資產(chǎn)采集層通過掌握的IP段信息發(fā)包探測、分析旁掛在教育網(wǎng)鏈路上的流量設(shè)備以及借助專業(yè)安全搜索引擎進(jìn)行采集,發(fā)現(xiàn)存活的網(wǎng)絡(luò)資產(chǎn)。本文模型的主動探測技術(shù)采用網(wǎng)絡(luò)資產(chǎn)的輕量化探測。傳統(tǒng)的ICMP協(xié)議發(fā)送echo請求數(shù)據(jù)包,與服務(wù)器建立完整的TCP三次握手連接,利用輕量化的探測技術(shù)及TCP半開放式掃描,不建立完整的TCP連接,提高了掃描效率,更加適用于大規(guī)模的網(wǎng)絡(luò)資產(chǎn)探測。當(dāng)然大范圍IP地址連續(xù)掃描存在被安全設(shè)備攔截的風(fēng)險,針對這一問題,資產(chǎn)采集層中使用了基于教育網(wǎng)網(wǎng)絡(luò)流量的分析技術(shù)和方法,通過被動流量探測技術(shù)實現(xiàn)資產(chǎn)發(fā)現(xiàn)。被動流量探測技術(shù)不對目標(biāo)資產(chǎn)進(jìn)行威脅性掃描請求,不會對目標(biāo)資產(chǎn)和安全防護(hù)設(shè)備造成任何影響。同時為了更加全面獲取教育網(wǎng)內(nèi)的網(wǎng)絡(luò)資產(chǎn)信息,資產(chǎn)采集層還依靠網(wǎng)絡(luò)空間資產(chǎn)搜索工具如Shodan、Zoomeye和FOFA作為資產(chǎn)探測的補(bǔ)充和主被動探測的驗證,從而最大程度保障網(wǎng)絡(luò)信息資產(chǎn)探測的廣泛性和完整性。網(wǎng)絡(luò)資產(chǎn)采集層嘗試建立覆蓋全面的規(guī)則匹配庫,保證網(wǎng)絡(luò)資產(chǎn)探測的準(zhǔn)確性,并利用分布式并行技術(shù)保障資產(chǎn)探測效率,實現(xiàn)探測效率和準(zhǔn)確度的協(xié)調(diào)一致。

2.2 資產(chǎn)識別存儲層

資產(chǎn)識別存儲層針對教育網(wǎng)內(nèi)發(fā)現(xiàn)的存活網(wǎng)絡(luò)信息資產(chǎn),包括IP地址和端口、操作系統(tǒng)指紋、Web應(yīng)用指紋等進(jìn)行有效的識別。根據(jù)端口協(xié)議、TCP/IP、HTTP協(xié)議、ICMP協(xié)議、TTL等方式分辨軟硬件如主機(jī)網(wǎng)關(guān)類型、系統(tǒng)廠家及版本,識別Web服務(wù)器種類和版本W(wǎng)eb組件、Web應(yīng)用等重要指紋信息。通過主被動識別以及對接安全搜索引擎三種方式迭代識別,構(gòu)建層次分明、結(jié)構(gòu)清晰、粒度精細(xì)的教育系統(tǒng)網(wǎng)絡(luò)資產(chǎn)庫。將識別的網(wǎng)絡(luò)信息資產(chǎn)及指紋信息按照層次化結(jié)構(gòu)進(jìn)行適當(dāng)解耦依類別、主次,構(gòu)造資產(chǎn)與指紋數(shù)據(jù)庫。如域名信息包含：返回值、服務(wù)器類別與版本號、IP、URL、內(nèi)容管理系統(tǒng)名稱及版本、時間等;IP信息包含：版本信息、服務(wù)類別、開放端口等。建立高效的數(shù)據(jù)索引,對各種Web服務(wù)器、指紋、應(yīng)用、版本等關(guān)鍵字段信息易于查詢和檢索,解決大量數(shù)據(jù)情況下檢索效率問題。同時,網(wǎng)絡(luò)信息資產(chǎn)一直處于動態(tài)變化中,隨著各種信息系統(tǒng)的迭代,網(wǎng)絡(luò)資產(chǎn)庫的數(shù)據(jù)也將頻繁變化,主要依賴輕量化的資產(chǎn)探測引擎保證更新頻率和速度,實現(xiàn)網(wǎng)絡(luò)資產(chǎn)數(shù)據(jù)庫的更新迭代。

