一種基于風險探知技術的安全解決方案

文｜張軍

一種基于風險探知技術的安全解決方案

文｜張軍

隨著信息化技術在政府、企業等組織日常經營活動的不斷深入，越來越多的組織通過基于聯網的信息系統為組織自身和客戶提供服務。這些基于聯網的信息系統為組織和客戶帶來便利的同時也成為了攻擊的目標，基于互聯網的信息系統一旦被惡意者攻陷并加以利用將會給組織和客戶帶來業務收入損失、形象品牌損失、數據與財產損失、秘密及隱私泄露等各種各樣的不利影響，更甚者有可能上升影響到國家安全。

深入分析導致基于聯網的信息系統風險嚴峻的原因，可以發現雖然各個組織都在不斷的完善自身的安全防御體系以此來抵制各種可能發生的威脅事件，但僅憑安全防御體系被動防御還不足以保障信息系統的安全，還需要不斷完善主動化的風險探知體系，以此來發現防御體系存在的風險并對其進行修補，只有這樣才能提高組織的整體安全。

一、需求背景

隨著網絡信息化建設不斷完善，基礎設備、服務器、網絡設備、安全設備不斷增多，網絡越來越復雜，各類數據信息的獲取通常處于被狀態，不具備完善的網絡基礎信息庫，無法自動化智能化的統計出網內設備與應用的數量，無法有效識別網內設備和應用的上架情況。伴隨著業務的不斷變化，需求的不斷變化，網絡的不斷變化，每個階段網內設備與應用的狀態依據業務及需求不斷發生改變，新增了哪些設備，新開了什么端口，設備及應用均處于什么樣的運行狀態。面對這種現狀，需要采用多樣化信息采集方式，主動全面獲取網內各類信息，構建全網網絡基礎信息庫；統計各類設備與應用，識別應用的基本信息。在基礎信息庫的基礎上，不斷實時更新覆蓋全網網絡基礎信息庫。

二、風險探知技術平臺關鍵技術

（一）基礎信息主動探測技術

風險探知技術平臺融合多種探測技術，通過采集引擎可主動收集安全設備、網絡設備、主機/服務器以及工控設備的信息，并可向目標發送探測數據包，發現目標存活性，接收目標反饋的數據包，并將反饋信息提交給后臺進行分析。通過指紋庫的比對，設備信息采集可實現探測目標類型及型號、操作系統類型和版本號、所承載服務及軟硬件版本等信息收集和判斷，可發現探測目標的脆弱性信息。整個過程大體可分為端口掃描、協議識別、服務、應用、操作系統信息獲取和脆弱性收集四個部分。

（二）超文本標記抽取技術

充分利用市場上輿情產品的技術積累，實現對超文本的積累。通過端口、http包頭、banner信息、指紋信息等實現超文本標記抽取。如：通過開放的端口及服務來識別網絡設備或應用服務器；通過提取WEB指紋來判斷設備廠商或設備類型；通過WEB指紋識別技術可以獲取應用服務組件。

（三）構建漏洞驗證功能，實現漏洞驗證自動化支撐

風險探知技術平臺具備漏洞驗證功能，可以對網絡節點上發現的漏洞進行驗證并發起攻擊。快速漏洞驗證能夠與網絡節點詳細信息展示相關聯，查看網絡節點詳細信息中的漏洞后調出快速漏洞驗證功能，用戶配置漏洞驗證相關參數后就能快速進行漏洞驗證，快速漏洞驗證參數設置包括但不限于漏洞驗證、攻擊的插件選擇、目標網絡節點IP地址、目標端口、有效載荷代碼選擇等。

（四）基于高性能存儲和檢索技術

風險探知技術平臺統融合了多種探測引擎，對目標網絡采集基礎信息，包括：端口、服務、操作系統、web應用漏洞、系統漏洞、應用系統、網絡信息節點、網絡安全設備等，數據存儲容量大，采用現有的關系數據庫無法滿足。其次，采集的數據有基于結構化的數據，也有非結構化數據和半結構化的數據，現有關系數據不支持非結構化數據和半結構化數據。再次，要求風險探知技術平臺支持實時化的數據搜索。對于存儲和查詢、分析的數據達到上百個TB時，常規系統是無法支持這種大數據的存儲和實時查詢功能。

為了解決支持數據存儲、查詢、分析的數據達到上百個TB時，風險探知技術平臺采用存儲容量支持PB級別的分布式數據庫MongoDB作為風險探知技術平臺的存儲數據庫；同時MongoDB數據庫支持結構化和非結構化數據，滿足風險探知技術平臺的數據存儲要求。采用分布式多用戶的搜索引擎Elasticsearch實現風險探知技術平臺實時查詢和分析功能。MongoDB分布式數據庫和Elasticearch分布式搜索引擎都支持PB級別的存儲容量。

