1 引言

隨著互聯網的快速發(fā)展，電信運營商的業(yè)務發(fā)生了重大變革，網絡資產數量日益龐大,種類繁多,管控復雜。在網絡資產發(fā)現方面，單純依賴IP地址及端口標識已難以滿足網絡資產發(fā)現的準確性和全面性的需求，內網中存在大量難以定位和獲知信息的隱形網絡資產，這些資產存在的漏洞往往無法發(fā)現，從而給企業(yè)內網帶來不可預測的風險；在資產風險管控方面，Web資產安全檢測通常調用通用第三方掃描器，檢測時間長、成本高，對單個或少量Web網站尚可檢測，但針對大批量站點則難以快速排查定位安全風險，且對企業(yè)存量、增量漏洞難以管控。

2 網絡資產安全管控技術

對網絡資產進行全面發(fā)現建立完善的指紋信息庫，結合威脅情報掌握全網網絡資產的漏洞、風險情況，進而實現批量的風險監(jiān)測與處置，能夠提高網絡資產安全管控效率，推進運營商網絡資產管控工作的逐漸深入。

2.1 網絡資產發(fā)現技術

網絡資產及其屬性發(fā)現與補全是網絡資產安全管控的重要基礎,遠程掃描是目前網絡資產發(fā)現的主要手段，其過程是通過發(fā)現目標主機或網絡，進行存活性判斷排除未存活的網絡資產，對存活目標主機運行的操作系統(tǒng)版本進行探測，掃描目標系統(tǒng)的TCP/IP端口，查看該系統(tǒng)處于監(jiān)聽或運行狀態(tài)的服務等，建立IP+端口形式的網絡資產列表。同時，為達到繞過防火墻和入侵檢測設備的目的，遠程掃描工具往往采用一些規(guī)避技術，常用規(guī)避技術包括異常的IP包頭、在IP頭設置無效的字段值、通過超長包探測內部路由器、反向映射探測等。

2.2 網絡資產脆弱性發(fā)現技術

網絡資產脆弱性發(fā)現包含2個方面，一是基于掃描產品發(fā)現網絡資產脆弱性，二是借助威脅情報等第3方情報被動發(fā)現網絡資產脆弱性。

主動脆弱性掃描按照掃描目標可以分為基于主機的掃描、基于網絡的掃描、基于應用的掃描、基于安全審計的掃描。① 基于主機的掃描通過對系統(tǒng)中不恰當的系統(tǒng)設置、弱口令等涉及操作系統(tǒng)內核、文件屬性、操作系統(tǒng)補丁等方面的檢測準確定位和發(fā)現操作系統(tǒng)脆弱性，其不足是依賴于系統(tǒng)版本，升級較復雜；② 基于網絡的掃描是通過執(zhí)行腳本文件對網絡系統(tǒng)進行非破壞性的攻擊，根據反應確定是否存在安全隱患，其不足在于無法解決網絡檢查的先天缺陷，比如傳統(tǒng)掃描無法穿越防火墻，無法解決拔掉網線、不開機等狀況對掃描的影響；③ 基于應用的掃描檢測應用軟件包的相關安全設置，其不足是側重于對應用設置是否合理的檢測，對規(guī)則制定的客觀性要求高；④ 基于安全審計的掃描是周期性的使用散列算法對系統(tǒng)特征信息如文件的屬性、注冊號等進行計算，通過特征的一致性檢測實現系統(tǒng)安全的檢測，其不足在于脆弱性發(fā)現的準確和全面性依賴于系統(tǒng)本身基線的配置，對自定義規(guī)則設置的要求高。

被動發(fā)現網絡資產脆弱性的主要方法是通過公開或者第三方漏洞采集與資產關聯。具體地，是通過爬蟲的方式，定期采集公網漏洞信息，包括：CVE 漏洞信息、CNVD漏洞信息、Bugtraq漏洞信息、360漏洞信息以及其他自定義互聯網漏洞信息平臺，通過關聯所轄資產，根據相應的系統(tǒng)、數據庫、中間件等版本信息，生成相應網絡資產的漏洞告警信息。

