開源軟件在電網企業內網信息資產安全管理中的應用研究

向華偉，張雪堅，楊震乾，釧 濤，馮 熙

(云南電網有限責任公司信息中心，云南昆明650200)

[摘要]隨著當前電網企業信息化進程的不斷推進，信息設備日益增多，虛擬化技術的廣泛應用，快速的虛擬機創建與復制使得企業內網運行的服務器及其開放端口梳理困難，處于管理盲區的服務器及其開放的端口也是黑客攻擊的目標，成為安全隱患。根據某電網企業的信息資產管理現狀和實際需求，應用開源軟件搭建一套主動式的資產信息收集、統計、分析系統，能夠滿足個性化的管理需求，簡化了人工統計梳理資產工作，提高了信息資產管理工作效率和時效性，具有十分重要的意義。

關鍵詞 開源軟件 信息資產安全管理 電力企業

中圖分類號TM769

0引言

近年來，電網企業信息化進程不斷推進，信息設備日益增多，而隨著虛擬化技術的廠_泛應用，快速的虛擬機創建與復制使得企業內網運行的服務器及其開放端口梳理困難。另一方面，當前信息化管理框架中管理單位、運維單位、建設單位分離的模式，導致信息資產在梳理中存在清查不到位、t信息時效性低的問題，導致部分信息資產在某些時間內處于管理單位的盲區。而在當前熟悉的信息安全環境下，這些處于管理盲區的資產由于未納入企業安全管理體系，未得到良好的加固，極易成為攻擊目標，進而影響整個企業內網安全。

對此，通過應用開源軟件，自動化的搜索內網活躍的服務器及其開放端口，避免了人工報送資產導致的時效性差、易出錯的缺陷，及時發現管控盲區的資產和可能的木馬感染，對于電網企業信息安全防護水平的提升具有重要意義。

1研究背景

IT資產管理在國內外已經存在多款成熟的產品，例如北塔軟件提供的IT管理系統中均包含IT資產管理模塊，但這類產品在資產動態發現方面存在不足：

1.1 自動化程度不高，資產需要錄入

多數資產管理系統需要錄入復雜的資產信息，如資產編號、物理名稱、價值、資產關系等信息，在梳理資產相關信息時易出錯、工作量較太。即使部分軟件提供資產自動發現功能，多數是通過在資產生安裝代理軟件實現，對于未安裝代理軟件的資產則僅能提供IP、MAC等信息。

1.2缺少資產信息安全管理所需信息

資產信息安全是資產安全管理的基礎，但大量資產管理系統均未包含該資產的開放端口、操作系統、運行服務等。

某電網企業現有服務器100余臺、網絡設備50余臺、終端500余臺，虛擬機200余個，甚至還存在負工將個人的計算設備帶入內網使用的情況。同時，這些設備在運行過程中，其開放的端口、運行的服務均隨著軟件變更、系統升級等不斷變化，虛擬機更是隨時遷移、啟動，這給IT資產安全管理帶來了極大的困難。任何一臺設備如果開放不安全的服務，并且該服務沒有及時發現并經過加固，都將會成為威脅內網安全的隱患。

2技術路線

近年來，隨著開源軟件社區日益活躍，大量企業均選擇應用開源軟件搭建內部的信息化系統，如使用Apache、Mysql。搭建服務網站：甚至部分企業還基于開源軟件二次開發后形成商業化的軟件產品進行出售，典型的例子是Splunk使用開源的Elastic Search、Kibana等軟件開發了成功日志收集、檢索系統Splunk。

在內網信息資產安全管理研究中，我們使用Nmap實現資產發現，借助Libnmap庫提供的函數實現對Nmap掃描報告的解析，使用LogStash實現掃描結果的采集與導人ElasticSearch存儲，最后使用Kibana完成信息檢索與可視化展現。

2.1 Nmap

Nmap是一個網絡掃描軟件，用來掃描網上電腦開放的網絡端口。確定哪些服務運行在哪些端口，并且推斷計算機運行哪個操作系統。它是網絡管理員必用的軟件之一，以及用以評估網絡系統安全。系統管理員可以利用Nmap來探測工作環境中未經批準使用的服務器，但是黑客會利用Nmap來搜集目標電腦的網絡設定，從而計劃攻擊的方法。

