本發(fā)明屬于資產(chǎn)安全監(jiān)控，尤其是涉及一種服務(wù)器資產(chǎn)的端口風(fēng)險(xiǎn)識(shí)別方法以及應(yīng)用該方法的系統(tǒng)。

背景技術(shù)：

1、互聯(lián)網(wǎng)技術(shù)的快速發(fā)展以及國家對(duì)網(wǎng)絡(luò)空間安全的關(guān)切日益迫切，等保2.0的落地以及網(wǎng)絡(luò)安全法的實(shí)施，對(duì)一些安全保密性要求較高單位的資產(chǎn)管控提出更高要求。伴隨著業(yè)務(wù)和技術(shù)的發(fā)展，it環(huán)境日趨復(fù)雜，it設(shè)施規(guī)模不斷擴(kuò)大，業(yè)務(wù)變化日益頻繁，特別是對(duì)于政府部門、軍工單位、科研院所、金融機(jī)構(gòu)等組織的服務(wù)器資產(chǎn)，通過網(wǎng)絡(luò)與互聯(lián)網(wǎng)進(jìn)行信息的相互交換，成為企業(yè)資產(chǎn)中的重要信息資產(chǎn)，而大量的資產(chǎn)存在給管理工作帶來了許多挑戰(zhàn)，不僅需要防護(hù)來自外部的安全威脅，同時(shí)也要防止內(nèi)網(wǎng)用戶的肆意修改、越權(quán)訪問、信息泄密等違規(guī)行為。

2、因此，增強(qiáng)服務(wù)器資產(chǎn)的暴露面探測(cè)，防止?jié)撛诘耐{，是實(shí)現(xiàn)對(duì)絡(luò)資產(chǎn)進(jìn)行有效監(jiān)控和管理的重要前提，也是進(jìn)一步實(shí)現(xiàn)針對(duì)性網(wǎng)絡(luò)威脅防御的基礎(chǔ)。

技術(shù)實(shí)現(xiàn)思路

1、鑒于上述背景，本發(fā)明旨在提供一種服務(wù)器資產(chǎn)的風(fēng)險(xiǎn)識(shí)別方法及系統(tǒng)，利用防火墻的預(yù)設(shè)的流控制策略，識(shí)別服務(wù)器資產(chǎn)存在的端口風(fēng)險(xiǎn)。本發(fā)明的具體技術(shù)方案內(nèi)容，如下所述。

2、第一方面，提出一種服務(wù)器資產(chǎn)的風(fēng)險(xiǎn)識(shí)別方法，包括：

3、根據(jù)防火墻acl策略及其應(yīng)用控制日志，分析網(wǎng)絡(luò)的實(shí)時(shí)流量，判斷策略、日志與服務(wù)器資產(chǎn)端口狀態(tài)的一致性，并根據(jù)判斷結(jié)果確定服務(wù)器資產(chǎn)可能存在的端口風(fēng)險(xiǎn)；

4、所述acl策略包括根據(jù)數(shù)據(jù)流的源、目的地址及端口號(hào)判斷是否符合放行條件；

5、所述應(yīng)用控制日志內(nèi)容，包括：時(shí)間、服務(wù)/應(yīng)用、協(xié)議、源區(qū)域、所屬組、源ip/用戶、源端口、目的區(qū)域、目的ip、目的端口、匹配策略名、描述以及動(dòng)作。

6、較佳的，對(duì)于外網(wǎng)服務(wù)器資產(chǎn)，通過掃描器獲取其暴露在外網(wǎng)的資產(chǎn)信息并同步到安全平臺(tái)，對(duì)掃描發(fā)現(xiàn)的資產(chǎn)信息進(jìn)行確認(rèn)后錄入到資產(chǎn)列表；

7、所述暴露在外網(wǎng)的資產(chǎn)信息，包括域名、對(duì)應(yīng)的內(nèi)網(wǎng)ip；并聯(lián)動(dòng)防火墻，獲取該資產(chǎn)的端口對(duì)應(yīng)的acl策略并同步到安全平臺(tái)。

8、進(jìn)一步的，所述對(duì)掃描到的服務(wù)器資產(chǎn)，進(jìn)行資產(chǎn)確認(rèn)，包括：若內(nèi)網(wǎng)資產(chǎn)是通過域名訪問的，安全平臺(tái)從收集到流量日志中，識(shí)別http包里的host字段發(fā)現(xiàn)資產(chǎn)域名，與掃描器掃描到的對(duì)應(yīng)域名的外網(wǎng)ip進(jìn)行匹配，以自動(dòng)識(shí)別出外網(wǎng)和內(nèi)網(wǎng)ip。

9、較佳的，對(duì)于內(nèi)網(wǎng)服務(wù)器資產(chǎn)，若該資產(chǎn)已在安全平臺(tái)被標(biāo)記為核心資產(chǎn)，則判斷該資產(chǎn)是否具有無流量訪問風(fēng)險(xiǎn)，包括防火墻的acl策略中該資產(chǎn)為放通狀態(tài)但沒有實(shí)際流量訪問該資產(chǎn)。