3 電信運營商大規(guī)模網絡資產安全管控方案

3.1 電信運營商網絡資產管控現狀及需求分析

（1）電信運營商網絡資產管控現狀

運營商資產逐漸云化，現網系統(tǒng)大多以“平臺+應用”的形式呈現，包含各種形態(tài)及不同類型的主機、操作系統(tǒng)、數據庫、中間件、網絡設備、應用軟件，具體如圖1所示。

圖1 運營商IT系統(tǒng)資產架構

目前電信運營商主要通過SOC基礎平臺的資產安全管控模塊來實現網絡資產安全管控，其管控的對象是現網具有IP地址可訪問的設備及開放的端口、服務、服務器上安裝的操作系統(tǒng)、中間件應用系統(tǒng)的版本信息。但現有手段存在嚴重不足：一方面，目前網絡資產主要是手工錄入方式，缺乏網絡資產自動發(fā)現手段，而且現有網絡資產管控主要為傳統(tǒng)意義上的固定網絡資產管控(如圖2所示)，對網絡資產的安全屬性記錄不全面、更新不及時、責任不明確。另一方面，工信部對資產安全管控提出動態(tài)掌握企業(yè)設備資產信息，并實現網絡資產與安全風險關聯管控的要求，目前運營商缺乏有效的網絡資產安全管控支撐系統(tǒng)，面臨監(jiān)管挑戰(zhàn)。

圖2 某單位IT線條網絡資產管控現狀

3.2 電信運營商網絡資產安全管控方案

通過對網絡資產管控技術的研究以及運營商網絡資產管控現狀及需求分析，為實現“摸清家底，認清風險，找出漏洞，督促整改”的要求，同時確保合規(guī)達到主管監(jiān)管要求，運營商應以省為單位建設網絡資產安全管控系統(tǒng)，本文提出了包括管控及展現層、存儲層、聚合層、采集層的資產安全管控系統(tǒng)架構，如圖3所示。

圖3 網絡資產安全管控系統(tǒng)架構

電信運營商網絡資產安全管控系統(tǒng)在采集層應該以主動發(fā)現、被動發(fā)現等自動發(fā)現技術為基礎，人工填報為輔助全面發(fā)現網絡資產。

聚合層實現網絡資產識別分析、指紋識別以及風險資產關聯驗證，存儲層構建完善的網絡資產庫、資產指紋庫及規(guī)則/索引/用戶信息庫。

管控/展示層完成資產信息、告警的呈現，通過規(guī)則、索引配置等完成批量的網絡資產安全風險管控。

其中，該方案的重點在于① 網絡資產發(fā)現：基于IAAS層、PAAS層和SAAS層的網絡資產發(fā)現，發(fā)現的技術手段包含不限于IP/端口掃描、協(xié)議識別、Agent代理、遠程登陸、日志分析、流量分析、調用鏈埋點等，提升網絡資產的發(fā)現速度和發(fā)現準確率，網絡資產發(fā)現框架如圖4所示。② 大規(guī)模網絡資產安全管控：以IP為根鍵，建立網絡資產應用層、主機層和數據庫指紋庫，根據網絡資產指紋生成網絡資產安全策略，快速高效針對網絡資產進行批量管控，提升網絡資產安全管控效率。網絡資產發(fā)現與風險管控流程框架如圖5所示。