2.2 Libnmap

Libnmap是一個基于python的第三方函數庫，可以讓Python開發者操作Nmap進程數據，。包括自動或定期安排NMAP掃描、解析作NMAP掃描報告結果、比較2次掃描結果間的差異等。

2.3 Logstash、ElasticSearch、Kibana

Logstash、ElasticSearch、Kibana是Elastic公司開發的日志管理套件，Logstash提供日志采集、解析與范式化的功能，ElasticSearch是基于Lucene二次開發的全文檢索軟件并面向日志搜索與分析進行了優化，Kibana是可視化的ElasticSearch搜索、分析繪圖工具。

3企業內網信息資產安全管理應用研究

3.1應用總體框架

企業內網信息資產安全管理的技術框架如圖1所示，通過應用多種開源軟件實現資產的自動檢測、努析和告警。

3.2應用關鍵技術

3.2.1系統環境準備

為更好地支持開源軟件運行，我們選擇基于Linux部署個開源軟件，操作系統選擇Kali Nmap Linux，其上已默認安裝Nmap，Python。

(1) Libnmap安裝

Libnmap是Python的第三方庫，安裝前需要安裝pip王具，然后運行“pip install Python- libnmap”即可完成安裝。

(2) Logstash、ElasticSearch、Kibana的安裝Logsr.ash、ElasticSearch、Kibana可以從elastic. co/download免費下載。將下載好的tar包解壓縮到自定義的目錄下，運行bin目錄下對應名稱的程序即可，如./hiri/kibana。其中，ElasticSearch必須使用非root賬戶運行。

3.2.2通過Libnmap調度Nmap進行資產發現

Libnmap提供了Nmapprocess模塊進行Nmap調度，是本應用中主要使用的模塊。通過應用該庫，可以使Python方便的實現調度和解析工作。

為了在python代碼中調用這2個模塊，需要在代碼時引用模塊：

from libnmap process import NmapProcess

要自定義掃描，我們需要使用NmapProcess函數：

Nm=NmapProcess( targets一”[ip]”,options-”- sS-oX [file]”)

其中targets參數就是需要掃描的目標，此處ip可以替換為一傘網段或者一個逗號分割的ip地址列表，options指定了掃描的參數，與Nmap參數完全一致，本例中使用- sS參數執行syn掃描，并將結果輸出為xml文件以便解析。

當掃描參數設定完成后，可通過nm. run_ background()讓Nmap以后臺進程的方式運行。Libnmap庫提供了進程的監控函數is- running()，借助該函數可以在掃描完成后立即執行解析操作：

while nm.is_running():

print”still scan”

sleep(5)

parse()

上述代碼檢測掃描完成情況，在掃描完成后退出循環，執行結果解析。

如果需要定時進行掃描，可以利用Linux的cron工具定期執行py程序以定期掃描，實現新資產與服務的不間斷發現，同時降低持續掃描對網絡的壓力。

3.2.3掃描結果的解析

Libnmap提供了NmapParse模塊進行掃描結果的解析，為了調用該模塊，需要在代碼前引用該模塊：

from libnmap:parser import NmapParser

該模塊提供專門的文件解析類，可將xml格式的掃描報告中的字段直接存儲在類中，為了完成該操作，使用以下代碼。

nmap_report—NmapParser. parse_fromfile(7[ file])，其中file字段需要替換為掃描結果報告的文件，此時已經將xml報告結構化的解析并存儲在m-tap.reporl.變量中，通過使用NmapParser提供的一些方法即可獲取不同的內容：hostnames獲取目標的主機名、address獲取目標IP地址，mac獲取目標MAC地址，get_open_ports()獲取目標開放的端口等，可以通過循環完成每個ip的相關信息打印： 一

for host in nmap_report.hosts:

