一��、信息系統(tǒng)端口治理工作現(xiàn)狀問題
隨著互聯(lián)網(wǎng)技術(shù)不斷發(fā)展�����,網(wǎng)絡(luò)安全形勢日益嚴峻�����,攻擊手段的多樣化和攻擊成本的不斷降低給系統(tǒng)安全帶來了很大的挑戰(zhàn)�����,2014年以來��,利用信息系統(tǒng)端口漏洞成為網(wǎng)絡(luò)攻擊的主要方式�。2017年5月爆發(fā)的大規(guī)模比特幣勒索病毒就是利用系統(tǒng)445等端口進行攻擊的,影響范圍十分廣泛��。對于大量無用端口或非必要端口的開放����,攻擊者往往通過這些“窗口”潛入內(nèi)網(wǎng),對電力行業(yè)信息系統(tǒng)造成較大的安全隱患���。
通常大部分黑客針對信息系統(tǒng)的入侵方式主要集中在遠程訪問端口與數(shù)據(jù)庫端口�,這類攻擊方式是較為直接的辦法���。而445/TCP 是關(guān)于文件和打印共享的信息流通數(shù)據(jù)的端口,一般黑客都是通過這個端口對被攻擊目標的計算機或木馬的控制��,Windows2000以后的版本都會自動打開這個端口�。一般流行性病毒���,如沖擊波�,災(zāi)飛都是從這個端口對計算機開始攻擊����。對于大量無用端口或非必要端口的開放,會對信息系統(tǒng)造成很大的安全隱患����,增加被攻擊風(fēng)險。
電力能源行業(yè)針對信息系統(tǒng)端口治理的工作提出重要要求�����,強調(diào)發(fā)揮信息專業(yè)技術(shù)監(jiān)督工作的重要作用��,進一步明確規(guī)范信息系統(tǒng)遠程訪問端口的管理和作用的規(guī)定,提出滿足業(yè)務(wù)需求和遠程維護需求�。開展運統(tǒng)建信息系統(tǒng)的端口治理工作,為信息系統(tǒng)運行的安全可靠提供保障�,完善在運統(tǒng)建信息系統(tǒng)的規(guī)范管理以及安全狀態(tài)管控。
二���、端口治理解決辦法
建立信息系統(tǒng)治理策略�����,根據(jù)不同端口制定規(guī)范���,分成在運系統(tǒng)和新建系統(tǒng)兩部分。
(1)在運系統(tǒng)
通過對在運統(tǒng)建信息系統(tǒng)所用端口進行梳理����、調(diào)研后
●集中整治高危端口,關(guān)閉多余端口��、禁用默認端口��;
●制定年度整改計劃�,分類分步驟開展端口治理工作。
(2)新建系統(tǒng)
通過對系統(tǒng)研發(fā)側(cè)進行強制要求���,新建系統(tǒng)端口的設(shè)計和使用需嚴格遵循端口設(shè)定規(guī)范要求以及行業(yè)標準進行設(shè)置�。針對特殊需求建立有效備案����,上報批準后方可使用。
研發(fā)符合行業(yè)化的端口治理工具�����,利用端口掃描技術(shù)梳理在運信息系統(tǒng)端口開放情況�����,針對標準服務(wù)端口�����、危險端口統(tǒng)計分析���。通過識別信息系統(tǒng)對外開放端口情況劃分標準服務(wù)端口�����、危險端口���,進而對高危端口(如31/TCP端口—[木馬]MasterParadise���、HackersParadise使用的通信端口 ,115/TCP端口—存在弱密碼和暴力破解風(fēng)險�����,易造成敏感信息泄露��,445/TCP端口是IPC$入侵的主要通道��,黑客可以利用該端口漏洞訪問默認共享文件�����,甚至格式化硬盤�����。)進行黑名單端口申請統(tǒng)計及后續(xù)整改關(guān)停操作�。如圖所示,某一網(wǎng)絡(luò)環(huán)境信息系統(tǒng)端口開放情況統(tǒng)計�����。
