目前單位主要依托手工管理或借助資產管理系統(tǒng)對資產進行集中管理，缺乏自動化的技術手段發(fā)現未知、私自接入的資產，導致資產接入覆蓋率真實情況無法統(tǒng)計，也無法及時感知資產異常變動的情況，導致資產安全管理效果低下，所以“摸清家底兒”是單位開展各項工作的前提。單位對于資產管理主要有以下方面的要求：

1.管理范圍全面化

保證資產管理覆蓋率達到99%以上，只有對資產做到心中有數，才能進一步發(fā)現安全風險，從而避免存在短板。

2.管理手段自動化

擺脫傳統(tǒng)手工管理方式，依托自動化的技術手段幫助管理員完成日常資產管理、運維、監(jiān)控等相關功能，最大限度的降低人工干預；

3.管理周期高時效

周期性的獲取資產基礎及指紋信息，及時讓單位了解資產的最新與異常變化情況，幫助單位排查資產問題與風險。

從技術和業(yè)務層面描述如何解決資產管理全面性、資產管理的自動化、資產管理的高時效等問題。

數據采集

采集設備的網絡層、系統(tǒng)層、應用層面的數據，確保能夠全面掌握資產的類型基礎、指紋、配置信息。

1.網絡層數據采集

通過掃描嗅探、配置分析、日志解析、鏡像流量等多種方式獲取網絡層IP地址

系統(tǒng)實現

圖1 配置分析方式發(fā)現新資產流程圖

信息，發(fā)現未知資產。

掃描嗅探方式：

在網絡層數據收集的初級階段可使用Masscan進行目標網段資產做情勢了解。

配置分析方式：

依賴已錄入的資產信息，需要初始化錄入部分設備信息，錄入的設備種類越全面、數量越多，則未知設備發(fā)現算法收斂速度越快，可更迅速而準確的發(fā)現未知設備。通過采集、分析設備ARP表、MAC表、路由表、接口信息表等信息的方式，從網絡層發(fā)現未知資產，如圖1。

日志解析方式：

采集各種安全設備的日志信息，如防火墻、WAF、IDS等，詳細分析日志，重點關注日志中出現的源地址、目的地址、源端口、目的端口等，發(fā)現其中未知的IP資產，掌握其基本行為特征，如圖2。

鏡像流量方式：

在網絡節(jié)點中部署專門的流量分析設備，以旁路鏡像的方式對網絡流量流向特征進行捕捉分析，逐層拆封數據報文，解析協(xié)議頭部中的MAC地址信息、IP地址信息、端口信息等，分析其通信特征、流量特征、流向特征，從而發(fā)現和追蹤未知IP信息，流程如圖3。

2.系統(tǒng)層數據采集

掃描嗅探方式：

使用Nmap進行進一步的系統(tǒng)層數據采集，Nmap負責采集設備的基礎指紋信息，如操作系統(tǒng)類型、版本、名稱、MAC地址等。

配置分析方式：

登錄主機類型設備，獲取設備的基礎指紋信息等配置內容，基礎指紋信息應包括：操作系統(tǒng)類型、操作系統(tǒng)版本、主機名稱、設備型號、設備廠家、MAC地址、主板序列號等。

圖2 日志解析方式發(fā)現新資產流程圖

圖3 鏡像流量方式發(fā)現新資產流程圖

圖4 配置解析方式采集系統(tǒng)層數據

圖5 配置解析方式采集應用層數據

如圖4，通過Telnet、SSH（v1、v2）等協(xié)議登錄主機類型設備；執(zhí)行獲取操作系統(tǒng)類型、操作系統(tǒng)版本、主機名稱、設備型號、設備廠家、MAC地址、主板序列號的指令；根據不同設備回顯信息設置不同的正則表達式進行回顯解析；根據結果提取結果中的操作系統(tǒng)類型、操作系統(tǒng)版本、主機名稱等字段。

3.應用層數據采集

掃描嗅探方式：

包括端口掃描、Web指紋采集等，端口掃描主要用Nmap工具，而Web指紋采集主要用WhatWeb。

配置分析方式：

登錄主機類型設備，獲取設備端口、進程、服務、軟件信息、補丁、啟動項、接口信息等配置內容。

如圖5，通過 Telnet、SSH等協(xié)議登錄主機類型設備；執(zhí)行獲取端口、進程、服務、軟件信息、補丁、啟動項、接口信息等配置內容的指令；根據不同回顯信息設置不同的正則表達式進行回顯解析；根據解析結果提取結果中的端口、進程、服務、軟件信息補丁、啟動項等配置內容。

數據整理、對比和更新

1.數據整理

通過一系列自動化數據采集手段，已經將設備的各類數據悉數收集到系統(tǒng)中來，覆蓋到網絡層、系統(tǒng)層、應用層等三個層面。

系統(tǒng)根據采集到的數據進行整理，初步形成資產指紋版本，為后續(xù)比對過程做數據準備。同時為了滿足高時效性等特點，應根據不同采集項的敏感程度設置不同的采集粒度，如應用層端口配置敏感程度較高，采集粒度應至少設置為每天或每周；而系統(tǒng)層的主機名稱敏感程度偏低，采集粒度可以設置為每月或每季度等。

2.數據比對

資產受人為、環(huán)境等因素影響，資產數據會經常發(fā)生變化，如何及時察覺資產數據變化的異常情況，就需要系統(tǒng)定期建立資產指紋快照，對各版本（默認是當前與上一次的版本）的指紋數據進行比對，發(fā)現資產數據變化的情況，將變化情況提交給資產管理員進行確認，及時發(fā)現資產異常變化情況，杜絕安全隱患，如圖6。

圖6 數據比對流程圖

圖7 數據更新流程圖

3.數據更新

在資產比對環(huán)節(jié)后，系統(tǒng)會自動通知資產管理員資產變動情況，由資產管理員進行確認。當資產管理員確認了變動情況，系統(tǒng)會自動將資產指紋記錄進行更新,如圖7。

4.整體流程

建立資產責任人制度，合理安排人員崗位，明確職責。避免出現故障時，相關負責人互相推脫或者不知該找誰解決問題的情況，從而保障在資產出現問題時能夠第一時間找到相關負責人去解決問題并快速恢復。

將各種監(jiān)控設備通過集中展現和告警的方式進行統(tǒng)一管理，通過可視化界面快速了解系統(tǒng)當前的運行狀態(tài)及異常情況。

高效合理的流程設置和流轉，相互關聯(lián)的事件工單、問題工單、變更工單使得運維工作流轉過程中的資源關聯(lián)清晰、過程明確可控、歷史數據和處理過程可查。準確的配置管理庫可為運維服務提供所需的配置項信息，降低IT運維人員工作量。

資產檔案管理，可對所有管理資產一目了然，準確記錄資產的使用狀態(tài)和歷史過往信息。

建立知識庫積累，避免專業(yè)的技術問題永遠只能依賴某些專業(yè)人員來解決的現狀。通過共享運維工作中的實際經驗和專業(yè)知識，擺脫以往只能靠某個人解決固定問題的現象，實現人人都成為IT運維專家。