樊 華 中國電信股份有限公司景德鎮(zhèn)分公司 江西省景德鎮(zhèn)市 333000

劉堅(jiān)橋 中國電信股份有限公司江西分公司 南昌市 330000

0 引言

隨著內(nèi)外部形勢的復(fù)雜化，國家對網(wǎng)絡(luò)安全的重視程度越來越高，自《中華人民共和國網(wǎng)絡(luò)安全法》頒布以來，上級監(jiān)管單位對網(wǎng)絡(luò)漏洞的考核力度也逐年增加，做好對公網(wǎng)端口的管控以及新增漏洞的及時(shí)響應(yīng)是壓降網(wǎng)絡(luò)漏洞的有力方法。

在行業(yè)內(nèi)，端口管控系統(tǒng)和漏洞情報(bào)系統(tǒng)是企業(yè)網(wǎng)絡(luò)安全建設(shè)體系的基本手段之一。端口管控系統(tǒng)能有效梳理企業(yè)公網(wǎng)資產(chǎn)的邊界，降低企業(yè)資產(chǎn)對外的暴露面，充分降低被外部黑客入侵的風(fēng)險(xiǎn)。威脅情報(bào)提供對網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行梳理功能，對資產(chǎn)風(fēng)險(xiǎn)信息進(jìn)行檢索，發(fā)現(xiàn)風(fēng)險(xiǎn)漏洞，能夠?qū)W(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)的日志信息進(jìn)行實(shí)時(shí)收集，并能夠結(jié)合IP屬性信息以及系統(tǒng)漏洞情報(bào)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全風(fēng)險(xiǎn)，繪制網(wǎng)絡(luò)安全底圖。

因此，構(gòu)建一套具備端口發(fā)現(xiàn)、處置、封堵能力以及外部漏洞情報(bào)獲取、響應(yīng)系統(tǒng)可以彌補(bǔ)現(xiàn)階段相關(guān)手段的空白，具有非常重要的意義。

1 互聯(lián)網(wǎng)暴露面感知與管控平臺目標(biāo)

針對以上問題，我們制定互聯(lián)網(wǎng)暴露面感知與管控平臺的項(xiàng)目目標(biāo)如下：

（1）暴露面感知：開發(fā)暴露面感知系統(tǒng)，每天對全量自營IP地址進(jìn)行全端口掃描，提供掃描結(jié)果預(yù)警功能；

（2）暴露面處置：開發(fā)一套WEB管理系統(tǒng)，方便安全員能夠?qū)Ρ締挝槐┞睹鏀?shù)據(jù)進(jìn)行處置，包括端口復(fù)核、認(rèn)領(lǐng)、封堵、加白等；

（3）暴露面可視化：實(shí)現(xiàn)數(shù)據(jù)可視化呈現(xiàn)，對每日新增、每日關(guān)閉、各單位數(shù)據(jù)、暴露面變化趨勢、高危端口警示等；

（4）暴露面臺賬管理：開發(fā)一個(gè)暴露面臺賬管理模塊，滿足每月暴露面數(shù)據(jù)上報(bào)要求；

（5）漏洞情報(bào)中心：獲取每日最新的漏洞情報(bào)，根據(jù)情報(bào)篩選出受影響的資產(chǎn)，并發(fā)出預(yù)警。

2 關(guān)鍵技術(shù)及主要技術(shù)指標(biāo)

端口掃描的定義是客戶端向一定范圍的服務(wù)器端口發(fā)送對應(yīng)請求，以此確認(rèn)可使用的端口。雖然其本身并不是惡意的網(wǎng)絡(luò)活動，但也是網(wǎng)絡(luò)攻擊者探測目標(biāo)主機(jī)服務(wù)，以利用該服務(wù)的已知漏洞的重要手段。公共互聯(lián)網(wǎng)端口監(jiān)控系統(tǒng)和威脅情報(bào)獲取是整個(gè)安全體系中非常重要的一環(huán)，它就像眼睛一樣，時(shí)刻監(jiān)控外網(wǎng)端口開放情況，并且在發(fā)現(xiàn)高危端口時(shí)能夠及時(shí)提醒安全、運(yùn)維人員做出相應(yīng)處理。

