基于4A平臺(tái)的資產(chǎn)管控體系的設(shè)計(jì)與實(shí)現(xiàn)

陳霖，劉松波

（中國(guó)移動(dòng)通信集團(tuán)湖南有限公司，長(zhǎng)沙 410000）

1 引言

隨著互聯(lián)網(wǎng)絡(luò)的飛速發(fā)展，企業(yè)持續(xù)加大信息系統(tǒng)建設(shè)投入，使企業(yè)IT網(wǎng)絡(luò)規(guī)模呈現(xiàn)爆炸式增長(zhǎng)，IT資產(chǎn)數(shù)迅速增加的同時(shí)，現(xiàn)場(chǎng)網(wǎng)絡(luò)環(huán)境也不斷變化、越發(fā)復(fù)雜化，給資產(chǎn)安全管理工作帶來巨大挑戰(zhàn)。

信息系統(tǒng)資產(chǎn)是各類服務(wù)的基礎(chǔ)，面對(duì)日益復(fù)雜的企業(yè)資產(chǎn)安全管控形勢(shì)，對(duì)于企業(yè)來說，資產(chǎn)安全不僅僅是管理各類硬件主機(jī)、設(shè)備，包括應(yīng)用系統(tǒng)層的各類系統(tǒng)平臺(tái)、業(yè)務(wù)服務(wù)等，也包括各個(gè)節(jié)點(diǎn)上運(yùn)行的商用軟件、開源組件、軟件進(jìn)程和網(wǎng)絡(luò)端口情況等；同時(shí)，還應(yīng)提供覆蓋資產(chǎn)全生命周期的安全管控能力。企業(yè)建立有效的資產(chǎn)管控秩序，有了完整、動(dòng)態(tài)更新的資產(chǎn)信息庫，才能更好的進(jìn)行風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)處置。

資產(chǎn)管理能力不足會(huì)導(dǎo)致以下安全隱患。

（1）無法掌握企業(yè)整體資產(chǎn)及其網(wǎng)絡(luò)的真實(shí)情況，導(dǎo)致安全防護(hù)存在盲區(qū)，給企業(yè)安全造成嚴(yán)重影響。

（2）資產(chǎn)信息不全面，帶有未知或者禁止的軟件服務(wù)入網(wǎng)會(huì)給所在網(wǎng)絡(luò)及承載業(yè)務(wù)帶來巨大的風(fēng)險(xiǎn)。

（3）資產(chǎn)信息不正確，會(huì)對(duì)其它安全手段的效果產(chǎn)生抵消，影響安全分析工作。

（4）資產(chǎn)更新不及時(shí)，這段時(shí)間不僅僅是資產(chǎn)本身不安全，也對(duì)其接入的網(wǎng)絡(luò)帶來了安全隱患。

上述問題導(dǎo)致企業(yè)面對(duì)急速增長(zhǎng)的資產(chǎn)管控問題無法做到主動(dòng)發(fā)現(xiàn)、動(dòng)態(tài)監(jiān)控及管控措施，更多的時(shí)候都是在充當(dāng)“消防員”的角色，甚至于因問題資產(chǎn)引發(fā)的安全事件在爆發(fā)后相當(dāng)長(zhǎng)的一段時(shí)間后才被知曉，管控措施較為消極。

2 基于4A平臺(tái)的資產(chǎn)管控體系設(shè)計(jì)

