基于互聯網暴露面感知管控與漏洞預警平臺創新構建與探索

樊 華 中國電信股份有限公司景德鎮分公司 江西省景德鎮市 333000

劉堅橋 中國電信股份有限公司江西分公司 南昌市 330000

0 引言

隨著內外部形勢的復雜化，國家對網絡安全的重視程度越來越高，自《中華人民共和國網絡安全法》頒布以來，上級監管單位對網絡漏洞的考核力度也逐年增加，做好對公網端口的管控以及新增漏洞的及時響應是壓降網絡漏洞的有力方法。

在行業內，端口管控系統和漏洞情報系統是企業網絡安全建設體系的基本手段之一。端口管控系統能有效梳理企業公網資產的邊界，降低企業資產對外的暴露面，充分降低被外部黑客入侵的風險。威脅情報提供對網絡中的資產進行梳理功能，對資產風險信息進行檢索，發現風險漏洞，能夠對網絡中的網絡設備、安全設備、應用系統的日志信息進行實時收集，并能夠結合IP屬性信息以及系統漏洞情報，及時發現網絡中存在的安全風險，繪制網絡安全底圖。

因此，構建一套具備端口發現、處置、封堵能力以及外部漏洞情報獲取、響應系統可以彌補現階段相關手段的空白，具有非常重要的意義。

1 互聯網暴露面感知與管控平臺目標

針對以上問題，我們制定互聯網暴露面感知與管控平臺的項目目標如下：

（1）暴露面感知：開發暴露面感知系統，每天對全量自營IP地址進行全端口掃描，提供掃描結果預警功能；

（2）暴露面處置：開發一套WEB管理系統，方便安全員能夠對本單位暴露面數據進行處置，包括端口復核、認領、封堵、加白等；

（3）暴露面可視化：實現數據可視化呈現，對每日新增、每日關閉、各單位數據、暴露面變化趨勢、高危端口警示等；

（4）暴露面臺賬管理：開發一個暴露面臺賬管理模塊，滿足每月暴露面數據上報要求；

（5）漏洞情報中心：獲取每日最新的漏洞情報，根據情報篩選出受影響的資產，并發出預警。

2 關鍵技術及主要技術指標

端口掃描的定義是客戶端向一定范圍的服務器端口發送對應請求，以此確認可使用的端口。雖然其本身并不是惡意的網絡活動，但也是網絡攻擊者探測目標主機服務，以利用該服務的已知漏洞的重要手段。公共互聯網端口監控系統和威脅情報獲取是整個安全體系中非常重要的一環，它就像眼睛一樣，時刻監控外網端口開放情況，并且在發現高危端口時能夠及時提醒安全、運維人員做出相應處理。

隨著對網絡安全要求日趨精細化，對“權限最小化”、網絡安全漏洞要求的考核日趨嚴格，做好公網暴露面資產的端口管控，影響企事業單位IT資產的漏洞情報獲取等工作越來越重要。而當前依賴于人工完成這兩項工作，效率低，及時性差。因此，通過研發出一款自動化的、可閉環的網絡安全端口以及漏洞預警處置系統對網絡安全具有十分重要的意義。

網絡安全端口以及漏洞預警處置系統項目關鍵技術：系統包含端口掃描、端口封堵、威脅情報搜集、資產篩查與漏洞預警、控制中臺等模塊以下將對以上五個模塊的功能設計依次進行說明。

2.1 端口掃描

利用主流的掃描技術對全量公網地址開展全端口掃描，支持TCP和UDP端口掃描兩種掃描模式，在保證端口掃描準確性的前提下，以并發模式提高掃描效率，完成全端口掃描時間控制在5個小時以內。

2.2 端口封堵

具備對高危端口進行一鍵封堵的處置能力?；诩瘓F一體化平臺，對主機端口進行封堵處置。目前主要支持基于Linux 平臺下Netfilter/iptables（簡稱為iptables）組成的包過濾防火墻以及Windows操作系統系統防火墻的端口封堵功能。

2.3 威脅情報搜集

具備對安全威脅情報（Security Threat Intelligence）的搜集能力?；谥髁鞯呐老x框架Scrapy對目前公開的安全威脅情報進行漏洞信息搜集，將搜集的結果進行關鍵字段提取，并將結果寫入Mysql數據庫。

2.4 資產篩查與漏洞預警

針對搜集的漏洞信息對自有資產開展漏洞篩查。利用集團一體化本地平臺采集到的信息，進行關鍵字、軟件版本匹配，篩選出受特定漏洞影響的資產。漏洞預警利用服保系統將漏洞預警工單派發至特定的維護人員工位上。