隨著對網(wǎng)絡(luò)安全要求日趨精細(xì)化，對“權(quán)限最小化”、網(wǎng)絡(luò)安全漏洞要求的考核日趨嚴(yán)格，做好公網(wǎng)暴露面資產(chǎn)的端口管控，影響企事業(yè)單位IT資產(chǎn)的漏洞情報(bào)獲取等工作越來越重要。而當(dāng)前依賴于人工完成這兩項(xiàng)工作，效率低，及時(shí)性差。因此，通過研發(fā)出一款自動化的、可閉環(huán)的網(wǎng)絡(luò)安全端口以及漏洞預(yù)警處置系統(tǒng)對網(wǎng)絡(luò)安全具有十分重要的意義。

網(wǎng)絡(luò)安全端口以及漏洞預(yù)警處置系統(tǒng)項(xiàng)目關(guān)鍵技術(shù)：系統(tǒng)包含端口掃描、端口封堵、威脅情報(bào)搜集、資產(chǎn)篩查與漏洞預(yù)警、控制中臺等模塊以下將對以上五個(gè)模塊的功能設(shè)計(jì)依次進(jìn)行說明。

2.1 端口掃描

利用主流的掃描技術(shù)對全量公網(wǎng)地址開展全端口掃描，支持TCP和UDP端口掃描兩種掃描模式，在保證端口掃描準(zhǔn)確性的前提下，以并發(fā)模式提高掃描效率，完成全端口掃描時(shí)間控制在5個(gè)小時(shí)以內(nèi)。

2.2 端口封堵

具備對高危端口進(jìn)行一鍵封堵的處置能力?；诩瘓F(tuán)一體化平臺，對主機(jī)端口進(jìn)行封堵處置。目前主要支持基于Linux 平臺下Netfilter/iptables（簡稱為iptables）組成的包過濾防火墻以及Windows操作系統(tǒng)系統(tǒng)防火墻的端口封堵功能。

2.3 威脅情報(bào)搜集

具備對安全威脅情報(bào)（Security Threat Intelligence）的搜集能力?；谥髁鞯呐老x框架Scrapy對目前公開的安全威脅情報(bào)進(jìn)行漏洞信息搜集，將搜集的結(jié)果進(jìn)行關(guān)鍵字段提取，并將結(jié)果寫入Mysql數(shù)據(jù)庫。

2.4 資產(chǎn)篩查與漏洞預(yù)警

針對搜集的漏洞信息對自有資產(chǎn)開展漏洞篩查。利用集團(tuán)一體化本地平臺采集到的信息，進(jìn)行關(guān)鍵字、軟件版本匹配，篩選出受特定漏洞影響的資產(chǎn)。漏洞預(yù)警利用服保系統(tǒng)將漏洞預(yù)警工單派發(fā)至特定的維護(hù)人員工位上。

2.5 控制中臺

具備WEB 界面形式的控制中臺?；赑ython+flask+jQuery構(gòu)建一套WEB數(shù)據(jù)控制中臺，補(bǔ)充端口認(rèn)領(lǐng)、端口復(fù)核、端口封堵與解封等功能的可視化操作界面?；趀charts庫實(shí)現(xiàn)對端口開放態(tài)勢、漏洞情報(bào)態(tài)勢的可視化呈現(xiàn)功能。如圖1所示。

圖1 項(xiàng)目技術(shù)概覽

3 主要功能點(diǎn)介紹

3.1 暴露面感知模塊

（1）資產(chǎn)導(dǎo)入：SOC平臺每日發(fā)送最新資產(chǎn)給本系統(tǒng)，通過編寫腳本獲取最新SOC 資產(chǎn)，100%覆蓋自營IP地址；

（2）暴露面掃描：采用python-nmap 庫，對TCP 端口和UDP 端口同時(shí)掃描，結(jié)合并發(fā)調(diào)度，完成全量IP地址全端口掃描僅需3-4小時(shí)；

（3） 新增暴露面預(yù)警：對掃描結(jié)果進(jìn)行入庫、處理，篩選出新增端口，并通過郵件發(fā)送給相應(yīng)安全員，提醒對新增暴露面進(jìn)行處置。目前正在與綜告對接，后續(xù)將采用綜告派單預(yù)警。

3.2 端口管控模塊

為了方便安全員對端口進(jìn)行管控，我們開發(fā)出了一系列功能：

（1）高級搜索功能：支持多維度搜索，幫助安全員快速定位相關(guān)資產(chǎn)；

（2）端口復(fù)核：支持對端口進(jìn)行再次掃描，確認(rèn)端口狀態(tài)；

（3）端口認(rèn)領(lǐng)：對掃描發(fā)現(xiàn)的端口進(jìn)行認(rèn)領(lǐng)，認(rèn)領(lǐng)的端口將添加到暴露面臺賬中。

