數智安：網絡空間安全測繪設備技術白皮書（17頁）.pdf

《數智安：網絡空間安全測繪設備技術白皮書（17頁）.pdf》由會員分享，可在線閱讀，更多相關《數智安：網絡空間安全測繪設備技術白皮書（17頁）.pdf（17頁珍藏版）》請在三個皮匠報告上搜索。

1、 網絡空間安全測繪設備 技術白皮書 數智安網絡空間安全測繪設備技術白皮書 版權聲明 Copyright 2020-2021 深圳市數智安科技有限公司 版權所有，侵權必究。未經深圳市數智安科技有限公司書面同意，任何人、任何組織不得以任何方式擅自拷貝、發行、傳播或引用本文檔的任何內容。數智安網絡空間安全測繪設備技術白皮書 Copyright 深圳市數智安科技有限公司 I 目 錄 1 概述 1 1.1 技術背景.1 1.2 技術優點.2 2 技術實現.4 2.1 概念介紹.4 2.2 數智安網絡空間安全測繪設備整體架構.4 2.3 典型部署方案.5 3 設備組成.6 3.1 資產盤點模塊.6 3.2

2、 IP地址管理.8 3.3 邊界完整性檢測模塊.8 3.4 安全檢測引擎.9 3.3.1 數據庫掃描引擎.9 3.3.2 網絡設備掃描引擎.10 3.3.3 操作系統掃描引擎.11 3.3.4 弱口令掃描引擎.11 3.3.5 WEB 漏洞掃描引擎.11 3.3.6 遠程桌面軟件掃描引擎.11 3.5 漏洞驗證模塊.錯誤!未定義書簽。4 檢測策略.12 5 核心關鍵技術.13 數智安網絡空間安全測繪設備技術白皮書 Copyright 深圳市數智安科技有限公司 第 1 頁 1 概述 1.1 技術背景 隨著互聯網與計算機網絡技術的飛速發展，網絡空間已經成為了人類生活中延展出的另一個維度的新空間。網

3、絡空間安全關系到國家安全、軍事外交、經濟社會等領域的發展。一旦網絡空間受到了威脅，所有基于互聯網運行的社會系統將會受到威脅。所以，網絡空間的全面管控、實時監測、資源分配及保護成為一個必須要解決的問題。從最初的信息保密性發展到信息的完整性、可用性、可控性和不可否認性，進而又發展為“攻(攻擊)、防(防范)、測(檢測)、控(控制)、管(管理)、評(評估)”等多方面的基礎理論和實施技術?？陀^地說，沒有任何一個網絡能夠免受安全的困擾，依據FinancialTimes曾做過的統計，平均每20秒鐘就有一個網絡遭到入侵，而安全又是網絡發展的根本。如何改進現狀，讓用戶不必為安全擔心，是推動安全技術不斷發展的動力

4、?；ヂ摼W應用不僅僅是網上購物、網上拍賣、網上服務等，還應包括電子政務，如電子郵件、網上信息發布、在線辦公等。信息安全產業固有的敏感性及特殊性，直接影響著國家的安全利益和經濟利益。所有這些因素都呼喚信息安全產業的發展和成熟?；谏鲜鲈?，推出了數智安科技自主研發的網絡空間安全測繪設備“數智安網絡空間測繪設備，通過安全和測繪技術對目標系統進行當前網絡狀態的檢測，并給出相應的對策?？勺鳛樾袠I監管部門的監督檢查工具，快速摸排資產、精準數智安網絡空間安全測繪設備技術白皮書 Copyright 深圳市數智安科技有限公司 第 2 頁 定位風險隱患，及時響應通報并推動整改；可作為行業化關鍵信息基礎設施的管理和

5、監控平臺，結合安全事件，幫助用戶進行資產梳理，評估漏洞影響，快速處置，形成安全管理閉環。1.2 技術優點 數智安科技作為技術支撐單位，與國防科技大學及方濱興”院士工作室結合多年的漏洞挖掘和各行業滲透測試經驗，集成大量的行業化安全漏洞庫，且持續進行漏洞跟蹤及挖掘工作，保障漏洞庫及時更新。數智安網絡空間測繪設備依托各種類型資產指紋特征，通過主動探測方式快速識別資產，有效盤點包括IP、MAC、設備類型、設備廠商、軟硬件版本、開放端口及服務等，形成資產信息庫，提供自動化資產指紋收集及識別技術，全面盤點各類行業資產。數智安網絡空間安全測繪系統創新性地集成了資產盤點邊界完整性檢測能力，融合安全行業的經驗積