本方案設(shè)計(jì)與實(shí)現(xiàn)過程中擬解決的關(guān)鍵問題如下。

（1）未知資產(chǎn)識(shí)別和發(fā)現(xiàn)。

（2）資產(chǎn)指紋信息全量采集。

（3）異常資產(chǎn)的分析發(fā)現(xiàn)。

（4）資產(chǎn)風(fēng)險(xiǎn)自動(dòng)監(jiān)控及預(yù)警。

（5）資產(chǎn)全生命周期管控。

本方案采用配置分析、遠(yuǎn)程掃描、流量分析等方式實(shí)現(xiàn)對(duì)資產(chǎn)的主動(dòng)發(fā)現(xiàn)和異?；耍Y(jié)合事件分析補(bǔ)充對(duì)未知資產(chǎn)的發(fā)現(xiàn)。同時(shí)，利用湖南移動(dòng)現(xiàn)有4A平臺(tái)提供的指令通道實(shí)現(xiàn)對(duì)目標(biāo)資產(chǎn)全量指紋信息的采集，結(jié)合4A平臺(tái)的管控流程實(shí)現(xiàn)對(duì)資產(chǎn)的全生命周期管理，在提供資產(chǎn)智能盤點(diǎn)、跟蹤、偵測(cè)、檢查、加固同時(shí)，構(gòu)建完善的覆蓋全面、屬性詳細(xì)、及時(shí)更新、發(fā)現(xiàn)問題的技術(shù)機(jī)制與管理方法，用來解決企業(yè)設(shè)備資產(chǎn)眾多、在網(wǎng)資產(chǎn)生命周期管理不準(zhǔn)確，主要依賴于人工上報(bào)，缺乏核查漏報(bào)、誤報(bào)和瞞報(bào)設(shè)備的現(xiàn)狀，減少現(xiàn)網(wǎng)面臨未知資產(chǎn)帶來的安全風(fēng)險(xiǎn)，為企業(yè)資產(chǎn)安全管控工作提供強(qiáng)有力的技術(shù)支撐。本方案整體設(shè)計(jì)思路如圖1所示。

2.1 各種資產(chǎn)發(fā)現(xiàn)方法

2.1.1 遠(yuǎn)程掃描方式

遠(yuǎn)程掃描的方式發(fā)現(xiàn)未知資產(chǎn)，首先逐個(gè)對(duì)指定IP段內(nèi)的所有IP進(jìn)行掃描，探測(cè)該網(wǎng)段內(nèi)資產(chǎn)的存活情況，然后探測(cè)存活主機(jī)的存活端口并采集設(shè)備信息，如操作系統(tǒng)類型、版本等。并通過資產(chǎn)指紋特征匹配分析的方式，偵測(cè)在網(wǎng)IP的詳細(xì)資產(chǎn)特征，包括資產(chǎn)系統(tǒng)類型、開放服務(wù)情況等，豐富資產(chǎn)信息。

2.1.2 配置分析方式

配置分析方式依賴已錄入的資產(chǎn)信息，需要初始化錄入部分設(shè)備信息，錄入的設(shè)備種類越全面、數(shù)量越多，則未知設(shè)備發(fā)現(xiàn)算法收斂速度越快，可更迅速而準(zhǔn)確的發(fā)現(xiàn)未知設(shè)備。通過采集、分析設(shè)備ARP表、MAC表、路由表、接口信息表等信息的方式，從網(wǎng)絡(luò)層發(fā)現(xiàn)未知資產(chǎn)。首先對(duì)被檢查地址段廣播泛洪激活數(shù)據(jù)分組，保證資產(chǎn)信息已被更新，其次采集已知資產(chǎn)的ARP表、MAC表、路由表、接口信息表等各類信息，然后以該已知資產(chǎn)為節(jié)點(diǎn)，分析與其它設(shè)備的互聯(lián)關(guān)系，不斷擴(kuò)展采集范圍，“順藤摸瓜”式的逐級(jí)偵測(cè)未知資產(chǎn)，最終發(fā)現(xiàn)該設(shè)備可達(dá)的所有資產(chǎn)。

圖1 總體設(shè)計(jì)思路

2.1.3 流量分析方式

方式1：通過在網(wǎng)絡(luò)節(jié)點(diǎn)中部署專門的流量分析設(shè)備，對(duì)網(wǎng)絡(luò)流量流向特征進(jìn)行捕捉分析，從數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層逐層拆封數(shù)據(jù)報(bào)文，解析協(xié)議頭部中的MAC地址信息、IP地址信息、端口信息等，分析其通信特征、流量特征、流向特征，從中發(fā)現(xiàn)和追蹤未知的IP和MAC信息。

