基于python的網絡及信息系統安全過程管理工具

葉磊++文濤++劉立亮++孫露露++張科健++祝瑩

摘要：隨著公司信息通信的快速發展，信息安全防護要求的不斷提升，現有圍繞網絡及信息系統安全開展的運維工作，效率較低。目前國網公司會定期下發漏洞和補丁，運維人員根據下發的漏洞和補丁，手工去逐一排查設備的安全概況。既耗費大量的人力成本，又難以準確的發現問題。因此急需開發網絡及信息系統安全過程管理工具自動發現設備的漏洞、補丁、異常端口。幫助運維人員準確找出違規的設備，并及時進行整改。

關鍵詞：網絡；信息；端口

中圖分類號：TP391 文獻標識碼：A 文章編號：1007-9416（2017）10-0187-02

隨著公司信息通信的快速發展，信息安全防護要求的不斷提升，現有圍繞網絡及信息系統安全開展的運維工作，在發現設備漏洞、異常端口以及準確找到違規設備方面需要提高效率。目前國網公司會定期下發漏洞和補丁，運維人員根據下發的漏洞和補丁，手工去逐一排查終端設備的補丁安裝情況、服務端口開放情況、軟件的漏洞情況，網絡設備的服務開放情況（Telnet、SSH、HTTP）、SNMP配置情況、設備日志開放情況，中間件、數據庫的補丁、漏洞情況。既耗費大量的人力成本，又難以準確的發現問題。

因此迫切需要開發網絡及信息系統安全過程管理工具自動發現設備的漏洞、補丁、異常端口。幫助運維人員準確找出違規的設備，并及時進行整改。進而保證所有設備、網絡安全穩定的運行。

1 工具原理及功能

工具原理如下：

1.1 采集或手工維護臺賬

通過程序掃描收集各所有終端設備、主機設備、網絡設備、中間件、數據庫的臺賬信息包括各終端設備設備的IP地址、軟件安裝情況、補丁安裝情況、服務端口開放情況、軟件的漏洞情況，網絡設備的服務開放情況（Telnet、SSH、HTTP）、SNMP配置情況、設備日志開放情況，中間件、數據庫的補丁、漏洞情況。形成統一的設備安全運行狀態庫。

1.2 安全審計規則維護

可以自定義維護安全規則，包括：

（1）根據國網公司下發的軟件漏洞、系統漏洞維護漏洞安全規則；

（2）維護必須關閉的端口安全規則；

（3）維護必須關閉的服務安全規則；

（4）維護必須安裝補丁的安全規則。

1.3 設備安全性分析

工具根據安全審計規則對設備安全運行狀態庫進行分析，找出違規的設備并生成設備安全性分析報告。

1.4 安全運維整改流程

根據設備安全性分析報告，對運維人員下發整改通過單，并跟蹤整改的情況。進而保證所有設備、網絡安全穩定的運行。

工具流程圖如下圖1所示。

工具具體功能如下圖2所示。

1.4.1 軟件及補丁安裝情況

軟件及補丁的安裝情況顯示最近一段時間內系統安裝的軟件列表、補丁的安裝列表、開關機記錄、進程開關情況以及網絡連接情況。

1.4.2 服務端口開放情況

工具主要通過對網絡及終端的TCP及UDP端口進行掃描，實現對設備的端口監控。掃描支持多線程，能對單個指定的主機進行掃描或對指定網段內的主機進行逐個掃描。能掃描特定的端口或對指定的端口段內的端口進行逐個掃描。掃描結果以列表的形式直觀地展現出來。如圖3所示。

1.4.3 軟件的漏洞情況

綜合利用靜態檢測技術和動態檢測技術的檢測特性，從程序源代碼分析和目標程序運行狀態檢測兩個方面著手開展工作，綜合利用規則庫和動態檢測規則，根據程序動態狀態檢測結果和目標程序源代碼靜態分析結果進行程序安全隱患排查。

1.4.4 網絡設備的服務開放及SNMP配置情況

通過對網絡設備常用的服務端口進行掃描，并對掃描結果進行分析，進而發現網絡設備的服務開發情況。通過SNMP測試網絡設備的SNMP配置是否正常。

1.4.5 數據庫及中間件存在漏洞情況

通過工具對數據庫及中間件進行掃描，并對掃描結果進行分析，進而發現數據庫及中間件是否存在漏洞。

1.4.6 日志分析

根據長期存儲的歷史日志，對已經發生的日志安全事件進行追溯、取證分析和影響評估。形成日、周、月、季度、年度報表，并對最新公布的安全漏洞提供攻擊代碼分析與追蹤和漏洞快速響應分析功能，例如：Web攻擊檢測、日志驅動的漏洞挖掘。

2 結語

建立統一的終端設備、主機設備、網絡設備、數據庫以及中間件的漏洞和端口開放情況的安全運行狀態庫，實現設備安全管理規范化、標準化；建立統一的安全管控防范體系，實現終端、主機設備、網絡設備的安全風險的采集、處理、加固基本管理流程，幫助運維人員準確找出違規的設備，并及時進行整改。進而保證所有設備、網絡安全穩定的運行。endprint