6、累，基于已知的漏洞數據庫及模糊測試技術對主機、數據庫、網絡設備和應用系統等進行網絡掃描，利用網絡協議，模擬攻擊過程，向目標發送數據，從返回結果得到主機的脆弱性，進而實現對目標的漏洞分析、修復等多種管理能力。同時，創新性地集成了資產盤點邊界完整性檢測能力，針對用戶破壞網絡邊界完整性的違規行為進行檢測，可精準識別外聯主機并告警，主動監測專網邊界狀態，預防出現跨網信息交互事件。數智安網絡空間安全測繪設備技術白皮書 Copyright 深圳市數智安科技有限公司 第 3 頁 同時，創新性地集成了資產盤點邊界完整性檢測能力，針對用戶破壞網絡邊界完整性的違規行為進行檢測，可精準識別外聯主機并告警，主動監測專

7、網邊界狀態，預防出現跨網信息交互事件。數智安網絡空間安全測繪設備技術白皮書 Copyright 深圳市數智安科技有限公司 第 4 頁 2 技術實現 2.1 概念介紹 弱口令：通常認為只包含簡單數字或字母的口令、容易被別人猜測到或利用破解工具可以暴力破解的口令均為弱口令。一旦弱口令被破解出來，用戶的計算機就可能面臨巨大風險。網絡資產：網絡資產主要是計算機（或通訊）網絡中使用的各種設備：主要包括主機、網絡設備（路由器、交換機等）和安全設備（防火墻等），以及以IP端口等形式連接網絡的信息系統，如郵件系統、虛擬化平臺等。安全漏洞掃描：對于網絡設備中存在的安全漏洞掃描，如：系統漏洞掃描、網站漏洞掃描、數

8、據庫漏洞等，并且提出解決方案。邊界完整性檢測：主要指能夠對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置；能夠對內部網絡用戶使用雙網卡私搭建網絡環境的行為進行檢查，并準確定出位置。2.2 數智安網絡空間安全測繪設備整體架構 設備采用軟硬件一體化設計，硬件形態為標準機架式設備，采用B/S架構。系統組成分為數據采集層、分析層、展示層等幾大模塊。架構圖如下所示：數智安網絡空間安全測繪設備技術白皮書 Copyright 深圳市數智安科技有限公司 第 5 頁 2.3 典型部署方案 系統采用旁路部署模式，支持分級部署與集中管理，IP可達即可進行檢測，無需改變網絡架構，基于WEB進行管理 數智安網絡

9、空間安全測繪設備技術白皮書 Copyright 深圳市數智安科技有限公司 第 6 頁 3 設備組成 3.1 資產盤點模塊 資產盤點模塊對目標網絡進行探測，尋找現網存活設備，對其進行資產識別。1)可識別服務器（業務服務器、數據庫服務器、WEB服務器、遠程管理服 務器、代理服務器等）、終端（手機、攝像頭、打印機、媒體設備等）、網絡設備（交換機、防火墻、無線設備等）；2)可以識別資產開放端口、開放服務、操作系統、MAC地址、上下線等詳 細信息；3)資產盤點為安全檢測提供檢測目標，為盤點報告和安全檢測報告的生成、平臺展示所需的數據分析提供數據來源。以下為資產盤點模塊的實現機制：圖3-1 資產盤點流程

10、a.主動：針對資產盤點過程中不同的探測內容，結合掃描方式知識庫內置的發數智安網絡空間安全測繪設備技術白皮書 Copyright 深圳市數智安科技有限公司 第 7 頁 包方式，采用不同的手段進行掃描探測。b.掃描方式知識庫：資產盤點需要對主機、開放端口、操作系統、服務、中間件、承擔業務、廠商、版本等信息進行采集，采集不同的信息，需要用到不同的發包形式也不同，我們采用了基于TCP協議和UDP協議等多種方式。c.主機發現：主機發現的原理與Ping命令類似，發送探測包到目標主機，如果收到回復，那么說明目標主機是開啟的。d.主機其他信息探測：確認主機存活后，將繼續對主機開放端口、操作系統、服務、中間件、