方式2：基于現(xiàn)網(wǎng)已經(jīng)部署的DPI設(shè)備，配置由服務(wù)器區(qū)域到外網(wǎng)的訪問分析規(guī)則，并生成XDR話單，Ultra-AMR通過分析XDR話單分析各個(gè)服務(wù)器的通信特征、流量流向特征。

2.1.4 Web資產(chǎn)識(shí)別方式

對(duì)Web資產(chǎn)需要對(duì)Web內(nèi)容進(jìn)行識(shí)別。主要包括關(guān)鍵字識(shí)別、備案信息識(shí)別、圖像識(shí)別3類。

（1）關(guān)鍵字識(shí)別：獲取Web網(wǎng)站首頁全文，對(duì)首頁全文進(jìn)行判斷，識(shí)別包含有“移動(dòng)”相關(guān)的關(guān)鍵字的資產(chǎn)。

（2）ICP備案號(hào)識(shí)別：對(duì)Web站點(diǎn)提取其ICP備案號(hào)碼，識(shí)別備案信息中含有“移動(dòng)”關(guān)鍵字的資產(chǎn)。

（3）圖像識(shí)別：對(duì)Web網(wǎng)站首頁截圖進(jìn)行判斷，識(shí)別包含有移動(dòng)公司LOGO的資產(chǎn)。

2.2 重點(diǎn)業(yè)務(wù)流程設(shè)計(jì)

2.2.1 在網(wǎng)資產(chǎn)全量發(fā)現(xiàn)

本方案在采集基礎(chǔ)數(shù)據(jù)的過程采用了對(duì)目標(biāo)系統(tǒng)無性能損失的方式，如果待檢查的網(wǎng)絡(luò)部分主要資源已經(jīng)接入了4A平臺(tái)，使得本文所述的資產(chǎn)管控系統(tǒng)可以直接登錄，則采用登錄交換機(jī)采集識(shí)別發(fā)現(xiàn)方式（方式1），如果主要資源未接入，也無法獲取網(wǎng)絡(luò)流量時(shí)，可采用掃描探測(cè)識(shí)別發(fā)現(xiàn)方式（方式2），如果可以獲取目標(biāo)網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)流量，則可以采用流量分析識(shí)別方式（方式3）。這些方式可以單獨(dú)使用，也可以疊加使用。在網(wǎng)資產(chǎn)全量發(fā)現(xiàn)流程如圖2所示。

圖2 在網(wǎng)資產(chǎn)全量發(fā)現(xiàn)流程

2.2.2 資產(chǎn)指紋信息采集

本方案將根據(jù)資產(chǎn)類型的不同來確定指紋信息的采集方式。對(duì)于未知資產(chǎn)，將采用遠(yuǎn)程掃描的方式，利用資產(chǎn)指紋采集技術(shù)，采集資產(chǎn)指紋信息，主要包括操作系統(tǒng)信息，端口服務(wù)信息，應(yīng)用指紋（Web容器、Web程序）信息，建立較為完整的未知資源指紋庫，輔助企業(yè)進(jìn)行未知資源稽核。對(duì)于已知資產(chǎn)，將采用登錄設(shè)備的方式對(duì)資產(chǎn)指紋進(jìn)行采集，采集的信息包括資產(chǎn)設(shè)備硬件信息、操作系統(tǒng)信息、配置信息、軟件信息、服務(wù)信息、端口信息、進(jìn)程信息等。通過資產(chǎn)指紋信息更新，完善企業(yè)資產(chǎn)信息庫。資產(chǎn)指紋信息采集流程如圖3所示。

圖3 資產(chǎn)指紋信息采集流程

2.2.3 異常資產(chǎn)識(shí)別

本方案將以任務(wù)的形式自動(dòng)識(shí)別企業(yè)內(nèi)部的異常資產(chǎn)，并通過工單系統(tǒng)完成異常資產(chǎn)的告警與整改，異常資產(chǎn)識(shí)別流程如圖4所示。