三、風險探知技術平臺設計

（一）功能架構

圖1 風險探知平臺功能架構

風險探知技術平臺從功能上劃分主要由五個層次組成，被管理對象層、信息采集層、信息匯聚層、核心業務層、應用與展示層。

平臺與外部資源和系統進行接口交互，最終實現對中心網絡安全防護、網絡攻防、網絡風險評估業務的支撐。

被管理對象層包括各政務網站主要組成部分，包括各類主機/服務器、安全設備、網絡設備、工控設備、WEB應用、中間件、數據庫、郵件系統和DNS系統等，通過在網絡上對這些對象信息的主動探測與收集，形成相關業務支撐的基礎數據。

信息采集層包括分布式部署的各個主動探測節點，這些節點主要包括信息采集、Web信息采集、郵件系統信息采集、DNS系統信息采集以及漏洞驗證與利用的功能，實現信息主動探測的執行層。

信息匯聚層將信息采集層獲取的信息進行數據的抽取、轉換和加載后，通過分類信息的識別，分別將原始信息和分類信息存儲在原始信息庫和匯總信息庫中，同時提供輔助信息庫，負責指紋庫、IP數據庫、漏洞特征庫和協議分析庫的管理。

核心業務層包括信息采集管理子系統、數據分析子系統能夠、網絡攻防應用子系統和分布式管理子系統。其中采集管理子系統負責對信息采集對象、規則和任務的統一管理；數據分析子系統負責信息識別分析、綜合數據分析、漏洞分析、安全態勢分析和重點用戶分析；網絡攻防應用子系統負責漏洞的驗證與利用、漏洞聯動攻擊以及匯總點目標的探查；分布式管理子系統負責分布式存儲管理、分布式節點管理、分布式任務管理和系統管理。

應用與展示層為用戶提供人機交互界面，實現網絡空間地圖的繪制與展示、樓頂驗證與利用、漏洞分布與安全態勢感知以及重點用戶分析的功能。

（二）網絡部署環境

圖2 風險探知技術平臺網絡部署示意圖

如圖2所示，風險探知技術平臺由總中心和分中心兩部分構成；其中總中心包括：

數據庫服務器：實現大數據的存儲，滿足風險探知技術平臺的基礎信息采集；

數據匯聚服務器：實現對分中心主動探測節點服務器上傳數據的匯總和轉化；

分布式存儲計算服務器：實現對大數據的存儲和計算分析。

管理服務器：對風險探知系統的管理和風險可視化展示。

分中心主要由一組主動探測節點服務器構成，主動對目標網絡進行基礎信息的采集。

四、技術特點

（一）主動探測

1. 多樣化探測手段

風險探知技術平臺在探測技術方面將融合多種探測技術，主要包括以下幾個方面：

支持針對web漏洞掃描技術；

支持系統漏洞掃描技術；

支持針對操作系統的探測技術；

針對端口的探測技術；

服務探測技術；

Web爬蟲技術；

漏洞驗證與利用技術；

2. 分布式探測技術

風險探知技術平臺支持分布式探測節點部署，通過分布式節點管理實現了對不同目標網絡的主動探測。

3. 多類型探測引擎

風險探知技術平臺采用基于消息總線和WebService等通用擴展技術。通過消息總線可以實現對內部分布式探針的管理和擴展，可以很好的支持自身的分布式探針，也可以支持第三方的分布式探針。

（二）信息識別

平臺依托內置的IP地址信息庫、指紋庫、特征庫，可以有效的識別設備的地理位置、基礎信息、工控信息、DNS信息、WEB應用信息。

（三）網絡空間地圖

平臺能夠提供多維搜索和關聯搜索兩種搜索技術，快速定位符合搜索條件的目標網絡節點。

（四）漏洞利用驗證

平臺通過快速漏洞驗證提供針對網絡節點上發現的漏洞進行驗證或發起攻擊的能力。快速漏洞驗證能夠與網絡節點詳細信息展示相關聯，查看網絡節點詳細信息中的漏洞后調出漏洞驗證功能，用戶配置漏洞驗證相關參數后就能快速進行漏洞驗證或利用。

（五）安全態勢分析

平臺通過信息識別分析、綜合統計分析和查詢統計分析等相關技術，通過長期積累的經驗完成對網絡節點上設備的信息識別，并將識別的信息和搜索結果通過圖、表、地圖等多種形式展現出來。

五、結語

隨著信息技術的不斷發展，企業的網絡規模不斷擴大，需要這種通過基礎信息庫的構建，通過資產基礎信息的識別，構建網絡空間地圖，利用漏洞利用驗證，展現網絡安全態勢，即時了解網絡風險分布狀況，設備運行狀況，網絡和設備安全態勢狀況，并通過快速漏洞驗證功能提供的針對網絡節點上發現的漏洞進行驗證或發起攻擊的能力，利用主動化的風險探知平臺保障網絡的信息系統的安全，確保信息系統中數據的安全，從而實現企業信息化的健康發展。

作者單位：中國電子科技集團公司第三十四研究所