針對開放性信息系統(tǒng)端口普查分析,加強端口管理規(guī)范�����,以資產(chǎn)為維度劃分合理的端口管理職責(zé)����,在獲取探測目標范圍后��,基于探測識別引擎和專用探測載荷主要實現(xiàn)對網(wǎng)絡(luò)的存活性普查�����、節(jié)點屬性識別����;通過構(gòu)造數(shù)據(jù)包進行探測,分析響應(yīng)數(shù)據(jù)���,判斷目標范圍中資產(chǎn)及端口的存活狀況���、防護狀況。實時掌握資產(chǎn)端口的開放情況�,及使用情況����。
三��、解決方案
通過強大的探測手段對信息系統(tǒng)端口開放開放情況進行梳理���,實現(xiàn)節(jié)點探測發(fā)現(xiàn)存活資產(chǎn)及其端口開放使用狀態(tài)(如圖端口管理體系架構(gòu)所示)�。
圖為:端口管理體系架構(gòu)
可從服務(wù)端口畫像(如圖服務(wù)端口畫像所示)分析出標準服務(wù)端口��,包括管理類端口��、業(yè)務(wù)訪問類端口�����、數(shù)據(jù)傳輸類端口�。其中:
管理類端口:主要面向系統(tǒng)運維人員,用于對平臺級件(操作系統(tǒng)�����、中間件��、數(shù)據(jù)庫)�、業(yè)務(wù)應(yīng)用程序及其他配輔助工具的遠程管理和使用����;
業(yè)務(wù)訪問類端口:主要面向使用信息系統(tǒng)業(yè)務(wù)的最終戶���,用于訪問信息系統(tǒng)對外提供的服務(wù)���;
數(shù)據(jù)傳輸類端口:用于系統(tǒng)運維管理數(shù)據(jù)交互,以及不同信息系統(tǒng)之間或同一信息系統(tǒng)不同模塊之間數(shù)據(jù)傳輸使用�����。
圖為:服務(wù)端口畫像
梳理信息系統(tǒng)的操作系統(tǒng)��、中間件����、數(shù)據(jù)庫端口開放情況���,將端口區(qū)分為標準服務(wù)端口和存在危險端口�����,幫助運維人員掌握端口開放狀況�����,并且針對該端口訪問情況實現(xiàn)對端口服務(wù)詳情統(tǒng)計分析(如圖端口開放情況��、端口服務(wù)詳情統(tǒng)計所示)���。
端口開放狀況統(tǒng)計
端口服務(wù)詳情統(tǒng)計
明確信息系統(tǒng)危險�,在獲取探測目標范圍后��,以信息系統(tǒng)開放端口標識唯一資產(chǎn)���,實現(xiàn)對網(wǎng)絡(luò)中的存活性普查�、節(jié)點屬性識別和脆弱性分析���;探測過程中�����,通過構(gòu)造數(shù)據(jù)包進行探測���,分析響應(yīng)數(shù)據(jù),判斷目標范圍中資產(chǎn)及端口的存活狀況�����、防護狀況。
開放端口資產(chǎn)情況及漏洞風(fēng)險情況統(tǒng)計
WebRAY盛邦安全憑借應(yīng)用安全治理方面的多年經(jīng)驗�����,結(jié)合電力能源行業(yè)的端口治理工作指導(dǎo)文件�,貫徹落實信息安全工作要求,實現(xiàn)進一步規(guī)范信息系統(tǒng)遠程訪問端口的管理和作用���,滿足行業(yè)化業(yè)務(wù)需求和遠程維護需求���。通過對信息系統(tǒng)治理混亂、開放大量未知高危和無用端口這一現(xiàn)狀�,建立信息系統(tǒng)治理策略�����,對標準服務(wù)端口�����、危險端口進行統(tǒng)計分析管理��,對開放端口資產(chǎn)情況進行分析;通過對標準服務(wù)端口和高危端口的統(tǒng)計分析及開放端口資產(chǎn)漏洞風(fēng)險情況檢查分析�,作為信息系統(tǒng)安全運行做有利保障支撐,協(xié)助電力能源行業(yè)更好的完成在運統(tǒng)建信息系統(tǒng)的端口治理工作��,切實保障電力能源行業(yè)的網(wǎng)絡(luò)安全�。
