文｜張軍

一種基于風險探知技術的安全解決方案

文｜張軍

隨著信息化技術在政府、企業(yè)等組織日常經(jīng)營活動的不斷深入，越來越多的組織通過基于聯(lián)網(wǎng)的信息系統(tǒng)為組織自身和客戶提供服務。這些基于聯(lián)網(wǎng)的信息系統(tǒng)為組織和客戶帶來便利的同時也成為了攻擊的目標，基于互聯(lián)網(wǎng)的信息系統(tǒng)一旦被惡意者攻陷并加以利用將會給組織和客戶帶來業(yè)務收入損失、形象品牌損失、數(shù)據(jù)與財產(chǎn)損失、秘密及隱私泄露等各種各樣的不利影響，更甚者有可能上升影響到國家安全。

深入分析導致基于聯(lián)網(wǎng)的信息系統(tǒng)風險嚴峻的原因，可以發(fā)現(xiàn)雖然各個組織都在不斷的完善自身的安全防御體系以此來抵制各種可能發(fā)生的威脅事件，但僅憑安全防御體系被動防御還不足以保障信息系統(tǒng)的安全，還需要不斷完善主動化的風險探知體系，以此來發(fā)現(xiàn)防御體系存在的風險并對其進行修補，只有這樣才能提高組織的整體安全。

一、需求背景

隨著網(wǎng)絡信息化建設不斷完善，基礎設備、服務器、網(wǎng)絡設備、安全設備不斷增多，網(wǎng)絡越來越復雜，各類數(shù)據(jù)信息的獲取通常處于被狀態(tài)，不具備完善的網(wǎng)絡基礎信息庫，無法自動化智能化的統(tǒng)計出網(wǎng)內設備與應用的數(shù)量，無法有效識別網(wǎng)內設備和應用的上架情況。伴隨著業(yè)務的不斷變化，需求的不斷變化，網(wǎng)絡的不斷變化，每個階段網(wǎng)內設備與應用的狀態(tài)依據(jù)業(yè)務及需求不斷發(fā)生改變，新增了哪些設備，新開了什么端口，設備及應用均處于什么樣的運行狀態(tài)。面對這種現(xiàn)狀，需要采用多樣化信息采集方式，主動全面獲取網(wǎng)內各類信息，構建全網(wǎng)網(wǎng)絡基礎信息庫；統(tǒng)計各類設備與應用，識別應用的基本信息。在基礎信息庫的基礎上，不斷實時更新覆蓋全網(wǎng)網(wǎng)絡基礎信息庫。

二、風險探知技術平臺關鍵技術

（一）基礎信息主動探測技術

風險探知技術平臺融合多種探測技術，通過采集引擎可主動收集安全設備、網(wǎng)絡設備、主機/服務器以及工控設備的信息，并可向目標發(fā)送探測數(shù)據(jù)包，發(fā)現(xiàn)目標存活性，接收目標反饋的數(shù)據(jù)包，并將反饋信息提交給后臺進行分析。通過指紋庫的比對，設備信息采集可實現(xiàn)探測目標類型及型號、操作系統(tǒng)類型和版本號、所承載服務及軟硬件版本等信息收集和判斷，可發(fā)現(xiàn)探測目標的脆弱性信息。整個過程大體可分為端口掃描、協(xié)議識別、服務、應用、操作系統(tǒng)信息獲取和脆弱性收集四個部分。

（二）超文本標記抽取技術

充分利用市場上輿情產(chǎn)品的技術積累，實現(xiàn)對超文本的積累。通過端口、http包頭、banner信息、指紋信息等實現(xiàn)超文本標記抽取。如：通過開放的端口及服務來識別網(wǎng)絡設備或應用服務器；通過提取WEB指紋來判斷設備廠商或設備類型；通過WEB指紋識別技術可以獲取應用服務組件。

（三）構建漏洞驗證功能，實現(xiàn)漏洞驗證自動化支撐

風險探知技術平臺具備漏洞驗證功能，可以對網(wǎng)絡節(jié)點上發(fā)現(xiàn)的漏洞進行驗證并發(fā)起攻擊?？焖俾┒打炞C能夠與網(wǎng)絡節(jié)點詳細信息展示相關聯(lián)，查看網(wǎng)絡節(jié)點詳細信息中的漏洞后調出快速漏洞驗證功能，用戶配置漏洞驗證相關參數(shù)后就能快速進行漏洞驗證，快速漏洞驗證參數(shù)設置包括但不限于漏洞驗證、攻擊的插件選擇、目標網(wǎng)絡節(jié)點IP地址、目標端口、有效載荷代碼選擇等。