（4）端口加白：將一些特殊原因?qū)е卤粧呙璧降亩丝诩尤氚酌麊危?/p>

（5）端口封堵與解封：緊急情況下對某些端口進(jìn)行封堵、解封；

（6）高危端口警示：自建高危端口與協(xié)議庫，對高危端口進(jìn)行標(biāo)紅顯示；

（7）未認(rèn)領(lǐng)端口警示：對開放的未認(rèn)領(lǐng)端口進(jìn)行標(biāo)識警示。

3.3 端口開放態(tài)勢

對暴露面變化數(shù)據(jù)進(jìn)行全方位展示，相關(guān)數(shù)據(jù)一目了然：

（1）今日新增、關(guān)閉、近30日開放與關(guān)閉端口數(shù)量；

（2）端口開放地圖分布；

（3）各單位/部門開放端口數(shù)量；

（4）各單位/部門端口開放與存活I(lǐng)P數(shù)量變化趨勢圖；

（5）高危端口數(shù)量；

（6）當(dāng)日新增端口詳單。

3.4 暴露面臺賬模塊

為滿足網(wǎng)絡(luò)安全管控工作要求，研發(fā)暴露面臺賬模塊：按照臺賬模板建立數(shù)據(jù)庫，融合多維度數(shù)據(jù)，自動填寫相關(guān)字段，臺賬導(dǎo)出即可滿足要求；

（1）支持端口認(rèn)領(lǐng)與自主上報(bào)兩個(gè)數(shù)據(jù)來源，充分保證臺賬數(shù)據(jù)的完備性；

（2）自該模塊上線以來，安全員已無須再維護(hù)E xcel臺賬，極大減輕工作量，同時(shí)也提高了臺賬的準(zhǔn)確性。

3.5 漏洞情報(bào)爬蟲

（1）每日對開源的漏洞情報(bào)網(wǎng)站數(shù)據(jù)進(jìn)行爬取，目前覆蓋CVE（Common Vulnerabilities&Exposures，通用漏洞披露）和CNNVD（中國國家信息安全漏洞庫）；

（2）將爬取的結(jié)果進(jìn)行處理，解析關(guān)鍵的參數(shù)，如漏洞名稱、漏洞編號、漏洞級別以及漏洞詳情。

3.6 安全WEB

（1）遵照SDL（安全開發(fā)生命周期）開發(fā)原則完成本平臺的開發(fā)；

（2）增加登錄圖形驗(yàn)證碼，避免暴力破解；

（3）用戶默認(rèn)口令、修改口令均有強(qiáng)口令要求；

（4）用戶密碼加鹽哈希存儲；

（5）分權(quán)分域管理，不同組織架構(gòu)下的用戶只能看到與權(quán)限匹配的數(shù)據(jù)；

（6）結(jié)合網(wǎng)絡(luò)安全滲透測試，避免應(yīng)用層邏輯漏洞。

網(wǎng)絡(luò)安全端口以及漏洞預(yù)警處置系統(tǒng)項(xiàng)目較市面上同類產(chǎn)品有以下優(yōu)勢：

（1）定制化程度更高。充分復(fù)用現(xiàn)有技術(shù)手段，打通各系統(tǒng)的壁壘，將各模塊功能充分與現(xiàn)有管控模式相融合；

（2）功能更完備。本項(xiàng)目實(shí)現(xiàn)的端口認(rèn)領(lǐng)、端口復(fù)核、端口封堵與解封的能力均依照最新文件要求開發(fā)，功能上更貼合生產(chǎn)要求。

4 結(jié)束語

面向網(wǎng)絡(luò)脆弱性管理，結(jié)合外部漏洞情報(bào)信息，針對資產(chǎn)安全視角，以風(fēng)險(xiǎn)優(yōu)先級為核心，整合多源脆弱性數(shù)據(jù)，聚焦關(guān)鍵風(fēng)險(xiǎn)，量化風(fēng)險(xiǎn)指標(biāo)，本平臺實(shí)現(xiàn)了漏洞全生命周期的管理的解決方案。幫助建立快速響應(yīng)機(jī)制，及時(shí)有效完成漏洞修補(bǔ)工作。平臺對網(wǎng)絡(luò)資產(chǎn)進(jìn)行全面搜集、繪制畫像和監(jiān)控，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅，減少互聯(lián)網(wǎng)暴露面，有效收斂可被利用的攻擊路徑，避免敏感信息泄露和重要資產(chǎn)損失，保障了信息系統(tǒng)安全和穩(wěn)定運(yùn)行，維護(hù)社會公共利益。