叶磊++文涛++刘立亮++孙露露++张科健++祝莹

摘要：随着公司信息通信的快速发展，信息安全防护要求的不断提升，现有围绕网络及信息系统安全开展的运维工作，效率较低。目前国网公司会定期下发漏洞和补丁，运维人员根据下发的漏洞和补丁，手工去逐一排查设备的安全概况。既耗费大量的人力成本，又难以准确的发现问题。因此急需开发网络及信息系统安全过程管理工具自动发现设备的漏洞、补丁、异常端口。帮助运维人员准确找出违规的设备，并及时进行整改。

关键词：网络；信息；端口

中图分类号：TP391 文献标识码：A 文章编号：1007-9416（2017）10-0187-02

随着公司信息通信的快速发展，信息安全防护要求的不断提升，现有围绕网络及信息系统安全开展的运维工作，在发现设备漏洞、异常端口以及准确找到违规设备方面需要提高效率。目前国网公司会定期下发漏洞和补丁，运维人员根据下发的漏洞和补丁，手工去逐一排查终端设備的补丁安装情况、服务端口开放情况、软件的漏洞情况，网络设备的服务开放情况（Telnet、SSH、HTTP）、SNMP配置情况、设备日志开放情况，中间件、数据库的补丁、漏洞情况。既耗费大量的人力成本，又难以准确的发现问题。

因此迫切需要开发网络及信息系统安全过程管理工具自动发现设备的漏洞、补丁、异常端口。帮助运维人员准确找出违规的设备，并及时进行整改。进而保证所有设备、网络安全稳定的运行。

1 工具原理及功能

工具原理如下：

1.1 采集或手工维护台账

通过程序扫描收集各所有终端设备、主机设备、网络设备、中间件、数据库的台账信息包括各终端设备设备的IP地址、软件安装情况、补丁安装情况、服务端口开放情况、软件的漏洞情况，网络设备的服务开放情况（Telnet、SSH、HTTP）、SNMP配置情况、设备日志开放情况，中间件、数据库的补丁、漏洞情况。形成统一的设备安全运行状态库。

1.2 安全审计规则维护

可以自定义维护安全规则，包括：

（1）根据国网公司下发的软件漏洞、系统漏洞维护漏洞安全规则；

（2）维护必须关闭的端口安全规则；

（3）维护必须关闭的服务安全规则；

（4）维护必须安装补丁的安全规则。

1.3 设备安全性分析

工具根据安全审计规则对设备安全运行状态库进行分析，找出违规的设备并生成设备安全性分析报告。

1.4 安全运维整改流程

根据设备安全性分析报告，对运维人员下发整改通过单，并跟踪整改的情况。进而保证所有设备、网络安全稳定的运行。

工具流程图如下图1所示。

工具具体功能如下图2所示。

1.4.1 软件及补丁安装情况

软件及补丁的安装情况显示最近一段时间内系统安装的软件列表、补丁的安装列表、开关机记录、进程开关情况以及网络连接情况。

1.4.2 服务端口开放情况

工具主要通过对网络及终端的TCP及UDP端口进行扫描，实现对设备的端口监控。扫描支持多线程，能对单个指定的主机进行扫描或对指定网段内的主机进行逐个扫描。能扫描特定的端口或对指定的端口段内的端口进行逐个扫描。扫描结果以列表的形式直观地展现出来。如图3所示。

1.4.3 软件的漏洞情况

综合利用静态检测技术和动态检测技术的检测特性，从程序源代码分析和目标程序运行状态检测两个方面着手开展工作，综合利用规则库和动态检测规则，根据程序动态状态检测结果和目标程序源代码静态分析结果进行程序安全隐患排查。

1.4.4 网络设备的服务开放及SNMP配置情况

通过对网络设备常用的服务端口进行扫描，并对扫描结果进行分析，进而发现网络设备的服务开发情况。通过SNMP测试网络设备的SNMP配置是否正常。

1.4.5 数据库及中间件存在漏洞情况

通过工具对数据库及中间件进行扫描，并对扫描结果进行分析，进而发现数据库及中间件是否存在漏洞。

1.4.6 日志分析

根据长期存储的历史日志，对已经发生的日志安全事件进行追溯、取证分析和影响评估。形成日、周、月、季度、年度报表，并对最新公布的安全漏洞提供攻击代码分析与追踪和漏洞快速响应分析功能，例如：Web攻击检测、日志驱动的漏洞挖掘。

2 结语

建立统一的终端设备、主机设备、网络设备、数据库以及中间件的漏洞和端口开放情况的安全运行状态库，实现设备安全管理规范化、标准化；建立统一的安全管控防范体系，实现终端、主机设备、网络设备的安全风险的采集、处理、加固基本管理流程，帮助运维人员准确找出违规的设备，并及时进行整改。进而保证所有设备、网络安全稳定的运行。endprint