11、承擔業務、廠商、版本等信息進行探測。e.端口掃描：常見的有TCP SYN、TCP connect、TCP ACK、NULL掃描、FIN 掃描、Xmas掃描、UDP掃描等，支持自定義端口掃描，可支持網絡設備全端口掃描。f.操作系統識別：如使用TCP/IP協議棧指紋來識別不同的操作系統。依據已知系統的指紋特征。分別挑選一個open和closed的端口，向其發送經過預先設計的TCP/UDP/ICMP數據包，根據返回的數據包生成一份系統指紋。將探測生成的指紋進行對比，查找匹配的系統。如果無法匹配，結合資產指紋庫以概率形式列舉出可能的系統。g.服務識別：獲取目標的banner信息以探測端口后的服務，使用

12、資產檢測引擎做服 務發現。檢測引擎通過端口后的服務運行特征和自己的特征庫做對比得出的結果，最后打印其獲取到的banner信息，輸出主機開放的服務。檢測引擎可以用來做服務發現，使用sV參數便可以確定開放端口后的服務和版本信息。h.廠商探測：通過SNMP的OID識別各類設備的廠商，也可對比資產指紋庫識別出設備廠商信息。i.版本探測：檢測引擎對主機進行掃描探測，通過回顯獲取主機系統的版本數智安網絡空間安全測繪設備技術白皮書 Copyright 深圳市數智安科技有限公司 第 8 頁 等信息。j.響應信息收集：在此節點匯聚發現的每個存活主機及其探測信息。k.資產指紋庫：資產指紋庫中集成了大量的資產信息，

13、如資產廠商、版本、類型等信息。通過匹配、核對前幾個階段探測出的資產信息，給出相對比較完整的資產盤點數據。l.輸出資產盤點數據。3.2 IP地址管理 網內終端資產越來越多，IP管理成為管理員難題 管理員只通過原始表格方式記錄IP使用情況，但某資產下線后，IP就長期被占用，系統基于對在網資產深度測繪，系統將對資產定義為四種狀態：在線、離線、長期離線、未使用;系統定期對系統所有資產進行在線探活，及時更新資產狀態；管理員通過界面就可清楚了解整網IP使用情況。3.3 邊界完整性檢測模塊 網絡邊界完整性被破壞的危害性嚴重，如：互聯網和用戶生產網打通后，內部網絡暴露在互聯網中，使得防火墻、安全隔離網關等防護

14、設備組成的安全防線變成了馬奇諾防線，將面臨病毒感染、木馬入侵、非授權訪問、數據泄密、數據篡改等多重安全威脅。違規外聯檢測：基于偽造報文的技術和多種共享協議原理，掃描器偽造外網服務器的IP，給掃描目標發送掃描報文，掃描目標收到報文后，利用設備產生的共享協議，向源地址即偽造的外網服務器地址回報文，外網服務器收到報文并解析，因為源地址數智安網絡空間安全測繪設備技術白皮書 Copyright 深圳市數智安科技有限公司 第 9 頁 是偽造的外網服務器地址，所以掃描目標會尋找到外網服務器的路由，一旦掃描目標能將報文回到外網服務器上，說明此目標能夠外聯。違規內聯檢測 基于掃描方式全面識別網絡資產，并快速檢測

15、網絡中私自擴展的非法內聯設備，可檢測內網設備使用雙網卡，不同網絡之間的網絡共享行為。遠程連接工具檢測 作為內網主機設備，嚴禁通過遠程連接工具方式 向外提供遠程方式服務，基于無客戶端掃描方式檢測內網主機設備是否安裝遠程連接工具；3.4 安全檢測引擎 漏洞檢測原理分為版本檢測和原理檢測。版本檢測通過獲取服務的版本號判別是否存在該漏洞。3.3.1 數據庫掃描引擎 通過開放的服務可自動識別數據庫類型，包含但不限于MySQL、MSSQL、Or 數智安網絡空間安全測繪設備技術白皮書 Copyright 深圳市數智安科技有限公司 第 10 頁 acle、DB2、Postgresql等，通過自研算法來獲取版本

16、對比知識庫進行漏洞挖掘智 能調度相關驗證插件及poc進行漏洞挖掘及驗證。3.3.2 網絡設備掃描引擎 通過指紋庫自動識別網絡設備廠商及類型，包含但不限于銳捷、Cisco、華為、H3C等，通過自研算法來獲取版本對比知識庫進行漏洞挖掘智能調度相關驗證插件及poc進行漏洞挖掘及驗證。數智安網絡空間安全測繪設備技術白皮書 Copyright 深圳市數智安科技有限公司 第 11 頁 3.3.3 操作系統掃描引擎 通過開放的服務可自動識別操作系統類型，包含但不限于Windows、Linux、Solaris、MacOS等，通過自研算法來獲取版本對比知識庫進行漏洞挖掘智能調度相關驗證插件及poc進行漏洞挖掘及