圖4 運營商網絡資產全面發(fā)現框架

圖5 網絡資產發(fā)現與風險管控實現框架

IAAS層網絡資產發(fā)現方式：一方面，通過周期性/任務式的黑盒模式檢測進行網絡資產發(fā)現，利用掃描器發(fā)送探測報文到目標網絡資產，根據目標網絡資產回應的報文進行分析，與指紋庫對比識別，可獲取網絡資產的開放端口、服務、操作系統(tǒng)類型、版本、存活狀態(tài)等部分屬性信息，形成基于“IP+端口”的IAAS層網絡資產列表。其中，在掃描期間，對掃描探測任務（IP列表、端口探測等）應進行合理拆分、打亂順序掃描或設定不確定的間隔進行掃描，避免被設備的安全防御機制所阻斷。另一方面，對出口防火墻NAT映射表、防火墻會話日志、Web應用防火墻HTTP請求的host屬性等進行探測，發(fā)現后端服務器資源地址，通過服務器返回的HTTP響應信息，識別資產的服務類型，輔助發(fā)現已知網絡中的未發(fā)現網絡資產。此外，輔助利用遠程賬號登錄和安裝代理的方式作為白盒網絡資產發(fā)現的技術手段，提升網絡資產發(fā)現的全面性。其中，遠程賬號登陸包括接入4A或者堡壘機以及采用SSH、TELNET、RDP協(xié)議遠程登陸網絡資產設備，可采集主機、網絡設備、安全設備、虛擬機以及應用系統(tǒng)等網絡資產的屬性；安裝代理的方式可實現主機端口、設施廠商、設施型號、啟動項配置、進程列表、防病毒屬性、操作系統(tǒng)配置、賬號口令策略、操作系統(tǒng)類型/版本、補丁屬性、日志屬性、遠程登錄方式、配置變更、接口狀態(tài)、流量信息、數據庫類型、中間件類型、應用版本等屬性采集?；谏鲜霭l(fā)現的資產屬性可建立主機指紋庫，主機指紋庫的信息包括IP地址、端口服務/狀態(tài)、版本信息、進程信息、宕機信息、路由節(jié)點等。

PAAS和SAAS層網絡資產發(fā)現方式：① 通過Zabbix統(tǒng)一采集及監(jiān)控北向接口上報信息實現分布式組件發(fā)現；② 采用流量數據分析、調用鏈采集進行SAAS層網絡資產發(fā)現，并結合搜索引擎、DNS數據聚合、證書透明度等方式輔助，形成細粒度的SAAS網絡資產列表，提高網絡資產管控的全面性與準確性。其中，在SAAS層網絡資產子域名發(fā)現時，除了流量分析手段之外，一方面，借助固定文本字典，并根據固定文本字典中的可變字典生成動態(tài)新字典枚舉爆破，并輔助響應內容解決泛解析域名，排除不存在子域名，獲取有效子域名，提高網絡資產發(fā)現準確性；另一方面，通過搜索引擎、DNS數據聚合、證書透明度等方式輔助獲取子域名，提高網絡資產發(fā)現全面性。

進一步地，基于網絡資產全面發(fā)現，形成能標識Web網絡資產對象類型的特征庫，包括但不限于Web應用使用的框架、語言、組件、應用服務器、數據庫、CMS套件、插件等的應用層指紋庫；形成能標識服務器的操作系統(tǒng)、操作系統(tǒng)補丁、主機服務的特征庫、主機層指紋庫；形成能標識數據庫軟件名稱及版本的特征庫的數據庫層指紋，結合主動脆弱性發(fā)現手段及公開或第三方漏洞情報庫與指紋庫比對，并同時利用威脅情報，匹配到批量網絡資產的安全預警，實現資產漏洞快速發(fā)現、定位及驗證。

4 結束語

運營商的網絡資產安全管控應該具有結合主動/被動方式的網絡資產發(fā)現、針對性的風險管控能力，在安全運營和風險處置工作中快速定位，建立閉環(huán)的風險管控流程，實現半自動化甚至是自動化的網絡資產安全管控。在此基礎上，應在掌握全面、準確、及時的網絡資產數據的基礎上進行持續(xù)性網絡資產變更監(jiān)測、網絡資產關聯梳理，將運營商網絡資產安全管控工作繼續(xù)深入推進。