開源軟件在電網(wǎng)企業(yè)內(nèi)網(wǎng)信息資產(chǎn)安全管理中的應(yīng)用研究

向華偉，張雪堅，楊震乾，釧 濤，馮 熙

(云南電網(wǎng)有限責(zé)任公司信息中心，云南昆明650200)

[摘要]隨著當(dāng)前電網(wǎng)企業(yè)信息化進(jìn)程的不斷推進(jìn)，信息設(shè)備日益增多，虛擬化技術(shù)的廣泛應(yīng)用，快速的虛擬機(jī)創(chuàng)建與復(fù)制使得企業(yè)內(nèi)網(wǎng)運(yùn)行的服務(wù)器及其開放端口梳理困難，處于管理盲區(qū)的服務(wù)器及其開放的端口也是黑客攻擊的目標(biāo)，成為安全隱患。根據(jù)某電網(wǎng)企業(yè)的信息資產(chǎn)管理現(xiàn)狀和實(shí)際需求，應(yīng)用開源軟件搭建一套主動式的資產(chǎn)信息收集、統(tǒng)計、分析系統(tǒng)，能夠滿足個性化的管理需求，簡化了人工統(tǒng)計梳理資產(chǎn)工作，提高了信息資產(chǎn)管理工作效率和時效性，具有十分重要的意義。

關(guān)鍵詞 開源軟件 信息資產(chǎn)安全管理 電力企業(yè)

中圖分類號TM769

0引言

近年來，電網(wǎng)企業(yè)信息化進(jìn)程不斷推進(jìn)，信息設(shè)備日益增多，而隨著虛擬化技術(shù)的廠_泛應(yīng)用，快速的虛擬機(jī)創(chuàng)建與復(fù)制使得企業(yè)內(nèi)網(wǎng)運(yùn)行的服務(wù)器及其開放端口梳理困難。另一方面，當(dāng)前信息化管理框架中管理單位、運(yùn)維單位、建設(shè)單位分離的模式，導(dǎo)致信息資產(chǎn)在梳理中存在清查不到位、t信息時效性低的問題，導(dǎo)致部分信息資產(chǎn)在某些時間內(nèi)處于管理單位的盲區(qū)。而在當(dāng)前熟悉的信息安全環(huán)境下，這些處于管理盲區(qū)的資產(chǎn)由于未納入企業(yè)安全管理體系，未得到良好的加固，極易成為攻擊目標(biāo)，進(jìn)而影響整個企業(yè)內(nèi)網(wǎng)安全。

對此，通過應(yīng)用開源軟件，自動化的搜索內(nèi)網(wǎng)活躍的服務(wù)器及其開放端口，避免了人工報送資產(chǎn)導(dǎo)致的時效性差、易出錯的缺陷，及時發(fā)現(xiàn)管控盲區(qū)的資產(chǎn)和可能的木馬感染，對于電網(wǎng)企業(yè)信息安全防護(hù)水平的提升具有重要意義。

1研究背景

IT資產(chǎn)管理在國內(nèi)外已經(jīng)存在多款成熟的產(chǎn)品，例如北塔軟件提供的IT管理系統(tǒng)中均包含IT資產(chǎn)管理模塊，但這類產(chǎn)品在資產(chǎn)動態(tài)發(fā)現(xiàn)方面存在不足：

1.1 自動化程度不高，資產(chǎn)需要錄入

多數(shù)資產(chǎn)管理系統(tǒng)需要錄入復(fù)雜的資產(chǎn)信息，如資產(chǎn)編號、物理名稱、價值、資產(chǎn)關(guān)系等信息，在梳理資產(chǎn)相關(guān)信息時易出錯、工作量較太。即使部分軟件提供資產(chǎn)自動發(fā)現(xiàn)功能，多數(shù)是通過在資產(chǎn)生安裝代理軟件實(shí)現(xiàn)，對于未安裝代理軟件的資產(chǎn)則僅能提供IP、MAC等信息。

1.2缺少資產(chǎn)信息安全管理所需信息

資產(chǎn)信息安全是資產(chǎn)安全管理的基礎(chǔ)，但大量資產(chǎn)管理系統(tǒng)均未包含該資產(chǎn)的開放端口、操作系統(tǒng)、運(yùn)行服務(wù)等。

