網絡安全監(jiān)督檢查工具研究

趙毓鵬 劉 禎 胡宇宣 苗 晗 耿滋鈞

國網思極網安科技(北京)有限公司 北京 102209

1 概述

互聯(lián)網已經成為日常生活中不可缺少的工具，各類數(shù)據(jù)信息變得更加重要，許多產業(yè)都與互聯(lián)網有或多或少的聯(lián)系。最近幾年各種網絡安全事件頻繁發(fā)生，網絡安全威脅形式愈來愈多，危害的范圍以及造成的影響不斷加大，使得每個行業(yè)都必須對它加強重視。能源又作為一個國家的核心資源，在資源行業(yè)中的網絡安全變得更加重要。因此，在電力物聯(lián)網這一熱門研究領域中，開展安全監(jiān)督檢查工具的研究，是十分必要的。其中，基于Web安全監(jiān)督檢查工具的研究，更是重中之重。監(jiān)督檢查主要是指對系統(tǒng)自身進行安全防護性能的考察，從全生命周期角度出發(fā)，分析所存在的安全隱患和漏洞[1]。依據(jù)常見的網絡安全督查“突擊檢查”的工作性質，結合各項網絡安全督查時間較短的工作特點，研究專業(yè)化技術手段，設計研究專業(yè)化Web安全監(jiān)督檢查工具，幫助督查人員精準、快速檢測到網絡或系統(tǒng)存在的風險漏洞，實現(xiàn)自動化工作模式，加快監(jiān)督檢查流程，有效提升檢查效率和檢查結果的真實性[2]。

2 現(xiàn)實意義

能源行業(yè)信息系統(tǒng)至關重要，一旦遭到破壞、喪失功能或數(shù)據(jù)泄露會產生嚴重威脅[3]。近年來能源行業(yè)的網絡安全已經成為影響能源行業(yè)安全的重要因素，保障能源行業(yè)的網絡安全是重中之重。

隨著社會的進步與能源結構的不斷發(fā)展，在未來會有越來越多的IoT設備接入電力系統(tǒng)[4]。網絡安全將面臨萬物互聯(lián)新挑戰(zhàn)，電力物聯(lián)網的安全也變得至關重要[5]。網絡安全監(jiān)督檢查對于公司日常安全運行管理和維護電力系統(tǒng)的安全至關重要，是必不可少的一項工作。利用相關工作人員的經驗，再加上自動化的督查工具，使得安全檢查更有權威性，可以更好地解決出現(xiàn)的安全問題，提高整體安全性。

3 發(fā)展趨勢

目前，各類網絡和信息管理系統(tǒng)已經深入各個行業(yè)，成為日常辦公必不可少的工具。正因為其重要性，從而誕生了網絡安全督查這一必要工作。國內外在網絡安全這一領域的重視程度達到了空前的高度，對網絡安全這一方面的研究水平也在不斷提高，每年都會有許多新的網絡安全產品投入使用。網絡安全督查工具的研究工作還處于不斷完善的階段，擁有很好的發(fā)展趨勢。

根據(jù)日常工作的經驗，總結出網絡安全常見的漏洞及風險，將其檢查技術進行整合優(yōu)化，形成自動化的網絡安全監(jiān)督檢查工具。該工具在日后的各類網絡安全督查工作中，必將占有至關重要的地位，成為查找漏洞，提高安全性的一個利器。

4 監(jiān)督檢查工具功能分析

正是因為網絡安全的地位不斷上升，促使我們要定期進行網絡安全的監(jiān)督檢查[6]。對于網絡進行監(jiān)督檢查是保證信息安全生命周期的一個重要環(huán)節(jié)，針對企業(yè)的網絡拓撲、設備物件、機房服務器、協(xié)議、各類接口、防火墻的策略配置等進行定期的檢查，有利于保障企業(yè)的信息與數(shù)據(jù)安全[7]。在進行督查之后，根據(jù)所發(fā)現(xiàn)的漏洞、弱口令等問題給出相應的分析報告并提出有效的整改意見。