具體流程包括：

（1）安全管理員制定異常資產(chǎn)的發(fā)現(xiàn)任務(wù)。

（2）系統(tǒng)自動(dòng)采集資產(chǎn)指紋信息。

（3）通過比對(duì)系統(tǒng)內(nèi)置的基礎(chǔ)指紋模板，梳理資產(chǎn)是否存在變更，從而判斷是否為異常資產(chǎn)。

（4）系統(tǒng)對(duì)已確認(rèn)的異常資產(chǎn)進(jìn)行告警。

（5）安全管理員派發(fā)異常資產(chǎn)的處理工單。

（6）業(yè)務(wù)管理員對(duì)異常資產(chǎn)進(jìn)行處理。

（7）系統(tǒng)對(duì)更新后的指紋信息進(jìn)行入庫處理。

2.2.4 資產(chǎn)全生命周期管控

本方案通過與4A系統(tǒng)結(jié)合，實(shí)現(xiàn)對(duì)企業(yè)在網(wǎng)資產(chǎn)從“入網(wǎng)→變更→退網(wǎng)”全生命周期的管控。資產(chǎn)全生命周期管控流程如圖5所示。

具體流程包括：

（1）安全管理員制定在網(wǎng)資產(chǎn)探測(cè)任務(wù)。

（2）系統(tǒng)自動(dòng)對(duì)在網(wǎng)資產(chǎn)進(jìn)行探測(cè)，對(duì)發(fā)現(xiàn)的資產(chǎn)類型進(jìn)行判斷。

圖4 異常資產(chǎn)識(shí)別流程

（3）若資產(chǎn)為未知資產(chǎn)，則系統(tǒng)通知4A管理員進(jìn)行資產(chǎn)接入，并通過網(wǎng)絡(luò)探測(cè)的方式進(jìn)行初步的資產(chǎn)指紋信息采集。資產(chǎn)4A接入完成后，通過登錄采集的方式進(jìn)一步進(jìn)行資產(chǎn)指紋的采集。

（4）若資產(chǎn)為已知資產(chǎn)，則直接通過登錄方式進(jìn)行資產(chǎn)指紋的采集，并與原有基礎(chǔ)指紋信息進(jìn)行比對(duì)，判斷資產(chǎn)是否存在指紋變更的情況。

（5）系統(tǒng)增量的對(duì)發(fā)現(xiàn)的未知資產(chǎn)和變更的已知資產(chǎn)及指紋信息庫進(jìn)行更新。

3 基于4A平臺(tái)的資產(chǎn)管控體系實(shí)現(xiàn)

3.1 技術(shù)實(shí)現(xiàn)

對(duì)照以上功能設(shè)計(jì)，湖南移動(dòng)基于4A管控平臺(tái)實(shí)現(xiàn)了資產(chǎn)管控體系的建設(shè)，主要包括未知資產(chǎn)的發(fā)現(xiàn)、已知資產(chǎn)的配置采集、資產(chǎn)管理等功能。系統(tǒng)總體功能架構(gòu)如圖6所示。

系統(tǒng)通過“資產(chǎn)自動(dòng)識(shí)別與發(fā)現(xiàn)”模塊來發(fā)現(xiàn)在網(wǎng)資產(chǎn)，通過制定掃描計(jì)劃，系統(tǒng)實(shí)現(xiàn)未知資產(chǎn)自動(dòng)發(fā)現(xiàn)、資產(chǎn)信息重大變更等情況，對(duì)于系統(tǒng)發(fā)現(xiàn)的未知資產(chǎn)、出現(xiàn)變更的問題資產(chǎn)將自動(dòng)發(fā)起工單流程，確保每臺(tái)設(shè)備落實(shí)責(zé)任人，并填寫完整設(shè)備相關(guān)信息，確保100%納入4A管控。