某電網(wǎng)企業(yè)現(xiàn)有服務(wù)器100余臺、網(wǎng)絡(luò)設(shè)備50余臺、終端500余臺，虛擬機(jī)200余個，甚至還存在負(fù)工將個人的計算設(shè)備帶入內(nèi)網(wǎng)使用的情況。同時，這些設(shè)備在運(yùn)行過程中，其開放的端口、運(yùn)行的服務(wù)均隨著軟件變更、系統(tǒng)升級等不斷變化，虛擬機(jī)更是隨時遷移、啟動，這給IT資產(chǎn)安全管理帶來了極大的困難。任何一臺設(shè)備如果開放不安全的服務(wù)，并且該服務(wù)沒有及時發(fā)現(xiàn)并經(jīng)過加固，都將會成為威脅內(nèi)網(wǎng)安全的隱患。

2技術(shù)路線

近年來，隨著開源軟件社區(qū)日益活躍，大量企業(yè)均選擇應(yīng)用開源軟件搭建內(nèi)部的信息化系統(tǒng)，如使用Apache、Mysql。搭建服務(wù)網(wǎng)站：甚至部分企業(yè)還基于開源軟件二次開發(fā)后形成商業(yè)化的軟件產(chǎn)品進(jìn)行出售，典型的例子是Splunk使用開源的Elastic Search、Kibana等軟件開發(fā)了成功日志收集、檢索系統(tǒng)Splunk。

在內(nèi)網(wǎng)信息資產(chǎn)安全管理研究中，我們使用Nmap實(shí)現(xiàn)資產(chǎn)發(fā)現(xiàn)，借助Libnmap庫提供的函數(shù)實(shí)現(xiàn)對Nmap掃描報告的解析，使用LogStash實(shí)現(xiàn)掃描結(jié)果的采集與導(dǎo)人ElasticSearch存儲，最后使用Kibana完成信息檢索與可視化展現(xiàn)。

2.1 Nmap

Nmap是一個網(wǎng)絡(luò)掃描軟件，用來掃描網(wǎng)上電腦開放的網(wǎng)絡(luò)端口。確定哪些服務(wù)運(yùn)行在哪些端口，并且推斷計算機(jī)運(yùn)行哪個操作系統(tǒng)。它是網(wǎng)絡(luò)管理員必用的軟件之一，以及用以評估網(wǎng)絡(luò)系統(tǒng)安全。系統(tǒng)管理員可以利用Nmap來探測工作環(huán)境中未經(jīng)批準(zhǔn)使用的服務(wù)器，但是黑客會利用Nmap來搜集目標(biāo)電腦的網(wǎng)絡(luò)設(shè)定，從而計劃攻擊的方法。

2.2 Libnmap

Libnmap是一個基于python的第三方函數(shù)庫，可以讓Python開發(fā)者操作Nmap進(jìn)程數(shù)據(jù)，。包括自動或定期安排NMAP掃描、解析作NMAP掃描報告結(jié)果、比較2次掃描結(jié)果間的差異等。

2.3 Logstash、ElasticSearch、Kibana

Logstash、ElasticSearch、Kibana是Elastic公司開發(fā)的日志管理套件，Logstash提供日志采集、解析與范式化的功能，ElasticSearch是基于Lucene二次開發(fā)的全文檢索軟件并面向日志搜索與分析進(jìn)行了優(yōu)化，Kibana是可視化的ElasticSearch搜索、分析繪圖工具。

3企業(yè)內(nèi)網(wǎng)信息資產(chǎn)安全管理應(yīng)用研究

3.1應(yīng)用總體框架

企業(yè)內(nèi)網(wǎng)信息資產(chǎn)安全管理的技術(shù)框架如圖1所示，通過應(yīng)用多種開源軟件實(shí)現(xiàn)資產(chǎn)的自動檢測、努析和告警。

3.2應(yīng)用關(guān)鍵技術(shù)

3.2.1系統(tǒng)環(huán)境準(zhǔn)備

為更好地支持開源軟件運(yùn)行，我們選擇基于Linux部署個開源軟件，操作系統(tǒng)選擇Kali Nmap Linux，其上已默認(rèn)安裝Nmap，Python。

(1) Libnmap安裝

Libnmap是Python的第三方庫，安裝前需要安裝pip王具，然后運(yùn)行“pip install Python- libnmap”即可完成安裝。

(2) Logstash、ElasticSearch、Kibana的安裝Logsr.ash、ElasticSearch、Kibana可以從elastic. co/download免費(fèi)下載。將下載好的tar包解壓縮到自定義的目錄下，運(yùn)行bin目錄下對應(yīng)名稱的程序即可，如./hiri/kibana。其中，ElasticSearch必須使用非root賬戶運(yùn)行。