2.3 安全分析預(yù)警層

在資產(chǎn)預(yù)警層中,基于構(gòu)建的教育系統(tǒng)網(wǎng)絡(luò)資產(chǎn)庫,對網(wǎng)絡(luò)資產(chǎn)進(jìn)行有效的大數(shù)據(jù)分析和展示,包括關(guān)聯(lián)同一機(jī)構(gòu)的網(wǎng)絡(luò)資產(chǎn),統(tǒng)計不同地理區(qū)域(市、區(qū)、高校)的資產(chǎn)數(shù)據(jù)特征。對歷史高危風(fēng)險以及當(dāng)前公布的最新0 day漏洞進(jìn)行關(guān)鍵特征的提取,構(gòu)建漏洞特征庫?；诼┒刺卣鲙?挖掘資產(chǎn)庫中易受到網(wǎng)絡(luò)安全威脅的網(wǎng)絡(luò)資產(chǎn)。同時,收集和過濾威脅流量,針對高風(fēng)險可疑網(wǎng)絡(luò)行為在網(wǎng)絡(luò)資產(chǎn)庫中進(jìn)行特征匹配和關(guān)聯(lián)分析,便于識別潛在的網(wǎng)絡(luò)安全漏洞和網(wǎng)絡(luò)安全風(fēng)險。針對這些網(wǎng)絡(luò)威脅及時評估安全風(fēng)險并發(fā)布安全預(yù)警,做到防患于未然。同時也可以對網(wǎng)絡(luò)資產(chǎn)庫中信息進(jìn)行不同緯度的統(tǒng)計,如端口、HTTPS協(xié)議、操作系統(tǒng)等,構(gòu)建安全風(fēng)險等級評估模型,可以有效地評估當(dāng)前網(wǎng)絡(luò)區(qū)域內(nèi)的安全風(fēng)險狀況與網(wǎng)絡(luò)安全建設(shè)水平,為未來的網(wǎng)絡(luò)安全信息化建設(shè)提供數(shù)據(jù)參考。

3 實驗結(jié)果與分析

為了驗證本文提供的系統(tǒng)模型的實際應(yīng)用情況,將從采集、識別到預(yù)警分析層,設(shè)計了如下四個實驗,來測試本文模型的時間效率、識別準(zhǔn)確度和獲取率、安全預(yù)警效率、評估分析能力。

實驗環(huán)境：基于教育網(wǎng)網(wǎng)絡(luò)環(huán)境,在省級教育網(wǎng)核心出口旁掛部署測試。測試機(jī)采用CentOS 7.5操作系統(tǒng),Intel i7-6700處理器,512 GB固態(tài)硬盤,32 GB內(nèi)存,網(wǎng)卡型號為千兆Intel i350,萬兆Intel 82599和Intel X710。測試模塊采用Python語言編寫,并利用Matplotlib庫得到可視化數(shù)據(jù)點。

通過分析實驗數(shù)據(jù),可以確認(rèn)本文模型在實際工作環(huán)境中具備較高的應(yīng)用價值。

3.1 輕量化資產(chǎn)探測分析

圖2 輕量化資產(chǎn)探測時間效率

3.2 探測識別方式對比分析

為驗證資產(chǎn)識別層中指紋識別的準(zhǔn)確度和獲取率,本文作者分別從IP/域名數(shù)量、操作系統(tǒng)、中間件、系統(tǒng)類型、端口、開發(fā)語言、協(xié)議,七個方面,進(jìn)行探測識別實驗對比。其中某高校網(wǎng)絡(luò)資產(chǎn)通過人工上報方式,進(jìn)行了資產(chǎn)信息備案工作,共備案網(wǎng)絡(luò)資產(chǎn)數(shù)量121個并記錄了上述七項的詳細(xì)信息,以該備案信息為標(biāo)準(zhǔn)數(shù)據(jù),使用本文模型中設(shè)計的迭代探測識別方式,結(jié)果繪制如圖3所示。此次校內(nèi)實驗共發(fā)現(xiàn)117個存活備案網(wǎng)絡(luò)資產(chǎn),占比96.69%,其余六項中識別準(zhǔn)確率均達(dá)到72%以上。