檢查工具在整個督查流程中，是不可缺少的。對檢查工具進行改進，也有著至關重要的意義和作用，工具逐漸向著自動化和標準化的方向發(fā)展。由于現(xiàn)實工作場景以及督查工作的時長要求，自動化的檢查工具不僅可以使得工作人員解放雙手，還提高了準確性。在自動化的檢查過程中，工作人員可以進行更多其他的物理環(huán)境方面的檢查，提高了整體的檢查效率。

黑客在進行網絡滲透入侵時，會對目標的主機或者網段進行掃描，進而發(fā)現(xiàn)主機或者目標網段的漏洞或者脆弱點，之后便會根據(jù)所掃描到的漏洞位置或者詳細信息進行下一步攻擊。漏洞本身不會對整個系統(tǒng)造成影響，但正是因為黑客會利用這些漏洞，造成一定程度的危害。而安全工作者同樣可以使用掃描工具，對主機或者網段進行掃描，發(fā)現(xiàn)漏洞采取補救措施，避免黑客入侵。工作者使用掃描工具進行掃描屬于主動防御，可以發(fā)現(xiàn)所存在的隱患，做到防患于未然，是一種非常有效的方式。因此監(jiān)督檢查工具的主要思想就是采用一種逆向思維，以一種模擬黑客滲透的方式進行檢測，如果成功滲透，則說明該主機或者網段存在風險。

檢查工具是以自動化的滲透測試為基礎，模擬進行滲透攻擊，并探測到系統(tǒng)所存在的安全隱患的一種可視化黑盒測試工具。自動化主要體現(xiàn)在將多種實用性的滲透工具集成串聯(lián)，形成一條自動化的滲透測試鏈。

4.1 拓撲探測

掃描所輸入的IP范圍內所有的資產信息，對設備的端口和服務進行掃描，從而對設備臺賬、MAC地址及開放的端口與服務進行分析，從而可以間接或直觀地了解所存在的安全問題。將掃描得到的設備與上次更新所保存的配置拓撲圖進行對比，保障沒有違規(guī)接入的外部設備。并且可以進行拓撲圖編輯，保證新增設備后的及時更新。在進行探測之后，通過餅狀圖的形式，展示各類資產的信息，如各類端口數(shù)或漏洞類型。資產顯示包含了域名和主機，域名主要用來展示子域名信息，例如地址、狀態(tài)、標題等信息，主機主要用來展示主機IP以及爆破得到的端口、協(xié)議之類的信息(如下圖所示)。如果存在Web的服務，還會對該端口進行目錄掃描。同時可以檢測IP的存活情況，通過發(fā)送TCP的SYN包，完成偵測，代替完整的TCP/IP“三次握手”，使得整體速度得到提高。

掃描結果圖

4.2 漏洞檢測

漏洞檢測是整個檢查中比較重要的一個環(huán)節(jié)，主要目的就是為了發(fā)現(xiàn)所查設備弱點。使用Proof of Concept(PoC)掃描進行漏洞檢測。利用PoC打擊對關聯(lián)的IP進行資產查看，并且可以利用IP資產驗證PoC，如果資產中含有Web、系統(tǒng)、弱口令等漏洞信息，便會進行漏洞報告。所有的漏洞信息會自動按照高、中、低進行等級分類。同時也可以通過IP顯示對應資產的漏洞，方便后續(xù)工作。

同時針對某一IP地址進行查詢，可以得到關聯(lián)的PoC，并且使其自動對該PoC進行驗證任務。當驗證完畢，會自動返回該IP所涉及的漏洞，例如，弱口令、溢出、遠程代碼執(zhí)行等漏洞。

4.3 滲透利用

對部分存在特定的漏洞的系統(tǒng)執(zhí)行一系列的操作。主要使用的技術有代碼sql注入和緩沖區(qū)溢出等，將滲透測試流程鏈接并分類管理?？梢岳肊xploit(EXP)打擊，自動化的將可以利用的PoC和EXP聚合，尋找可以利用的滲透成功的設備資產。通過驗證報告可以更好的發(fā)現(xiàn)擁有的資產中，是否存在安全風險，并及時更正。