（四）基于高性能存儲和檢索技術

風險探知技術平臺統(tǒng)融合了多種探測引擎，對目標網(wǎng)絡采集基礎信息，包括：端口、服務、操作系統(tǒng)、web應用漏洞、系統(tǒng)漏洞、應用系統(tǒng)、網(wǎng)絡信息節(jié)點、網(wǎng)絡安全設備等，數(shù)據(jù)存儲容量大，采用現(xiàn)有的關系數(shù)據(jù)庫無法滿足。其次，采集的數(shù)據(jù)有基于結構化的數(shù)據(jù)，也有非結構化數(shù)據(jù)和半結構化的數(shù)據(jù)，現(xiàn)有關系數(shù)據(jù)不支持非結構化數(shù)據(jù)和半結構化數(shù)據(jù)。再次，要求風險探知技術平臺支持實時化的數(shù)據(jù)搜索。對于存儲和查詢、分析的數(shù)據(jù)達到上百個TB時，常規(guī)系統(tǒng)是無法支持這種大數(shù)據(jù)的存儲和實時查詢功能。

為了解決支持數(shù)據(jù)存儲、查詢、分析的數(shù)據(jù)達到上百個TB時，風險探知技術平臺采用存儲容量支持PB級別的分布式數(shù)據(jù)庫MongoDB作為風險探知技術平臺的存儲數(shù)據(jù)庫；同時MongoDB數(shù)據(jù)庫支持結構化和非結構化數(shù)據(jù)，滿足風險探知技術平臺的數(shù)據(jù)存儲要求。采用分布式多用戶的搜索引擎Elasticsearch實現(xiàn)風險探知技術平臺實時查詢和分析功能。MongoDB分布式數(shù)據(jù)庫和Elasticearch分布式搜索引擎都支持PB級別的存儲容量。

三、風險探知技術平臺設計

（一）功能架構

圖1 風險探知平臺功能架構

風險探知技術平臺從功能上劃分主要由五個層次組成，被管理對象層、信息采集層、信息匯聚層、核心業(yè)務層、應用與展示層。

平臺與外部資源和系統(tǒng)進行接口交互，最終實現(xiàn)對中心網(wǎng)絡安全防護、網(wǎng)絡攻防、網(wǎng)絡風險評估業(yè)務的支撐。

被管理對象層包括各政務網(wǎng)站主要組成部分，包括各類主機/服務器、安全設備、網(wǎng)絡設備、工控設備、WEB應用、中間件、數(shù)據(jù)庫、郵件系統(tǒng)和DNS系統(tǒng)等，通過在網(wǎng)絡上對這些對象信息的主動探測與收集，形成相關業(yè)務支撐的基礎數(shù)據(jù)。

信息采集層包括分布式部署的各個主動探測節(jié)點，這些節(jié)點主要包括信息采集、Web信息采集、郵件系統(tǒng)信息采集、DNS系統(tǒng)信息采集以及漏洞驗證與利用的功能，實現(xiàn)信息主動探測的執(zhí)行層。

信息匯聚層將信息采集層獲取的信息進行數(shù)據(jù)的抽取、轉換和加載后，通過分類信息的識別，分別將原始信息和分類信息存儲在原始信息庫和匯總信息庫中，同時提供輔助信息庫，負責指紋庫、IP數(shù)據(jù)庫、漏洞特征庫和協(xié)議分析庫的管理。

核心業(yè)務層包括信息采集管理子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)能夠、網(wǎng)絡攻防應用子系統(tǒng)和分布式管理子系統(tǒng)。其中采集管理子系統(tǒng)負責對信息采集對象、規(guī)則和任務的統(tǒng)一管理；數(shù)據(jù)分析子系統(tǒng)負責信息識別分析、綜合數(shù)據(jù)分析、漏洞分析、安全態(tài)勢分析和重點用戶分析；網(wǎng)絡攻防應用子系統(tǒng)負責漏洞的驗證與利用、漏洞聯(lián)動攻擊以及匯總點目標的探查；分布式管理子系統(tǒng)負責分布式存儲管理、分布式節(jié)點管理、分布式任務管理和系統(tǒng)管理。

