多源異構(gòu)網(wǎng)絡(luò)安全檢測(cè)評(píng)估報(bào)告統(tǒng)計(jì)分析工具研究與應(yīng)用

尹君 李寒箬 王海林 向華偉 趙曉平

關(guān)鍵詞：多源異構(gòu)網(wǎng)絡(luò)安全；檢測(cè)評(píng)估；統(tǒng)計(jì)工具；分析工具

1引言

為滿足上級(jí)監(jiān)管單位的網(wǎng)絡(luò)安全合規(guī)管控要求，企業(yè)需要常態(tài)化開(kāi)展各類安全檢查，針對(duì)不同類型的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，往往需要開(kāi)展多種安全檢查，如面向不安全配置的基線核查，面向已知CVE和CNVD漏洞的主機(jī)安全漏洞檢查，面向Web應(yīng)用系統(tǒng)的Web漏洞檢查。而隨著編碼安全和移動(dòng)應(yīng)用安全要求的進(jìn)一步提高，源代碼安全檢查和移動(dòng)應(yīng)用測(cè)試也納入了檢查范圍。檢測(cè)評(píng)估人員須使用多個(gè)主流網(wǎng)絡(luò)安全廠家生產(chǎn)的漏洞掃描、基線核查等檢測(cè)評(píng)估工具，人工統(tǒng)計(jì)并分析檢測(cè)評(píng)估工具生成的多源、異構(gòu)的網(wǎng)絡(luò)安全檢測(cè)評(píng)估報(bào)告，成本高、耗時(shí)長(zhǎng)、易出錯(cuò)，影響檢測(cè)評(píng)估的工作質(zhì)量與交付效率。當(dāng)前，市面上各類工具報(bào)告樣式復(fù)雜，有PDF版本的結(jié)果，也有HTML格式的結(jié)果，統(tǒng)計(jì)分析困難，多源異構(gòu)網(wǎng)絡(luò)安全檢測(cè)評(píng)估報(bào)告統(tǒng)計(jì)分析工具根據(jù)當(dāng)前主流使用的網(wǎng)絡(luò)安全檢測(cè)評(píng)估工具的主要類別、主流產(chǎn)品型號(hào)，分析檢測(cè)評(píng)估工具生成報(bào)告的文件格式、內(nèi)容、數(shù)據(jù)類型等。設(shè)計(jì)源于檢測(cè)評(píng)估報(bào)告指標(biāo)結(jié)果的統(tǒng)計(jì)分析數(shù)據(jù)場(chǎng)景。功能支持提取多源異構(gòu)網(wǎng)絡(luò)安全檢測(cè)評(píng)估報(bào)告的內(nèi)容、按照統(tǒng)計(jì)分析數(shù)據(jù)場(chǎng)景給出統(tǒng)計(jì)分析結(jié)果。完成統(tǒng)計(jì)分析工具的入網(wǎng)安評(píng)、源代碼安全審計(jì)，使其符合公司上線使用的安全標(biāo)準(zhǔn)[1]。

2多源異構(gòu)網(wǎng)絡(luò)安全檢測(cè)評(píng)估報(bào)告統(tǒng)計(jì)分析工具研究

本文提供一種多源異構(gòu)數(shù)據(jù)質(zhì)量評(píng)價(jià)的方法，其主要內(nèi)容有：S1，獲取多源異構(gòu)海量數(shù)據(jù)，并將其作為評(píng)價(jià)對(duì)象；S2，針對(duì)要評(píng)價(jià)的數(shù)據(jù)集的特征、關(guān)聯(lián)業(yè)務(wù)和數(shù)據(jù)的歸屬，預(yù)先設(shè)定多維參數(shù)的數(shù)據(jù)質(zhì)量準(zhǔn)則，并預(yù)先設(shè)定各數(shù)據(jù)質(zhì)量規(guī)則的各個(gè)維度參數(shù)的評(píng)價(jià)范圍；S3，利用預(yù)設(shè)的數(shù)據(jù)品質(zhì)準(zhǔn)則的維數(shù)和重要分量，構(gòu)造出一套基于該模型的數(shù)據(jù)質(zhì)量規(guī)則權(quán)矩陣；S4，通過(guò)計(jì)算數(shù)據(jù)質(zhì)量規(guī)則的通過(guò)率，從數(shù)據(jù)的完整性、準(zhǔn)確性、一致性等方面進(jìn)行計(jì)算；采用時(shí)效性、規(guī)范性等多個(gè)維度的方法，分別計(jì)算出數(shù)據(jù)質(zhì)量評(píng)價(jià)得分，并將其與數(shù)據(jù)質(zhì)量規(guī)則的權(quán)重矩陣相結(jié)合，對(duì)所有數(shù)據(jù)質(zhì)量規(guī)則的通過(guò)率進(jìn)行加權(quán)求和：對(duì)要評(píng)價(jià)的資料集合進(jìn)行綜合評(píng)價(jià)[2]。