10、掃描器以外網(wǎng)域名區(qū)別資產(chǎn)，所述安全平臺(tái)以內(nèi)網(wǎng)ip來區(qū)別資產(chǎn)；若監(jiān)控的資產(chǎn)為域名資產(chǎn)，為使掃描器的數(shù)據(jù)正常顯示，配置掃描器時(shí)創(chuàng)建資產(chǎn)的外網(wǎng)域名與內(nèi)網(wǎng)ip的映射關(guān)系。

11、為進(jìn)一步提高安全性，安全平臺(tái)接入防火墻必須進(jìn)行雙向認(rèn)證，包括：在防火墻進(jìn)行安全平臺(tái)設(shè)置后，在安全平臺(tái)的接入設(shè)備列表中找到對(duì)應(yīng)的防火墻進(jìn)行設(shè)備編輯，選擇啟用雙向認(rèn)證后，輸入認(rèn)證賬號(hào)與認(rèn)證密碼，所述賬號(hào)與密碼和防火墻側(cè)對(duì)接安全平臺(tái)的賬號(hào)與密碼保持一致。

12、較佳的，上述判斷資產(chǎn)的端口風(fēng)險(xiǎn)，包括：

13、若當(dāng)前防火墻acl策略開放端口與實(shí)際流量的訪問端口一致則為正常資產(chǎn)，否則為異常資產(chǎn)；

14、若防火墻acl策略開放了對(duì)資產(chǎn)的高危端口的訪問，則為開放高危端口風(fēng)險(xiǎn)；

15、若防火墻acl策略開放任意端口，則為開放任意端口風(fēng)險(xiǎn)；

16、若防火墻acl策略為放通，但是卻沒有實(shí)際流量訪問的端口，則為無流量端口風(fēng)險(xiǎn)；

17、若防火墻acl策略為正常放通，但是資產(chǎn)在預(yù)設(shè)的時(shí)間長(zhǎng)度內(nèi)沒有流量訪問，則為無訪問風(fēng)險(xiǎn)。

18、第二方面，提出一種資產(chǎn)風(fēng)險(xiǎn)識(shí)別系統(tǒng)，包括接入防火墻系統(tǒng)的安全平臺(tái)，所述安全平臺(tái)包括：

19、配置模塊，用于配置安全平臺(tái)與防火墻的數(shù)據(jù)互通；

20、掃描模塊，用于掃描服務(wù)器資產(chǎn)的端口狀態(tài)；

21、風(fēng)險(xiǎn)識(shí)別模塊，根據(jù)防火墻acl策略及其應(yīng)用控制日志，分析網(wǎng)絡(luò)的實(shí)時(shí)流量，判斷策略、日志與服務(wù)器資產(chǎn)端口狀態(tài)的一致性，并根據(jù)判斷結(jié)果確定服務(wù)器資產(chǎn)可能存在的端口風(fēng)險(xiǎn)。

22、較佳的，上述的配置模塊：

23、若監(jiān)控的資產(chǎn)為域名資產(chǎn)，為使掃描器的數(shù)據(jù)正常顯示，配置掃描器時(shí)創(chuàng)建資產(chǎn)的外網(wǎng)域名與內(nèi)網(wǎng)ip的映射關(guān)系；

24、在防火墻進(jìn)行安全平臺(tái)設(shè)置后，在安全平臺(tái)的接入設(shè)備列表中找到對(duì)應(yīng)的防火墻進(jìn)行設(shè)備編輯，選擇啟用雙向認(rèn)證后，輸入認(rèn)證賬號(hào)與認(rèn)證密碼，所述賬號(hào)與密碼和防火墻側(cè)對(duì)接安全平臺(tái)的賬號(hào)與密碼保持一致。

25、較佳的，上述的風(fēng)險(xiǎn)識(shí)別模塊：

26、若當(dāng)前防火墻acl策略開放端口與實(shí)際流量的訪問端口一致則為正常資產(chǎn)，否則為異常資產(chǎn)；

27、若防火墻acl策略開放了對(duì)資產(chǎn)的高危端口的訪問，則為開放高危端口風(fēng)險(xiǎn)；

28、若防火墻acl策略開放任意端口，則為開放任意端口風(fēng)險(xiǎn)；

29、若防火墻acl策略為放通，但是卻沒有實(shí)際流量訪問的端口，則為無流量端口風(fēng)險(xiǎn)；

30、若防火墻acl策略為正常放通，但是資產(chǎn)在預(yù)設(shè)的時(shí)間長(zhǎng)度內(nèi)沒有流量訪問，則為無訪問風(fēng)險(xiǎn)。

31、采用上述技術(shù)方案的本發(fā)明，至少具有以下有益效果：結(jié)合實(shí)時(shí)流量檢測(cè)、邊界防火墻上的acl策略、掃描器數(shù)據(jù)，分析當(dāng)前服務(wù)器資產(chǎn)存在的資產(chǎn)已離線、開放高危端口、無流量訪問端口、無流量訪問源等暴露面風(fēng)險(xiǎn)。快速、全面地收集、梳理資產(chǎn)特別是對(duì)外服務(wù)器和靶機(jī)的暴露面風(fēng)險(xiǎn)，同時(shí)把資產(chǎn)的暴露面最小化，增加網(wǎng)絡(luò)攻擊的難度，有效提高服務(wù)器資產(chǎn)的信息安全防護(hù)能力。