應用與展示層為用戶提供人機交互界面，實現(xiàn)網(wǎng)絡空間地圖的繪制與展示、樓頂驗證與利用、漏洞分布與安全態(tài)勢感知以及重點用戶分析的功能。

（二）網(wǎng)絡部署環(huán)境

圖2 風險探知技術平臺網(wǎng)絡部署示意圖

如圖2所示，風險探知技術平臺由總中心和分中心兩部分構成；其中總中心包括：

數(shù)據(jù)庫服務器：實現(xiàn)大數(shù)據(jù)的存儲，滿足風險探知技術平臺的基礎信息采集；

數(shù)據(jù)匯聚服務器：實現(xiàn)對分中心主動探測節(jié)點服務器上傳數(shù)據(jù)的匯總和轉化；

分布式存儲計算服務器：實現(xiàn)對大數(shù)據(jù)的存儲和計算分析。

管理服務器：對風險探知系統(tǒng)的管理和風險可視化展示。

分中心主要由一組主動探測節(jié)點服務器構成，主動對目標網(wǎng)絡進行基礎信息的采集。

四、技術特點

（一）主動探測

1. 多樣化探測手段

風險探知技術平臺在探測技術方面將融合多種探測技術，主要包括以下幾個方面：

支持針對web漏洞掃描技術；

支持系統(tǒng)漏洞掃描技術；

支持針對操作系統(tǒng)的探測技術；

針對端口的探測技術；

服務探測技術；

Web爬蟲技術；

漏洞驗證與利用技術；

2. 分布式探測技術

風險探知技術平臺支持分布式探測節(jié)點部署，通過分布式節(jié)點管理實現(xiàn)了對不同目標網(wǎng)絡的主動探測。

3. 多類型探測引擎

風險探知技術平臺采用基于消息總線和WebService等通用擴展技術。通過消息總線可以實現(xiàn)對內部分布式探針的管理和擴展，可以很好的支持自身的分布式探針，也可以支持第三方的分布式探針。

（二）信息識別

平臺依托內置的IP地址信息庫、指紋庫、特征庫，可以有效的識別設備的地理位置、基礎信息、工控信息、DNS信息、WEB應用信息。

（三）網(wǎng)絡空間地圖

平臺能夠提供多維搜索和關聯(lián)搜索兩種搜索技術，快速定位符合搜索條件的目標網(wǎng)絡節(jié)點。

（四）漏洞利用驗證

平臺通過快速漏洞驗證提供針對網(wǎng)絡節(jié)點上發(fā)現(xiàn)的漏洞進行驗證或發(fā)起攻擊的能力。快速漏洞驗證能夠與網(wǎng)絡節(jié)點詳細信息展示相關聯(lián)，查看網(wǎng)絡節(jié)點詳細信息中的漏洞后調出漏洞驗證功能，用戶配置漏洞驗證相關參數(shù)后就能快速進行漏洞驗證或利用。

（五）安全態(tài)勢分析

平臺通過信息識別分析、綜合統(tǒng)計分析和查詢統(tǒng)計分析等相關技術，通過長期積累的經(jīng)驗完成對網(wǎng)絡節(jié)點上設備的信息識別，并將識別的信息和搜索結果通過圖、表、地圖等多種形式展現(xiàn)出來。

五、結語

隨著信息技術的不斷發(fā)展，企業(yè)的網(wǎng)絡規(guī)模不斷擴大，需要這種通過基礎信息庫的構建，通過資產(chǎn)基礎信息的識別，構建網(wǎng)絡空間地圖，利用漏洞利用驗證，展現(xiàn)網(wǎng)絡安全態(tài)勢，即時了解網(wǎng)絡風險分布狀況，設備運行狀況，網(wǎng)絡和設備安全態(tài)勢狀況，并通過快速漏洞驗證功能提供的針對網(wǎng)絡節(jié)點上發(fā)現(xiàn)的漏洞進行驗證或發(fā)起攻擊的能力，利用主動化的風險探知平臺保障網(wǎng)絡的信息系統(tǒng)的安全，確保信息系統(tǒng)中數(shù)據(jù)的安全，從而實現(xiàn)企業(yè)信息化的健康發(fā)展。

作者單位：中國電子科技集團公司第三十四研究所