3.2.2通過Libnmap調(diào)度Nmap進(jìn)行資產(chǎn)發(fā)現(xiàn)

Libnmap提供了Nmapprocess模塊進(jìn)行Nmap調(diào)度，是本應(yīng)用中主要使用的模塊。通過應(yīng)用該庫，可以使Python方便的實(shí)現(xiàn)調(diào)度和解析工作。

為了在python代碼中調(diào)用這2個模塊，需要在代碼時引用模塊：

from libnmap process import NmapProcess

要自定義掃描，我們需要使用NmapProcess函數(shù)：

Nm=NmapProcess( targets一”[ip]”,options-”- sS-oX [file]”)

其中targets參數(shù)就是需要掃描的目標(biāo)，此處ip可以替換為一傘網(wǎng)段或者一個逗號分割的ip地址列表，options指定了掃描的參數(shù)，與Nmap參數(shù)完全一致，本例中使用- sS參數(shù)執(zhí)行syn掃描，并將結(jié)果輸出為xml文件以便解析。

當(dāng)掃描參數(shù)設(shè)定完成后，可通過nm. run_ background()讓Nmap以后臺進(jìn)程的方式運(yùn)行。Libnmap庫提供了進(jìn)程的監(jiān)控函數(shù)is- running()，借助該函數(shù)可以在掃描完成后立即執(zhí)行解析操作：

while nm.is_running():

print”still scan”

sleep(5)

parse()

上述代碼檢測掃描完成情況，在掃描完成后退出循環(huán)，執(zhí)行結(jié)果解析。

如果需要定時進(jìn)行掃描，可以利用Linux的cron工具定期執(zhí)行py程序以定期掃描，實(shí)現(xiàn)新資產(chǎn)與服務(wù)的不間斷發(fā)現(xiàn)，同時降低持續(xù)掃描對網(wǎng)絡(luò)的壓力。

3.2.3掃描結(jié)果的解析

Libnmap提供了NmapParse模塊進(jìn)行掃描結(jié)果的解析，為了調(diào)用該模塊，需要在代碼前引用該模塊：

from libnmap:parser import NmapParser

該模塊提供專門的文件解析類，可將xml格式的掃描報告中的字段直接存儲在類中，為了完成該操作，使用以下代碼。

nmap_report—NmapParser. parse_fromfile(7[ file])，其中file字段需要替換為掃描結(jié)果報告的文件，此時已經(jīng)將xml報告結(jié)構(gòu)化的解析并存儲在m-tap.reporl.變量中，通過使用NmapParser提供的一些方法即可獲取不同的內(nèi)容：hostnames獲取目標(biāo)的主機(jī)名、address獲取目標(biāo)IP地址，mac獲取目標(biāo)MAC地址，get_open_ports()獲取目標(biāo)開放的端口等，可以通過循環(huán)完成每個ip的相關(guān)信息打印： 一

for host in nmap_report.hosts:

而考慮到單個IP往往對應(yīng)多個端口，而端口數(shù)量又無法確定，為了更好的搜索效果以及后續(xù)的統(tǒng)計分析，本文進(jìn)一步將端口進(jìn)行解析，在主機(jī)的for循環(huán)下，使用forport in ports循環(huán)將一組端口拆分成為單個端口、將每個目標(biāo)的主機(jī)名、ip地址、mac.地址、單個開放端口和協(xié)議以#分隔符按行保存到文件中，為后續(xù)數(shù)據(jù)存入Elastic-Search奠定基礎(chǔ)。其每一行的文件格式為“主機(jī)名#MAC地址#IP地址#端口#協(xié)議”。

3.2.4掃描結(jié)果導(dǎo)入ElasticSearch

本文使用logstash完成解析后的掃描結(jié)果導(dǎo)人Elastic-Search。要使用logstash進(jìn)行導(dǎo)入，需要編寫。logstash配置文件。

一個logstash配置文件主要包括input、output、filter三部分，其中input指明logstash從哪里獲取數(shù)據(jù)，output指明logstash將處理后的結(jié)果發(fā)送到哪里，filter指明logstash需要對input數(shù)據(jù)如何進(jìn)行處理。本文使用的配置文件內(nèi)容如下：

input{

file{

path一>”[fullpath/file]”

