甲方安全之企业安全自动化工具SeMF分享

　　* 本文作者：FallenAngels，本文属FreeBuf原创奖励计划，未经许可严禁转载

　　前言：

　　上一篇文章《“传说中”的乙方安全》发布早已半年的时间，文章结尾说开源自建的安全管理平台，但是仍然炒冷饭。我澄清一下，跟领导PK败了，所以原创版本是不使开源的，用了半年时间，我那边新写了一套企业安全管理框架(SecurityManageFramwork)，简称SeMF，相对于原创版本，各有利弊吧，原创版本功能较多，但是整个系统高度多样化，通用性较小；新版本的话功能较少，但从设计开始考虑到不同企业的需求，权限和功能多样化不需要改代码，后台修改变量就可以实现。也说不清那个更好用，目前早已开源，供诸位小伙伴们试用，后续会依照反馈的信息添加功能。

　　项目地址：

　　项目介绍：

　　企业外网安全管理平台，收录资产管理，漏洞管理，账号管理，知识库管、安全扫描自动化功能模块，可用于企业内部的安全管理制度落地。 本平台致力帮助安全人员少，业务线冗长，周期巡检困难，自动化程度低的企业，更好的实现企业内部的安全管理。

　　功能模块：

　　SeMF总共有资产管理、网络映射、漏洞管理、任务管理、报表中心、知识共享、用户管理七个通用模块。用于企业安全建设的第一阶段，以下为该系统的*敏*感*词*和主页面

　　

　　

　　1.资产管理

　　资产是安全管理的核心，看过很多企业安全管理的文章，基本上第一部份都是公司资产的梳理，确认须要管理的资产并进行资产分级。能看懂代码的都会发觉，我们的安全管理平台核心就是资产，其他几个模块都是围绕资产进行扩充的。

　　该模块的话实现了高度可扩充，可通过管理地址 ip:port/semf/ 对系统内的资产分类，信息归属以及资产属性进行自定义设置，即便不会开发，也可按照自己公司的实际情况进行自定义。确保须要管理的资产不会遗漏。如下图所示定义资产类型，以及资产类型关联属性。该页面仅超级管理员可访问，访问地址也可进行变更。（系统中数据初始化时定义了部份资产和属性，用户可自行更改）

　　

　　设置完成后我们在系统的资产管理界面如下收录资产增删查改、审批，端口扫描，周期巡检（需要添加扫描器）等功能，直接上图，篇幅受限，这里仅显示部份吧：

　　

　　2.网络映射

　　这一部分单独界定完全是工作须要，我相信大部分公司服务器对外开放都有记录信息搜集不难，这个模块与日志剖析功能（被阉割了）配套使用的，避免在安全剖析短发不清各系统之间的关联形成操作失误，吃过亏。放在1.0版本的里是为了使你们在资产搜集过程中一起梳理以下，防止之后二次梳理，反正上面也要用。安全人员可以通过这个页面点击查看所有信息。截图如下：

　　

　　3.任务管理

　　这个模块主要是用于安全扫描的自动化和周期巡检的，目前仅加入了Nessus扫描器，预留AWVS，MobSF两款扫描器，后续会相继开放，如果须要其他扫描器对接的话可以递交issue，记得提供API文档啊。

　　这个模块的话除了可以简介操作Nessus，还可以同步早已创建的任务结果，很实用啊，不需要为了采集数据重新扫描；另一方面，它自带漏洞过滤模块，在后台设置须要过滤的漏洞，比如一些须要降级或则扫描器整改方案不够详尽的漏洞。扫描结果同步时会手动更新过滤，扫描报告不需要人工剖析了。（说实话，原创版本中收录了系统层，Web应用，移动应用和自建扫描器的周期巡检，但是家里没有测试环境，就没有添加，只留了Nessus，各位大鳄可依照自己公司的情况进行添加）

　　4.漏洞管理

　　这个模块就是身在乙方的我最须要的模块，也是这个平台的起点，（想当初，面对N多个业务系统，每次上百各安全漏洞，对每位漏洞修补跟进和检查 ，着实心累，好不容易修补了，研发给回滚了，都是泪啊），这个模块的话能看到当前所有资产的漏洞和相关信息，便于跟进，待修补漏洞一目了然，而且给业务部门自己建帐号的话，他们只能看见自己的漏洞，还算比较实用吧。（我们公司安全，运维，业务各自有帐号，这样的话漏洞直接三方看，基本上不会出现你推我，我退你的情况，漏洞不会修的话，我们知识库太全的，具体到操作哪条命令，而且回滚被发觉了，直接漏洞再现，很显眼，妈妈再也不用害怕我累呕血了，话题其实跑歪了）

　　该模块的话，安全管理拥有完全的控制权限，普通用户仅能选择修补还是忽视，权限控制还是比较健全的。

　　

　　漏洞管理的话第二大亮点就是同步了CNVD漏洞库，目前的话同步了2万多条漏洞信息，可实现本地查询，当然，漏洞信息管理员是可以改的，效果图如下：

　　

　　5.报表中心

　　这个模块的话我只写了资产分类，漏洞分类、分级，高危漏洞统计，近期安全态势等，会开发的童鞋可自己添加，参照我给的图写就行，反正饼图、柱状图，折线图都有了;看不懂代码的话可以加群或则项目下留言，需求多的话我就加上。看图

　　

　　6.知识共享

　　这个模块可以说是我最喜欢的模块，也是我为何博客文章很少的诱因（刚到公司的时侯我自信满满，然后遇见了哪些都不懂的业务人员被教做人，简单的问题都要我写个操作指南，具体到执行哪条命令，简直摧残人，我的大好青春就如此白白浪费），系统建成后，直接跟修补手册上传跟漏洞管理，你要是再不会修，那只能找你领导谈谈了

　　还有就是假如知识库发表的时侯分类是通告类的，会主动给所有用户发送提醒，提醒查看，适用于安全预警和周期巡检。没啥可看的，直接上图，支持富文本：

　　

　　7.用户管理

　　这个模块的话主要是给不会开发的朋友打算的，因为不同公司的组织和人员职责不一样，寻找RBAC原则，用户角色和权限可以通过后台自定义，不用动代码也可以调整，当然，这个系统里的信息都太隐私，所有帐户加了各审批（默认禁用注册，需要管理员添加信息，然后发邮件给用户，用户能够注册）

　　整个系统阉割了 日志剖析、任务管理以及流程管理上的模块，因为这种东西和公司系统依赖比较高，就不开源了，等我找到代替方案，再建立，有建议的小伙伴可以找我联系。

　　* 本文作者：FallenAngels，本文属FreeBuf原创奖励计划，未经许可严禁转载