圖3 某高校備案信息識別信息準(zhǔn)確率對比

此外,通過本文模型的方法,組合迭代三種網(wǎng)絡(luò)探測方式對于省內(nèi)教育系統(tǒng)網(wǎng)絡(luò)資產(chǎn)進(jìn)行采集與識別實驗,整理了如表1所示的采集獲取率,其中：模式1為僅使用主動探測方式獲取;模式2為在模式1的基礎(chǔ)上加入流量分析方式;模式3為在模式1和模式2基礎(chǔ)上增加FOFA搜索引擎檢索?？梢钥吹?經(jīng)過三種方式對網(wǎng)絡(luò)資產(chǎn)的迭代采集和識別,平均資產(chǎn)信息獲取率從50.86%提升至73.29%,進(jìn)一步分析可以發(fā)現(xiàn),主動掃描在中間件和協(xié)議識別上均超過50%具有一定優(yōu)勢,但I(xiàn)P/域名數(shù)量、操作系統(tǒng)與端口等受到安全設(shè)備影響,識別率不高。通過流量分析方式的補(bǔ)充,在之前識別較弱的方面有很大的提升,整體的識別率提升了18.51百分點。最后依托FOFA平臺進(jìn)行了搜索引擎抓取,發(fā)現(xiàn)部分未識別的IP/域名、中間件、標(biāo)題、端口、協(xié)議,但FOFA平臺對開發(fā)語言的識別支持不太好,所以對應(yīng)識別率有所下降,不過經(jīng)過迭代拓展了原有數(shù)據(jù)信息,整體發(fā)現(xiàn)資產(chǎn)數(shù)量從5 378上升到22 710,平均指紋信息獲取率提升至73.29%。

表1 三種模式獲取指紋數(shù)據(jù)對比表

綜合來看,本文模型所提供的探測識別方式,在校內(nèi)教育網(wǎng)環(huán)境下具備較高準(zhǔn)確率,并在省級教育系統(tǒng)網(wǎng)絡(luò)探測上可以提高一定的獲取率。不過由于省級網(wǎng)絡(luò)環(huán)境復(fù)雜,設(shè)備多樣,整體的獲取率還是偏低,未來還有進(jìn)一步優(yōu)化提升的空間。

3.3 基于網(wǎng)絡(luò)資產(chǎn)的安全漏洞監(jiān)測

針對預(yù)警分析層中對發(fā)現(xiàn)安全風(fēng)險的效率進(jìn)行測試,對之前風(fēng)險較高以及0 Day漏洞的特征進(jìn)行提取,以Http.sys遠(yuǎn)程執(zhí)行代碼漏洞(CVE-2015-1635)、Apache Tomcat文件包含漏洞(CVE-2020-1938)等5個漏洞為例,提取出如表2所示的漏洞主要特征屬性,并建立網(wǎng)絡(luò)資產(chǎn)漏洞庫,利用漏洞庫中漏洞的特征屬性在資產(chǎn)庫中進(jìn)行匹配檢索,可以快速定位高危風(fēng)險資產(chǎn)。針對這些資產(chǎn)進(jìn)一步進(jìn)行漏洞掃描驗證工作,可以大大縮短傳統(tǒng)批量掃描后漏洞的驗證工作量,如圖4所示,從而全面提升發(fā)現(xiàn)安全風(fēng)險的效率。

表2 部分高風(fēng)險漏洞特征屬性表

圖4 傳統(tǒng)方式與本文方式時間效率表

3.4 網(wǎng)絡(luò)資產(chǎn)分析

對本文所構(gòu)建資產(chǎn)庫中的網(wǎng)絡(luò)資產(chǎn)信息進(jìn)行不同緯度的分析,可以較為系統(tǒng)地了解和評估當(dāng)前網(wǎng)絡(luò)環(huán)境下的安全狀況。在此次實驗中,發(fā)現(xiàn)該區(qū)域教育行業(yè)中Windows操作系統(tǒng)占比最高,在中間件使用上Nginx最多。本文以端口分布情況為例,繪制如圖5所示的柱狀圖。通過分析圖5數(shù)據(jù),可以看出當(dāng)前教育網(wǎng)內(nèi)Web服務(wù)器數(shù)量較多,但HTTPS證書在省內(nèi)普及率還處于較低水平,部分高危端口未被關(guān)閉如445端口,仍有很多數(shù)據(jù)庫和RDP服務(wù)器暴露在公網(wǎng)上存在一定的安全隱患等。通過對資產(chǎn)庫數(shù)據(jù)的統(tǒng)計分析,為將來的安全管理和監(jiān)管提供數(shù)據(jù)參考依據(jù),幫助制定更加合理、科學(xué)的政策,同時針對區(qū)域內(nèi)網(wǎng)絡(luò)安全薄弱和高風(fēng)險隱患重點發(fā)力解決,提高該區(qū)域內(nèi)教育行業(yè)整體的網(wǎng)絡(luò)安全預(yù)警和防護(hù)水平。