4.4 手動模式

當通過漏洞檢測后，會展現(xiàn)所有IP下的所有漏洞列表，對于可利用的漏洞，我們也可以直接通過手動模式進行更加深入的也更為專業(yè)的操作。例如，域名爆破、口令爆破、目錄爆破等。通過手動模式可以進行單點的掃描和利用。

例如，在口令爆破中，對服務、IP、端口進行設置之后，可通過系統(tǒng)自帶的默認用戶字典以及默認密碼字典來進行爆破，將用戶名與密碼一一對應。

4.5 策略預設

該部分中，可以提前設置IP查詢模板、端口查詢模板、漏洞檢測模板以及EXP模板等。方便為下次進行檢查時，直接引用。

在IP模板中，可以根據(jù)常掃描的目標IP進行設置。以及端口模板中，根據(jù)需要將掃描的端口進行存儲，避免將需要掃描的IP和端口逐一填寫的繁復操作。例如，設置常用的100個或者1000個端口掃描，抑或者設置UDP端口的掃描。在漏洞檢測模板中，可以將PoC驗證、弱口令檢測等掃描配置提前部署成固定模板，消除煩瑣的工作量。

4.6 事件檢測

該功能針對基于不同操作系統(tǒng)的系統(tǒng)內容進行排查，通過對相關日志信息的查詢，得知是否受到攻擊以及攻擊事件的取證。

4.7 檢查審計

該部分利用區(qū)塊鏈的可追溯性以及不可修改性，利用區(qū)塊鏈技術進行數(shù)據(jù)標記，記錄整個檢查過程中的各項操作，保證當產生風險、數(shù)據(jù)泄露或受到攻擊時，通過標記證明不是由于本次以滲透攻擊模式進行檢查所引起的，提高責任劃分的準確性。

4.8 規(guī)則庫

該模塊主要是對于一些常見的攻擊，例如漏洞、PoC等對應的說明及解決方案，是安全防護很重要的一部分。安全專家針對各類系統(tǒng)所存在的漏洞、各類黑客所進行過的攻擊以及對安全配置的工作經驗，從而形成這套規(guī)則庫。不僅擁有完整性，而且會根據(jù)實際情況，定期進行規(guī)則庫的更新。

在漏洞庫中，大部分是基于腳本的規(guī)則庫，包括系統(tǒng)插件和Web插件。擁有CVE、CVSS、CNNVD等系列的漏洞；在口令庫中，包含有常見的組合字典、用戶名字典、密碼字典，針對不同需求下的弱口令掃描；在PoC庫中，主要針對緊急的系統(tǒng)漏洞和Web漏洞快速響應，進行批量檢測定位目標對象是否安全；在EXP庫中，含有許多漏洞利用插件，通過EXP對發(fā)現(xiàn)的安全漏洞進行漏洞利用，能夠直觀地體現(xiàn)漏洞的安全風險級別與危害程度。

4.9 武器庫

該模塊為手動模式而配備，包含多種主流常用工具，如Wireshark、nmap、sqlmap等滲透工具。提供一種操作顆粒度更細致的執(zhí)行方式，使得在督查工作中，可以進行更精準的檢查及分析。

4.10 報告生成

該模塊主要進行測試結果的管理，并生成檢測報告。在報告中，包含IP目標、端口、所查漏洞以及滲透利用的結果。檢查人員可以根據(jù)所生成的報告，對該次檢查工作進行檢查意見的書寫。指出存在的問題，并可以給出相應的意見，督促該單位的整改。

結語

現(xiàn)代信息社會的發(fā)展主要依靠網絡，是交流與開展各類活動必不可少的一項工具，但計算機網絡的安全問題也越來越復雜，因此保障網絡安全就變得至關重要。網絡安全監(jiān)督檢查工具的利用也只會有增無減，該工具未來的發(fā)展，將會更加趨于自動化、定量化以及功能整合化。本文對檢查工具進行了功能的研究與設計，完善了缺陷并提高了自動化水平，可以實現(xiàn)一鍵自動化實現(xiàn)。加強了對設備的策略監(jiān)測和管控，提高了整體檢查效率，為各行業(yè)的網絡安全檢查提供了一項工具模板。