技術(shù)特征：

1.一種服務(wù)器資產(chǎn)的風(fēng)險(xiǎn)識(shí)別方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的服務(wù)器資產(chǎn)風(fēng)險(xiǎn)識(shí)別方法，其特征在于，對(duì)于外網(wǎng)服務(wù)器資產(chǎn)，通過掃描器獲取其暴露在外網(wǎng)的資產(chǎn)信息并同步到安全平臺(tái)，對(duì)掃描發(fā)現(xiàn)的資產(chǎn)信息進(jìn)行確認(rèn)后錄入到資產(chǎn)列表；

3.根據(jù)權(quán)利要求2所述的資產(chǎn)風(fēng)險(xiǎn)識(shí)別方法，其特征在于，所述對(duì)掃描到的服務(wù)器資產(chǎn)，進(jìn)行資產(chǎn)確認(rèn)，包括：若內(nèi)網(wǎng)資產(chǎn)是通過域名訪問的，安全平臺(tái)從收集到流量日志中，識(shí)別http包里的host字段發(fā)現(xiàn)資產(chǎn)域名，與掃描器掃描到的對(duì)應(yīng)域名的外網(wǎng)ip進(jìn)行匹配，以自動(dòng)識(shí)別出外網(wǎng)和內(nèi)網(wǎng)ip。

4.根據(jù)權(quán)利要求1所述的服務(wù)器資產(chǎn)風(fēng)險(xiǎn)識(shí)別方法，其特征在于，對(duì)于內(nèi)網(wǎng)服務(wù)器資產(chǎn)，

5.根據(jù)權(quán)利要求1所述的服務(wù)器資產(chǎn)風(fēng)險(xiǎn)識(shí)別方法，其特征在于，所述掃描器以外網(wǎng)域名區(qū)別資產(chǎn)，所述安全平臺(tái)以內(nèi)網(wǎng)ip來區(qū)別資產(chǎn)；若監(jiān)控的資產(chǎn)為域名資產(chǎn)，為使掃描器的數(shù)據(jù)正常顯示，配置掃描器時(shí)創(chuàng)建資產(chǎn)的外網(wǎng)域名與內(nèi)網(wǎng)ip的映射關(guān)系。

6.根據(jù)權(quán)利要求1-5任一所述的資產(chǎn)風(fēng)險(xiǎn)識(shí)別方法，其特征在于，為進(jìn)一步提高安全性，安全平臺(tái)接入防火墻必須進(jìn)行雙向認(rèn)證，包括：在防火墻進(jìn)行安全平臺(tái)設(shè)置后，在安全平臺(tái)的接入設(shè)備列表中找到對(duì)應(yīng)的防火墻進(jìn)行設(shè)備編輯，選擇啟用雙向認(rèn)證后，輸入認(rèn)證賬號(hào)與認(rèn)證密碼，所述賬號(hào)與密碼和防火墻側(cè)對(duì)接安全平臺(tái)的賬號(hào)與密碼保持一致。

7.根據(jù)權(quán)利要求1所述的服務(wù)器資產(chǎn)風(fēng)險(xiǎn)識(shí)別方法，其特征在于，所述判斷資產(chǎn)的端口風(fēng)險(xiǎn)，包括：

8.一種資產(chǎn)風(fēng)險(xiǎn)識(shí)別系統(tǒng)，其特征在于，包括接入防火墻系統(tǒng)的安全平臺(tái)，所述安全平臺(tái)包括：

9.根據(jù)權(quán)利要求8所述的資產(chǎn)風(fēng)險(xiǎn)識(shí)別系統(tǒng)，其特征在于，所述配置模塊，

10.根據(jù)權(quán)利要求8所述的資產(chǎn)風(fēng)險(xiǎn)識(shí)別系統(tǒng)，其特征在于，所述風(fēng)險(xiǎn)識(shí)別模塊：

技術(shù)總結(jié)
本發(fā)明旨在提供一種服務(wù)器資產(chǎn)的風(fēng)險(xiǎn)識(shí)別方法及系統(tǒng)，結(jié)合實(shí)時(shí)流量檢測(cè)、邊界防火墻上的ACL策略、掃描器數(shù)據(jù)，分析當(dāng)前服務(wù)器資產(chǎn)存在的資產(chǎn)已離線、開放高危端口、無流量訪問端口、無流量訪問源等暴露面風(fēng)險(xiǎn)?？焖?、全面地收集、梳理資產(chǎn)特別是對(duì)外服務(wù)器和靶機(jī)的暴露面風(fēng)險(xiǎn)，同時(shí)把資產(chǎn)的暴露面最小化，增加網(wǎng)絡(luò)攻擊的難度，有效提高服務(wù)器資產(chǎn)的信息安全防護(hù)能力。

技術(shù)研發(fā)人員：李馨怡,孫繼奎
受保護(hù)的技術(shù)使用者：西安捷潤數(shù)碼科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/19