17、驗證。3.3.4 弱口令掃描引擎 弱口令掃描引擎可以根據協議、軟件平臺的登錄過程，分析并制定特定的弱口令字典庫，實現對攝像頭（SSH、Telnet、HTTP）、數據庫服務器（MySQL、MSSQL、Oracle、Postgresql等）、終端（SSH、Telnet、RDP、FTP等）、郵件服務器（IMAP、SMTP、POP3）、網絡設備（Cisco AAA、Cisco auth、Cisco e nable等）、運維管理服務器（SSH、FTP、Telnet、RDP、SMB）等設備的弱口 令掃描。3.3.5 WEB 漏洞掃描引擎 WEB漏洞掃描引擎可針對WEB應用系統進行安全檢測，對跨網站腳本漏洞

18、、S QL注入漏洞等漏洞進行深度掃描，自動獲取網站包含的相關信息，并直觀展示漏洞利用點。3.3.6 遠程桌面軟件掃描引擎 遠程桌面軟件掃描引擎可主動對被測設備安裝的遠程軟件進行檢測，對安裝主流的遠程桌面軟件如：向日葵等軟件的違規設備進行深度掃描，獲取并分析違規設備的相關信息。數智安網絡空間安全測繪設備技術白皮書 Copyright 深圳市數智安科技有限公司 第 12 頁 4 檢測策略 4.1 標準安全檢測 標準安全檢測主要對容易被“僵木蠕”利用的高危端口開放的服務、弱口令及 常見的行業漏洞進行檢測，能夠高效的發現現網中存在的高危風險。使用標準檢測策略檢測速度快，適用于大規模資產的檢測場景。4.

19、2 深度安全檢測 深度安全檢測主要對主機漏洞、網絡設備漏洞、數據庫漏洞、行業漏洞、弱口令等漏洞進行深度遍歷，全面發現系統中存在的各種風險。深度檢測策略對于漏洞的檢測更加細致深入，可深度暴露網絡風險，適用于數據中心等核心業務區域的檢測場景。4.3 自定義掃描策略 資產盤點、漏洞檢測、邊界完整性檢測、弱口令檢測均可自定義?？勺远x掃描范圍、掃描內容、掃描時間段等?？舍槍Σ煌瑱z測場景進行靈活設置。數智安網絡空間安全測繪設備技術白皮書 Copyright 深圳市數智安科技有限公司 第 13 頁 5 核心關鍵技術 5.1 行業行業化化資產識別資產識別 依托各種類型資產指紋特征，通過主動探測方式快速識別資

20、產，有效盤點包括IP、MAC、設備類型、設備廠商、軟硬件版本、開放端口及服務等，形成資產信 息庫，提供自動化資產指紋收集及識別技術，全面盤點各類行業資產。同時對于沒有覆蓋到的指紋規則，支持自定義錄入指紋特征。5.2 邊界完整性檢測邊界完整性檢測 針對用戶破壞網絡邊界完整性的違規行為進行檢測，可精準識別外聯主機并告警，包括：出口IP地址、地理位置、私網IP地址、外聯時間、外聯次數等。主動監測專網邊界狀態，預防出現跨網信息交互事件。違規外聯主動掃描方式檢測速度快、范圍廣、無需部署任何插件。5.3 快速端口掃描快速端口掃描 數智安網絡空間安全測繪設備采用領先的端口掃描引擎以及高性能硬件架構，可快速獲取存活資產信息，資產安全風險。檢測速度遠超傳統漏洞掃描工具，適用于大規模資產的全網檢測。5.4 數據庫深度掃描數據庫深度掃描 數智安網絡空間安全測繪系統不僅支持系統漏洞掃描，更支持數據庫授權登陸后進行深度掃描，包括數據庫結構及漏洞問題；數智安網絡空間安全測繪設備技術白皮書 Copyright 深圳市數智安科技有限公司 第 14 頁 5.5 WEB漏洞掃描漏洞掃描 數智安網絡空間安全測繪系統自帶專業的web漏洞掃描功能模塊，同時可對web可用性進行24小時檢測，支持防web篡改技術；