圖5 某省高校服務(wù)器常見端口分布

3.5 系統(tǒng)實現(xiàn)

基于本文模型開發(fā)的系統(tǒng)采用Django+Vue框架,實現(xiàn)前后端分離,提高了系統(tǒng)的安全性。使用Python成熟且豐富的插件庫,加快開發(fā)進(jìn)度的同時也降低了系統(tǒng)后期的運(yùn)維學(xué)習(xí)成本,系統(tǒng)應(yīng)用Scapy、Nmap、FOFA-API、Pocsuite等庫實現(xiàn)資產(chǎn)探測與安全預(yù)警功能。數(shù)據(jù)庫使用Mysql搭建,并利用Redis提高系統(tǒng)數(shù)據(jù)交互訪問的速度。

該系統(tǒng)已在河南省教育信息安全監(jiān)測中心部署測試,圖6為系統(tǒng)任務(wù)管理界面,其中分為漏洞預(yù)警管理和資產(chǎn)探測管理,配置有統(tǒng)計分析、策略模板、任務(wù)管理等功能模塊。用戶可以根據(jù)不同場景配置不同探測策略,下發(fā)探測任務(wù)后,可點擊任務(wù)列表進(jìn)入查看詳細(xì)探測結(jié)果如圖7所示。

圖6 系統(tǒng)任務(wù)管理界面

圖7為某個探測IP的部分?jǐn)?shù)據(jù)報告,基于輕量化探測采集以及三次迭代識別,用戶可以清晰地看到該IP地址的存活情況、物理位置、操作系統(tǒng)、開放端口、應(yīng)用協(xié)議等詳細(xì)資產(chǎn)信息。利用建立的資產(chǎn)庫,并結(jié)合收集的漏洞特征庫,可以加快漏洞掃描效率,快速發(fā)現(xiàn)存在的安全隱患。

圖8為統(tǒng)計匯總頁面,從主機(jī)、域名、指紋、漏洞等層面對探測和預(yù)警的信息進(jìn)行匯總展示,幫助用戶更加直觀地了解當(dāng)前網(wǎng)絡(luò)的資產(chǎn)與安全風(fēng)險情況。

圖8 探測預(yù)警結(jié)果部分統(tǒng)計

4 結(jié) 語

面對教育行業(yè)日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅,建立一個擁有清晰邊界的安全管理防護(hù)體系勢在必行。網(wǎng)絡(luò)資產(chǎn)探測與預(yù)警平臺的建立,是構(gòu)建全省教育安全管理防護(hù)的基礎(chǔ),是提升全省教育行業(yè)網(wǎng)絡(luò)安全防護(hù)與管理的關(guān)鍵,本文所提供的基于教育網(wǎng)的網(wǎng)絡(luò)資產(chǎn)探測與預(yù)警平臺模型,能夠?qū)崿F(xiàn)對資產(chǎn)的探測、管理、分析、預(yù)警的功能,但目前系統(tǒng)整體還處于初期階段,整個網(wǎng)絡(luò)資產(chǎn)探測與預(yù)警平臺,在掃描效率、IPv6環(huán)境下的探測、指紋識別準(zhǔn)確度、自動化方面還有很大改進(jìn)和優(yōu)化的地方。依托于教育網(wǎng)的優(yōu)勢,本文希望能把對中大型網(wǎng)絡(luò)資產(chǎn)管理與安全預(yù)警的建設(shè)思路提供給讀者,以此構(gòu)建更多不同網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)資產(chǎn)探測與預(yù)警平臺?？傊?網(wǎng)絡(luò)資產(chǎn)探測與預(yù)警平臺還有很多的方面值得我們進(jìn)一步研究和實踐。