1工具開發(fā)背景

當(dāng)前,信息安全已經(jīng)引起了人們的高度重視,其中數(shù)據(jù)安全是信息安全中非常重要的一個環(huán)節(jié),而局域網(wǎng)的數(shù)據(jù)安全則主要靠防火墻來實(shí)施管理控制。近幾年,網(wǎng)絡(luò)信息安全防護(hù)的關(guān)鍵點(diǎn)之一就是訪問控制,即防火墻中不允許冗余策略存留,不允許配置過寬地址段,不允許配置過寬端口,全面封堵高危端口等,在檢查過程中發(fā)現(xiàn)存在以下問題:

（1)現(xiàn)階段,防火墻中配置的訪問策略多達(dá)幾百條,人工檢查這些訪問策略的合規(guī)性不僅耗費(fèi)大量時間和人力,而且容易出現(xiàn)差錯。

（2)防火墻自身會對策略命中情況進(jìn)行統(tǒng)計,如果某策略長期不起作用,策略命中數(shù)會顯示為零。根據(jù)信息安全要求,工作人員每月需對防火墻重啟并切換。切換重啟后,防火墻的策略命中數(shù)量統(tǒng)計就會清零。此時便無法區(qū)分有效策略與失效策略,這些訪問策略關(guān)系全局生產(chǎn)網(wǎng)絡(luò)運(yùn)行,影響重大。

（3)部分防火墻策略無導(dǎo)出功能,影響安全分析及安全審計工作效率。

（4)防火墻日志輸出的每一條日志信息都存在較多的字段,每日產(chǎn)生的信息數(shù)據(jù)量巨大,且日志文件為文本文檔格式,不利于防火墻日志查詢及分析。

2工具研究與實(shí)現(xiàn)

2.1實(shí)現(xiàn)思路

（1)分析防火墻可視化頁面的策略、端口、地址簿等數(shù)據(jù)的記錄和顯示方式,建立防火墻數(shù)據(jù)提取模式。技術(shù)實(shí)現(xiàn):利用爬蟲技術(shù),定時登錄防火墻抓取數(shù)據(jù),將策略ID、命中數(shù)、源地址名稱、源地址IP、源端口、目的地址名稱、目的地址IP、目的端口等數(shù)據(jù),相互匹配后完整呈現(xiàn)在一張表格上,并實(shí)現(xiàn)導(dǎo)出功能。

（2)分析防火墻日志文件記錄方式,分析每個字段存儲信息的含義,將字段分類存入數(shù)據(jù)庫,根據(jù)需求按字段進(jìn)行提取查詢?nèi)罩拘畔ⅰ＜夹g(shù)實(shí)現(xiàn):利用腳本,將日志數(shù)據(jù)按字段分類,篩選出必要字段寫入數(shù)據(jù)庫中,實(shí)現(xiàn)日志快速查詢。

（3)開發(fā)基于c#/winform的桌面工具,實(shí)現(xiàn)各防火墻信息的查詢及顯示。技術(shù)實(shí)現(xiàn):采用c#語言開發(fā),在桌面上打開工具,實(shí)現(xiàn)信息的查詢功能和顯示功能。

2.2防火墻策略配置信息獲取功能的實(shí)現(xiàn)

防火墻的管理需要使用瀏覽器。由于防火墻會在后臺對相關(guān)信息進(jìn)行加密,因此無法直接從后臺獲取其策略配置信息,只能借助瀏覽器對前臺頁面請求返回的數(shù)據(jù)包進(jìn)行抓取,并設(shè)置抓取時不顯示瀏覽器,抓取到的數(shù)據(jù)需做匹配處理,匹配采用正則表達(dá)式核心代碼:

2.3防火墻日志信息獲取功能的實(shí)現(xiàn)

防火墻輸出的日志信息由多個字段組成,且輸出格式為文本文檔,不利于運(yùn)維人員查詢及分析,因此需要根據(jù)日志記錄方式,將日志分字段存入數(shù)據(jù)庫,并按字段作用為字段命名,數(shù)據(jù)導(dǎo)入核心代碼為:

2.4防火墻日志信息查詢功能的實(shí)現(xiàn)

工具采用c#/winform進(jìn)行開發(fā),使用soL語句實(shí)現(xiàn)對日志信息的查詢,核心代碼:

防火墻策略智能識別優(yōu)化工具效果如圖1所示。

3軟件測試

軟件測試主要是針對軟件的各項功能及性能,包括軟件運(yùn)行情況、資源占用情況、策略配置獲取功能實(shí)現(xiàn)情況、日志數(shù)據(jù)查詢功能實(shí)現(xiàn)情況、各項導(dǎo)出功能實(shí)現(xiàn)情況等,通過軟件測試希望能挖掘出工具的缺陷,及時進(jìn)行修改完善,確保工具高效高質(zhì)量運(yùn)行。

測試結(jié)果:本次測試對工具的2個功能模塊進(jìn)行全面的測試,共發(fā)現(xiàn)1個缺陷,缺陷率為1%,缺陷內(nèi)容為:無法抓取遠(yuǎn)程服務(wù)器中的天融信防火墻的數(shù)據(jù),顯示無法登錄,ssL證書沒有驗證。代碼行數(shù)和缺陷比值為99:1,表明發(fā)現(xiàn)的缺陷數(shù)量在合理范圍內(nèi)。

開發(fā)人員針對測試結(jié)果修復(fù)了工具的缺陷,第二次的軟件測試結(jié)果表明該缺陷已消除,工具得到完善。

4結(jié)語

隨著現(xiàn)代科技的不斷發(fā)展,計算機(jī)信息技術(shù)對企業(yè)的影響力日益增強(qiáng),電力企業(yè)的信息安全與否直接影響到電力企業(yè)的經(jīng)濟(jì)效益,高效的信息安全分析有助于企業(yè)有效規(guī)避信息安全事件對企業(yè)造成的破壞,維護(hù)企業(yè)利益。防火墻策略智能識別工具能有效幫助運(yùn)維人員分析防火墻的工作情況,一方面能大大降低運(yùn)維人員獲取防火墻日志及配置信息的時間成本,另一方面提高了運(yùn)維人員安全策略分析的準(zhǔn)確度和效率,助力運(yùn)維人員實(shí)現(xiàn)信息安全的精準(zhǔn)運(yùn)維和高效運(yùn)維,對企業(yè)信息安全建設(shè)起到了很好的促進(jìn)作用。