3.2 建設(shè)效果

湖南移動(dòng)資產(chǎn)管控系統(tǒng)面向資產(chǎn)全生命周期，基于資產(chǎn)信息全面管理，以資產(chǎn)動(dòng)態(tài)發(fā)現(xiàn)、安全風(fēng)險(xiǎn)實(shí)時(shí)監(jiān)控和資產(chǎn)閉環(huán)管理為技術(shù)手段，構(gòu)建動(dòng)態(tài)響應(yīng)、主動(dòng)型安全保障體系為目標(biāo)，建立一套全網(wǎng)資產(chǎn)全生命周期管理系統(tǒng)。

主要效果如下。

（1）資產(chǎn)發(fā)現(xiàn)：可快速發(fā)現(xiàn)網(wǎng)存活設(shè)備、設(shè)備歸屬地、設(shè)備類型、設(shè)備品牌及型號(hào)及其開放的服務(wù)、端口、操作系統(tǒng)類型、使用的軟件等信息。

（2）資產(chǎn)識(shí)別：對(duì)已經(jīng)發(fā)現(xiàn)的資產(chǎn)進(jìn)行識(shí)別，能夠識(shí)別出存活設(shè)備的基本指紋信息，并能夠?qū)Y產(chǎn)的變化進(jìn)行識(shí)別、跟蹤、確認(rèn)等。針對(duì)屬于Web網(wǎng)站，可識(shí)別出自有資產(chǎn)，以及其它相關(guān)信息。

（3）建立資產(chǎn)指紋庫：根據(jù)以上發(fā)現(xiàn)的資產(chǎn)信息建立資產(chǎn)指紋庫，并能夠?qū)崿F(xiàn)對(duì)資產(chǎn)變化的管理。針對(duì)識(shí)別出的湖南移動(dòng)自有互聯(lián)網(wǎng)暴露面資產(chǎn)建立資產(chǎn)指紋庫。

（4）資產(chǎn)的全生命周期管理驅(qū)動(dòng)：實(shí)現(xiàn)對(duì)資產(chǎn)管理流程驅(qū)動(dòng)，包括資產(chǎn)的新增、變更和下線全生命周期過程。

圖5 資產(chǎn)全生命周期管控流程

圖6 功能架構(gòu)圖

（5）資產(chǎn)漏洞關(guān)聯(lián)及快速響應(yīng)：自動(dòng)收集CVE、CNVD等漏洞庫信息，進(jìn)行資產(chǎn)與漏洞的關(guān)聯(lián)匹配。

（6）資產(chǎn)數(shù)據(jù)共享：系統(tǒng)具有開放能力，能夠與其它系統(tǒng)能夠通過接口進(jìn)行數(shù)據(jù)連通。

4 結(jié)束語

湖南移動(dòng)資產(chǎn)管理系統(tǒng)通過采集分析網(wǎng)段內(nèi)IP地址的存活情況，同時(shí)結(jié)合網(wǎng)絡(luò)交換設(shè)備的配置信息分析、流量分析等多種手段，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資產(chǎn)的全量發(fā)現(xiàn)，并且結(jié)合資產(chǎn)指紋采集技術(shù)，實(shí)現(xiàn)對(duì)資產(chǎn)指紋信息的采集，構(gòu)建具有電信行業(yè)特點(diǎn)的資產(chǎn)指紋信息庫，同時(shí)利用爬取技術(shù)實(shí)現(xiàn)對(duì)資產(chǎn)威脅情報(bào)的獲取，通過對(duì)資產(chǎn)進(jìn)行智能關(guān)聯(lián)分析，情景感知和跟蹤溯源，實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)的可視化管理和風(fēng)險(xiǎn)態(tài)勢(shì)的全景展示和預(yù)警，進(jìn)一步提高信息系統(tǒng)的安全運(yùn)營(yíng)風(fēng)險(xiǎn)的全面掌控和聯(lián)動(dòng)處置水平，為電信行業(yè)務(wù)發(fā)展和創(chuàng)新提供動(dòng)力保障。