在S1中，獲得多源、異構(gòu)海量數(shù)據(jù)包括以標(biāo)準(zhǔn)化的任務(wù)模板對(duì)各種數(shù)據(jù)進(jìn)行快速訪問(wèn)：通過(guò)消息隊(duì)列技術(shù)，實(shí)現(xiàn)了多源異構(gòu)實(shí)時(shí)數(shù)據(jù)的采集：利用數(shù)據(jù)總線技術(shù)實(shí)現(xiàn)多源異構(gòu)的海量歷史數(shù)據(jù)的采集：將不同來(lái)源的資料儲(chǔ)存到記憶體資料庫(kù)或平行資料庫(kù)中，構(gòu)成要評(píng)價(jià)的資料庫(kù)[3]。

在S2中，在預(yù)置多維參數(shù)數(shù)據(jù)質(zhì)量規(guī)則時(shí)，包含所屬系統(tǒng)重要性、引用次數(shù)、約束類型；規(guī)則的完整性，評(píng)價(jià)對(duì)象的相關(guān)性，規(guī)則的重要性。

在S3中，數(shù)據(jù)質(zhì)量規(guī)則權(quán)重矩陣計(jì)算式為：

3多源異構(gòu)網(wǎng)絡(luò)安全檢測(cè)評(píng)估報(bào)告統(tǒng)計(jì)分析工具研制

3.1安全工具原始報(bào)告解析技術(shù)研究

原始報(bào)告一般為HTML格式，表現(xiàn)為一組HTML格式文件，其中報(bào)告根目錄包括總體報(bào)告頁(yè)面（index. html）、以主機(jī)維度的單主機(jī)問(wèn)題頁(yè)面（host目錄，根據(jù)掃描對(duì)象數(shù)量，每個(gè)掃描對(duì)象1個(gè)html文件，以IP命名）和以漏洞維度的漏洞詳情頁(yè)面，如表1所列。

對(duì)于一次掃描中存在多個(gè)主機(jī)的情況，可以對(duì)host目錄下每個(gè)html文件逐一讀取后按上述單個(gè)主機(jī)漏洞解析方式即可完成1份原始主機(jī)掃描報(bào)告的解析與結(jié)構(gòu)化存儲(chǔ)。

3.2多源異構(gòu)網(wǎng)絡(luò)安全檢測(cè)評(píng)估報(bào)告統(tǒng)計(jì)分析

在對(duì)上述2種類型報(bào)告進(jìn)行解析并形成結(jié)構(gòu)化數(shù)據(jù)后，即可開(kāi)展統(tǒng)計(jì)分析，根據(jù)用戶提供的報(bào)告類型，按照時(shí)間段查詢測(cè)評(píng)總體情況，以圖形界面直觀、簡(jiǎn)潔地展現(xiàn)當(dāng)前測(cè)試情況。用柱狀圖展示各單位測(cè)試類型統(tǒng)計(jì)情況。餅圖展示測(cè)試類型占比、主機(jī)漏洞掃描、Web漏洞掃描、源代碼安全檢查分布情況，移動(dòng)應(yīng)用靜態(tài)測(cè)試分布情況，操作系統(tǒng)基線掃描不符合項(xiàng)、中間件基線掃描不符合項(xiàng)、數(shù)據(jù)庫(kù)基線掃描不符合項(xiàng)、各單位測(cè)試情況、各系統(tǒng)測(cè)試情況相關(guān)數(shù)據(jù)。相關(guān)指標(biāo)如表2所列。

根據(jù)具體工作需求，依托結(jié)構(gòu)化的多源異構(gòu)網(wǎng)絡(luò)安全檢測(cè)評(píng)估報(bào)告數(shù)據(jù)，可以按照模板生成相應(yīng)的docx格式的總體報(bào)告。

4結(jié)束語(yǔ)

多源異構(gòu)網(wǎng)絡(luò)安全檢測(cè)評(píng)估報(bào)告統(tǒng)計(jì)分析工具采用高度封裝集成的軟件設(shè)計(jì)思路，基于Python語(yǔ)言開(kāi)發(fā)，并進(jìn)行打包操作，使用sqlite存儲(chǔ)解析后的結(jié)構(gòu)化數(shù)據(jù)，實(shí)現(xiàn)了開(kāi)箱即用。目前，工具原型使用命令行方式運(yùn)行，用戶可根據(jù)提示將對(duì)應(yīng)報(bào)告放人相應(yīng)的目錄下，實(shí)現(xiàn)原始報(bào)告的解析和匯總報(bào)告的生成，以圖形化的方式實(shí)現(xiàn)各類檢查結(jié)果的統(tǒng)計(jì)匯總，為網(wǎng)絡(luò)安全測(cè)試人員和管理人員提供了極大便利。