而考慮到單個IP往往對應多個端口，而端口數量又無法確定，為了更好的搜索效果以及后續的統計分析，本文進一步將端口進行解析，在主機的for循環下，使用forport in ports循環將一組端口拆分成為單個端口、將每個目標的主機名、ip地址、mac.地址、單個開放端口和協議以#分隔符按行保存到文件中，為后續數據存入Elastic-Search奠定基礎。其每一行的文件格式為“主機名#MAC地址#IP地址#端口#協議”。

3.2.4掃描結果導入ElasticSearch

本文使用logstash完成解析后的掃描結果導人Elastic-Search。要使用logstash進行導入，需要編寫。logstash配置文件。

一個logstash配置文件主要包括input、output、filter三部分，其中input指明logstash從哪里獲取數據，output指明logstash將處理后的結果發送到哪里，filter指明logstash需要對input數據如何進行處理。本文使用的配置文件內容如下：

input{

file{

path一>”[fullpath/file]”

)

)

output{

elasticsearch{

hosts一>[”127.0.0.1: 9200”]

}

}

filter{

mutate{

split～>[”message”,”#”]

add- field一>(”hostname”一>”%{[message]

[0l}”)

add_ field一>{”MAC_ addr”=≥”%{[message]

[1l}”)

add field蘭>"IP_ addr”一>”%{[message][2])”)

add_field一>{”Port”一>”%([messagel[3])”)

add_field=>{”Protocal”一>”%{[message] [4])”}

}

其中input部分指定了logstash輸入的數據源，本文由于使用libnmap對原始的nmap進行了格式化解析處理后，將格式化的結果保存在文件中，f因此使用文件數據源，并將path字段設置為文件的絕對路徑。

Output部分指定了logstash將其處理過的數據輸出的目的地，本文使用elasticsearch對結果進行統一存儲與搜索，因此輸出目的地設置為本機的elasticsearch服務器，在host字段中配置服務器端口和端口，而如果服務器需要驗證，還需要使用user和pass字段告知logstash使用對應的用戶名和口令進行以證。 、

Filter部分指定了對輸入的數據進行處理的方法，由于本文已經利用libnmap對需要通過logstahs導人elastic-search的數據進行了規格化處理，因此此處僅需要使用mutate插件，利用split模塊對每一行按“#”進行分割，將分割后的消息創建對應的字段即可‘4]。

配置文件編寫完成后，可以通過<安裝目錄>/bin/logstash -f<配置文件>'agent啟動logstash，這將對該結果文件進行持續監控，一旦該文件發生了改變，logstash將自動讀取文件內容并保存至elasticsearch。

3.2.5結果展現與搜索

當elasticsearch中存儲了相關信息后，即可在kibana中查看相關信息，如圖2所示：

可以通過IP _addr:精確查詢單個IP開放的端口情況，如下圖3所示，也可以通過Port:查詢開放該端口的主機信息，如下圖4所示：

而借助kibana豐富的可視化工具，可以進行相關統計分析，包括每奈主機并放的端口，如圖5所示，開放端口的類型占比等，如圖6所示：

 而隨著掃描數據的積累，還可以對比IP的變化及IP開放端口的變化等，對于統計、分析及發現非法開放端口具有非常重要的意義。

4結束語

目前，提供信息資;產關聯的工具較多。但這些工具均為高度定制化或通用型產品，難以完全滿足各個單位的實際需要。本文針對某能源企業IT資產暴露面發現需求的實際需要，應用多種開源軟件實現了企業內網信息資產搜索、統計、分析、對比功能的管理平臺。后續可以根據需求、數據源的變化，調整數據組織方式，引入更多的外部數據進行關聯分析寫展現，具有較強的擴展性和靈活性，為信息化管理人員開展信息資產管控提供了便利。

參考文獻

[1]蔡燕華，侯開虎;王偉華，企業IT資產管理系統研究及實現[J].工業技術經濟，2007，26 (11)：111-113

[2] Nmap Documentation[ EB/OL].[2017-03-03].https:∥

[3lLibnmap's documentation[EB/OL]. [2017-03-03l.http://libnmap. readthedocs.iol en/latest/. . ,

[4lLogstashReference[EB/OL]. [2017-03-03].https://www.e- lastic.co/guide/en/logstash/indexhtml."