樊 華 中國(guó)電信股份有限公司景德鎮(zhèn)分公司 江西省景德鎮(zhèn)市 333000

劉堅(jiān)橋 中國(guó)電信股份有限公司江西分公司 南昌市 330000

0 引言

隨著內(nèi)外部形勢(shì)的復(fù)雜化，國(guó)家對(duì)網(wǎng)絡(luò)安全的重視程度越來(lái)越高，自《中華人民共和國(guó)網(wǎng)絡(luò)安全法》頒布以來(lái)，上級(jí)監(jiān)管單位對(duì)網(wǎng)絡(luò)漏洞的考核力度也逐年增加，做好對(duì)公網(wǎng)端口的管控以及新增漏洞的及時(shí)響應(yīng)是壓降網(wǎng)絡(luò)漏洞的有力方法。

在行業(yè)內(nèi)，端口管控系統(tǒng)和漏洞情報(bào)系統(tǒng)是企業(yè)網(wǎng)絡(luò)安全建設(shè)體系的基本手段之一。端口管控系統(tǒng)能有效梳理企業(yè)公網(wǎng)資產(chǎn)的邊界，降低企業(yè)資產(chǎn)對(duì)外的暴露面，充分降低被外部黑客入侵的風(fēng)險(xiǎn)。威脅情報(bào)提供對(duì)網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行梳理功能，對(duì)資產(chǎn)風(fēng)險(xiǎn)信息進(jìn)行檢索，發(fā)現(xiàn)風(fēng)險(xiǎn)漏洞，能夠?qū)W(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)的日志信息進(jìn)行實(shí)時(shí)收集，并能夠結(jié)合IP屬性信息以及系統(tǒng)漏洞情報(bào)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全風(fēng)險(xiǎn)，繪制網(wǎng)絡(luò)安全底圖。

因此，構(gòu)建一套具備端口發(fā)現(xiàn)、處置、封堵能力以及外部漏洞情報(bào)獲取、響應(yīng)系統(tǒng)可以彌補(bǔ)現(xiàn)階段相關(guān)手段的空白，具有非常重要的意義。

1 互聯(lián)網(wǎng)暴露面感知與管控平臺(tái)目標(biāo)

針對(duì)以上問(wèn)題，我們制定互聯(lián)網(wǎng)暴露面感知與管控平臺(tái)的項(xiàng)目目標(biāo)如下：

（1）暴露面感知：開(kāi)發(fā)暴露面感知系統(tǒng)，每天對(duì)全量自營(yíng)IP地址進(jìn)行全端口掃描，提供掃描結(jié)果預(yù)警功能；

（2）暴露面處置：開(kāi)發(fā)一套WEB管理系統(tǒng)，方便安全員能夠?qū)Ρ締挝槐┞睹鏀?shù)據(jù)進(jìn)行處置，包括端口復(fù)核、認(rèn)領(lǐng)、封堵、加白等；

（3）暴露面可視化：實(shí)現(xiàn)數(shù)據(jù)可視化呈現(xiàn)，對(duì)每日新增、每日關(guān)閉、各單位數(shù)據(jù)、暴露面變化趨勢(shì)、高危端口警示等；

（4）暴露面臺(tái)賬管理：開(kāi)發(fā)一個(gè)暴露面臺(tái)賬管理模塊，滿(mǎn)足每月暴露面數(shù)據(jù)上報(bào)要求；

（5）漏洞情報(bào)中心：獲取每日最新的漏洞情報(bào)，根據(jù)情報(bào)篩選出受影響的資產(chǎn)，并發(fā)出預(yù)警。

2 關(guān)鍵技術(shù)及主要技術(shù)指標(biāo)

端口掃描的定義是客戶(hù)端向一定范圍的服務(wù)器端口發(fā)送對(duì)應(yīng)請(qǐng)求，以此確認(rèn)可使用的端口。雖然其本身并不是惡意的網(wǎng)絡(luò)活動(dòng)，但也是網(wǎng)絡(luò)攻擊者探測(cè)目標(biāo)主機(jī)服務(wù)，以利用該服務(wù)的已知漏洞的重要手段。公共互聯(lián)網(wǎng)端口監(jiān)控系統(tǒng)和威脅情報(bào)獲取是整個(gè)安全體系中非常重要的一環(huán)，它就像眼睛一樣，時(shí)刻監(jiān)控外網(wǎng)端口開(kāi)放情況，并且在發(fā)現(xiàn)高危端口時(shí)能夠及時(shí)提醒安全、運(yùn)維人員做出相應(yīng)處理。

隨著對(duì)網(wǎng)絡(luò)安全要求日趨精細(xì)化，對(duì)“權(quán)限最小化”、網(wǎng)絡(luò)安全漏洞要求的考核日趨嚴(yán)格，做好公網(wǎng)暴露面資產(chǎn)的端口管控，影響企事業(yè)單位IT資產(chǎn)的漏洞情報(bào)獲取等工作越來(lái)越重要。而當(dāng)前依賴(lài)于人工完成這兩項(xiàng)工作，效率低，及時(shí)性差。因此，通過(guò)研發(fā)出一款自動(dòng)化的、可閉環(huán)的網(wǎng)絡(luò)安全端口以及漏洞預(yù)警處置系統(tǒng)對(duì)網(wǎng)絡(luò)安全具有十分重要的意義。