2.5 控制中臺

具備WEB 界面形式的控制中臺?；赑ython+flask+jQuery構建一套WEB數據控制中臺，補充端口認領、端口復核、端口封堵與解封等功能的可視化操作界面?；趀charts庫實現對端口開放態勢、漏洞情報態勢的可視化呈現功能。如圖1所示。

圖1 項目技術概覽

3 主要功能點介紹

3.1 暴露面感知模塊

（1）資產導入：SOC平臺每日發送最新資產給本系統，通過編寫腳本獲取最新SOC 資產，100%覆蓋自營IP地址；

（2）暴露面掃描：采用python-nmap 庫，對TCP 端口和UDP 端口同時掃描，結合并發調度，完成全量IP地址全端口掃描僅需3-4小時；

（3） 新增暴露面預警：對掃描結果進行入庫、處理，篩選出新增端口，并通過郵件發送給相應安全員，提醒對新增暴露面進行處置。目前正在與綜告對接，后續將采用綜告派單預警。

3.2 端口管控模塊

為了方便安全員對端口進行管控，我們開發出了一系列功能：

（1）高級搜索功能：支持多維度搜索，幫助安全員快速定位相關資產；

（2）端口復核：支持對端口進行再次掃描，確認端口狀態；

（3）端口認領：對掃描發現的端口進行認領，認領的端口將添加到暴露面臺賬中。

（4）端口加白：將一些特殊原因導致被掃描到的端口加入白名單；

（5）端口封堵與解封：緊急情況下對某些端口進行封堵、解封；

（6）高危端口警示：自建高危端口與協議庫，對高危端口進行標紅顯示；

（7）未認領端口警示：對開放的未認領端口進行標識警示。

3.3 端口開放態勢

對暴露面變化數據進行全方位展示，相關數據一目了然：

（1）今日新增、關閉、近30日開放與關閉端口數量；

（2）端口開放地圖分布；

（3）各單位/部門開放端口數量；

（4）各單位/部門端口開放與存活IP數量變化趨勢圖；

（5）高危端口數量；

（6）當日新增端口詳單。

3.4 暴露面臺賬模塊

為滿足網絡安全管控工作要求，研發暴露面臺賬模塊：按照臺賬模板建立數據庫，融合多維度數據，自動填寫相關字段，臺賬導出即可滿足要求；

（1）支持端口認領與自主上報兩個數據來源，充分保證臺賬數據的完備性；

（2）自該模塊上線以來，安全員已無須再維護E xcel臺賬，極大減輕工作量，同時也提高了臺賬的準確性。

3.5 漏洞情報爬蟲

（1）每日對開源的漏洞情報網站數據進行爬取，目前覆蓋CVE（Common Vulnerabilities&Exposures，通用漏洞披露）和CNNVD（中國國家信息安全漏洞庫）；

（2）將爬取的結果進行處理，解析關鍵的參數，如漏洞名稱、漏洞編號、漏洞級別以及漏洞詳情。

3.6 安全WEB

（1）遵照SDL（安全開發生命周期）開發原則完成本平臺的開發；

（2）增加登錄圖形驗證碼，避免暴力破解；

（3）用戶默認口令、修改口令均有強口令要求；

（4）用戶密碼加鹽哈希存儲；

（5）分權分域管理，不同組織架構下的用戶只能看到與權限匹配的數據；

（6）結合網絡安全滲透測試，避免應用層邏輯漏洞。

網絡安全端口以及漏洞預警處置系統項目較市面上同類產品有以下優勢：

（1）定制化程度更高。充分復用現有技術手段，打通各系統的壁壘，將各模塊功能充分與現有管控模式相融合；

（2）功能更完備。本項目實現的端口認領、端口復核、端口封堵與解封的能力均依照最新文件要求開發，功能上更貼合生產要求。

4 結束語

面向網絡脆弱性管理，結合外部漏洞情報信息，針對資產安全視角，以風險優先級為核心，整合多源脆弱性數據，聚焦關鍵風險，量化風險指標，本平臺實現了漏洞全生命周期的管理的解決方案。幫助建立快速響應機制，及時有效完成漏洞修補工作。平臺對網絡資產進行全面搜集、繪制畫像和監控，及時發現網絡安全威脅，減少互聯網暴露面，有效收斂可被利用的攻擊路徑，避免敏感信息泄露和重要資產損失，保障了信息系統安全和穩定運行，維護社會公共利益。