)

)

output{

elasticsearch{

hosts一>[”127.0.0.1: 9200”]

}

}

filter{

mutate{

split～>[”message”,”#”]

add- field一>(”hostname”一>”%{[message]

[0l}”)

add_ field一>{”MAC_ addr”=≥”%{[message]

[1l}”)

add field蘭>"IP_ addr”一>”%{[message][2])”)

add_field一>{”Port”一>”%([messagel[3])”)

add_field=>{”Protocal”一>”%{[message] [4])”}

}

其中input部分指定了logstash輸入的數(shù)據(jù)源，本文由于使用libnmap對原始的nmap進(jìn)行了格式化解析處理后，將格式化的結(jié)果保存在文件中，f因此使用文件數(shù)據(jù)源，并將path字段設(shè)置為文件的絕對路徑。

Output部分指定了logstash將其處理過的數(shù)據(jù)輸出的目的地，本文使用elasticsearch對結(jié)果進(jìn)行統(tǒng)一存儲與搜索，因此輸出目的地設(shè)置為本機(jī)的elasticsearch服務(wù)器，在host字段中配置服務(wù)器端口和端口，而如果服務(wù)器需要驗證，還需要使用user和pass字段告知logstash使用對應(yīng)的用戶名和口令進(jìn)行以證。 、

Filter部分指定了對輸入的數(shù)據(jù)進(jìn)行處理的方法，由于本文已經(jīng)利用libnmap對需要通過logstahs導(dǎo)人elastic-search的數(shù)據(jù)進(jìn)行了規(guī)格化處理，因此此處僅需要使用mutate插件，利用split模塊對每一行按“#”進(jìn)行分割，將分割后的消息創(chuàng)建對應(yīng)的字段即可‘4]。

配置文件編寫完成后，可以通過<安裝目錄>/bin/logstash -f<配置文件>'agent啟動logstash，這將對該結(jié)果文件進(jìn)行持續(xù)監(jiān)控，一旦該文件發(fā)生了改變，logstash將自動讀取文件內(nèi)容并保存至elasticsearch。

3.2.5結(jié)果展現(xiàn)與搜索

當(dāng)elasticsearch中存儲了相關(guān)信息后，即可在kibana中查看相關(guān)信息，如圖2所示：

可以通過IP _addr:精確查詢單個IP開放的端口情況，如下圖3所示，也可以通過Port:查詢開放該端口的主機(jī)信息，如下圖4所示：

而借助kibana豐富的可視化工具，可以進(jìn)行相關(guān)統(tǒng)計分析，包括每奈主機(jī)并放的端口，如圖5所示，開放端口的類型占比等，如圖6所示：

 而隨著掃描數(shù)據(jù)的積累，還可以對比IP的變化及IP開放端口的變化等，對于統(tǒng)計、分析及發(fā)現(xiàn)非法開放端口具有非常重要的意義。

4結(jié)束語

目前，提供信息資;產(chǎn)關(guān)聯(lián)的工具較多。但這些工具均為高度定制化或通用型產(chǎn)品，難以完全滿足各個單位的實(shí)際需要。本文針對某能源企業(yè)IT資產(chǎn)暴露面發(fā)現(xiàn)需求的實(shí)際需要，應(yīng)用多種開源軟件實(shí)現(xiàn)了企業(yè)內(nèi)網(wǎng)信息資產(chǎn)搜索、統(tǒng)計、分析、對比功能的管理平臺。后續(xù)可以根據(jù)需求、數(shù)據(jù)源的變化，調(diào)整數(shù)據(jù)組織方式，引入更多的外部數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析寫展現(xiàn)，具有較強(qiáng)的擴(kuò)展性和靈活性，為信息化管理人員開展信息資產(chǎn)管控提供了便利。

參考文獻(xiàn)

[1]蔡燕華，侯開虎;王偉華，企業(yè)IT資產(chǎn)管理系統(tǒng)研究及實(shí)現(xiàn)[J].工業(yè)技術(shù)經(jīng)濟(jì)，2007，26 (11)：111-113

[2] Nmap Documentation[ EB/OL].[2017-03-03].https:∥

[3lLibnmap's documentation[EB/OL]. [2017-03-03l.http://libnmap. readthedocs.iol en/latest/. . ,

[4lLogstashReference[EB/OL]. [2017-03-03].https://www.e- lastic.co/guide/en/logstash/indexhtml."