網(wǎng)絡(luò)安全端口以及漏洞預(yù)警處置系統(tǒng)項(xiàng)目關(guān)鍵技術(shù)：系統(tǒng)包含端口掃描、端口封堵、威脅情報(bào)搜集、資產(chǎn)篩查與漏洞預(yù)警、控制中臺(tái)等模塊以下將對(duì)以上五個(gè)模塊的功能設(shè)計(jì)依次進(jìn)行說(shuō)明。

2.1 端口掃描

利用主流的掃描技術(shù)對(duì)全量公網(wǎng)地址開(kāi)展全端口掃描，支持TCP和UDP端口掃描兩種掃描模式，在保證端口掃描準(zhǔn)確性的前提下，以并發(fā)模式提高掃描效率，完成全端口掃描時(shí)間控制在5個(gè)小時(shí)以?xún)?nèi)。

2.2 端口封堵

具備對(duì)高危端口進(jìn)行一鍵封堵的處置能力?；诩瘓F(tuán)一體化平臺(tái)，對(duì)主機(jī)端口進(jìn)行封堵處置。目前主要支持基于Linux 平臺(tái)下Netfilter/iptables（簡(jiǎn)稱(chēng)為iptables）組成的包過(guò)濾防火墻以及Windows操作系統(tǒng)系統(tǒng)防火墻的端口封堵功能。

2.3 威脅情報(bào)搜集

具備對(duì)安全威脅情報(bào)（Security Threat Intelligence）的搜集能力。基于主流的爬蟲(chóng)框架Scrapy對(duì)目前公開(kāi)的安全威脅情報(bào)進(jìn)行漏洞信息搜集，將搜集的結(jié)果進(jìn)行關(guān)鍵字段提取，并將結(jié)果寫(xiě)入Mysql數(shù)據(jù)庫(kù)。

2.4 資產(chǎn)篩查與漏洞預(yù)警

針對(duì)搜集的漏洞信息對(duì)自有資產(chǎn)開(kāi)展漏洞篩查。利用集團(tuán)一體化本地平臺(tái)采集到的信息，進(jìn)行關(guān)鍵字、軟件版本匹配，篩選出受特定漏洞影響的資產(chǎn)。漏洞預(yù)警利用服保系統(tǒng)將漏洞預(yù)警工單派發(fā)至特定的維護(hù)人員工位上。

2.5 控制中臺(tái)

具備WEB 界面形式的控制中臺(tái)?；赑ython+flask+jQuery構(gòu)建一套WEB數(shù)據(jù)控制中臺(tái)，補(bǔ)充端口認(rèn)領(lǐng)、端口復(fù)核、端口封堵與解封等功能的可視化操作界面?；趀charts庫(kù)實(shí)現(xiàn)對(duì)端口開(kāi)放態(tài)勢(shì)、漏洞情報(bào)態(tài)勢(shì)的可視化呈現(xiàn)功能。如圖1所示。

圖1 項(xiàng)目技術(shù)概覽

3 主要功能點(diǎn)介紹

3.1 暴露面感知模塊

（1）資產(chǎn)導(dǎo)入：SOC平臺(tái)每日發(fā)送最新資產(chǎn)給本系統(tǒng)，通過(guò)編寫(xiě)腳本獲取最新SOC 資產(chǎn)，100%覆蓋自營(yíng)IP地址；

（2）暴露面掃描：采用python-nmap 庫(kù)，對(duì)TCP 端口和UDP 端口同時(shí)掃描，結(jié)合并發(fā)調(diào)度，完成全量IP地址全端口掃描僅需3-4小時(shí)；

（3） 新增暴露面預(yù)警：對(duì)掃描結(jié)果進(jìn)行入庫(kù)、處理，篩選出新增端口，并通過(guò)郵件發(fā)送給相應(yīng)安全員，提醒對(duì)新增暴露面進(jìn)行處置。目前正在與綜告對(duì)接，后續(xù)將采用綜告派單預(yù)警。

3.2 端口管控模塊

為了方便安全員對(duì)端口進(jìn)行管控，我們開(kāi)發(fā)出了一系列功能：

（1）高級(jí)搜索功能：支持多維度搜索，幫助安全員快速定位相關(guān)資產(chǎn)；

（2）端口復(fù)核：支持對(duì)端口進(jìn)行再次掃描，確認(rèn)端口狀態(tài)；

（3）端口認(rèn)領(lǐng)：對(duì)掃描發(fā)現(xiàn)的端口進(jìn)行認(rèn)領(lǐng)，認(rèn)領(lǐng)的端口將添加到暴露面臺(tái)賬中。

（4）端口加白：將一些特殊原因?qū)е卤粧呙璧降亩丝诩尤氚酌麊危?/p>

（5）端口封堵與解封：緊急情況下對(duì)某些端口進(jìn)行封堵、解封；

（6）高危端口警示：自建高危端口與協(xié)議庫(kù)，對(duì)高危端口進(jìn)行標(biāo)紅顯示；

（7）未認(rèn)領(lǐng)端口警示：對(duì)開(kāi)放的未認(rèn)領(lǐng)端口進(jìn)行標(biāo)識(shí)警示。

3.3 端口開(kāi)放態(tài)勢(shì)

對(duì)暴露面變化數(shù)據(jù)進(jìn)行全方位展示，相關(guān)數(shù)據(jù)一目了然：

（1）今日新增、關(guān)閉、近30日開(kāi)放與關(guān)閉端口數(shù)量；

（2）端口開(kāi)放地圖分布；

（3）各單位/部門(mén)開(kāi)放端口數(shù)量；

（4）各單位/部門(mén)端口開(kāi)放與存活I(lǐng)P數(shù)量變化趨勢(shì)圖；

（5）高危端口數(shù)量；

（6）當(dāng)日新增端口詳單。

3.4 暴露面臺(tái)賬模塊

為滿(mǎn)足網(wǎng)絡(luò)安全管控工作要求，研發(fā)暴露面臺(tái)賬模塊：按照臺(tái)賬模板建立數(shù)據(jù)庫(kù)，融合多維度數(shù)據(jù)，自動(dòng)填寫(xiě)相關(guān)字段，臺(tái)賬導(dǎo)出即可滿(mǎn)足要求；

（1）支持端口認(rèn)領(lǐng)與自主上報(bào)兩個(gè)數(shù)據(jù)來(lái)源，充分保證臺(tái)賬數(shù)據(jù)的完備性；

（2）自該模塊上線(xiàn)以來(lái)，安全員已無(wú)須再維護(hù)E xcel臺(tái)賬，極大減輕工作量，同時(shí)也提高了臺(tái)賬的準(zhǔn)確性。

3.5 漏洞情報(bào)爬蟲(chóng)

（1）每日對(duì)開(kāi)源的漏洞情報(bào)網(wǎng)站數(shù)據(jù)進(jìn)行爬取，目前覆蓋CVE（Common Vulnerabilities&Exposures，通用漏洞披露）和CNNVD（中國(guó)國(guó)家信息安全漏洞庫(kù)）；

（2）將爬取的結(jié)果進(jìn)行處理，解析關(guān)鍵的參數(shù)，如漏洞名稱(chēng)、漏洞編號(hào)、漏洞級(jí)別以及漏洞詳情。

3.6 安全WEB

（1）遵照SDL（安全開(kāi)發(fā)生命周期）開(kāi)發(fā)原則完成本平臺(tái)的開(kāi)發(fā)；

（2）增加登錄圖形驗(yàn)證碼，避免暴力破解；

（3）用戶(hù)默認(rèn)口令、修改口令均有強(qiáng)口令要求；

（4）用戶(hù)密碼加鹽哈希存儲(chǔ)；

（5）分權(quán)分域管理，不同組織架構(gòu)下的用戶(hù)只能看到與權(quán)限匹配的數(shù)據(jù)；

（6）結(jié)合網(wǎng)絡(luò)安全滲透測(cè)試，避免應(yīng)用層邏輯漏洞。

網(wǎng)絡(luò)安全端口以及漏洞預(yù)警處置系統(tǒng)項(xiàng)目較市面上同類(lèi)產(chǎn)品有以下優(yōu)勢(shì)：

（1）定制化程度更高。充分復(fù)用現(xiàn)有技術(shù)手段，打通各系統(tǒng)的壁壘，將各模塊功能充分與現(xiàn)有管控模式相融合；

（2）功能更完備。本項(xiàng)目實(shí)現(xiàn)的端口認(rèn)領(lǐng)、端口復(fù)核、端口封堵與解封的能力均依照最新文件要求開(kāi)發(fā)，功能上更貼合生產(chǎn)要求。

4 結(jié)束語(yǔ)

面向網(wǎng)絡(luò)脆弱性管理，結(jié)合外部漏洞情報(bào)信息，針對(duì)資產(chǎn)安全視角，以風(fēng)險(xiǎn)優(yōu)先級(jí)為核心，整合多源脆弱性數(shù)據(jù)，聚焦關(guān)鍵風(fēng)險(xiǎn)，量化風(fēng)險(xiǎn)指標(biāo)，本平臺(tái)實(shí)現(xiàn)了漏洞全生命周期的管理的解決方案。幫助建立快速響應(yīng)機(jī)制，及時(shí)有效完成漏洞修補(bǔ)工作。平臺(tái)對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行全面搜集、繪制畫(huà)像和監(jiān)控，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅，減少互聯(lián)網(wǎng)暴露面，有效收斂可被利用的攻擊路徑，避免敏感信息泄露和重要資產(chǎn)損失，保障了信息系統(tǒng)安全和穩(wěn)定運(yùn)行，維護(hù)社會(huì)公共利益。