■中國民航信息網(wǎng)絡股份有限公司 李建欣 韓杰

隨著企業(yè)信息化程度的逐步提升以及業(yè)務的不斷發(fā)展和復雜化，大中型企業(yè)擁有大量的IT 系統(tǒng)，企業(yè)關(guān)鍵的信息資產(chǎn)也正是分布其中。這些IT 系統(tǒng)在為我們工作和生活提供便利的同時，也一直處于惡意攻擊的陰影籠罩下，因此系統(tǒng)安全防范越來越重要。

而傳統(tǒng)的IT 資產(chǎn)管理與信息安全管理往往沒有進行深度融合，仍舊各自管理信息，成為了信息孤島。因此，如何將IT 資產(chǎn)管理與信息安全管理進行有機融合，使得企業(yè)管理人員既能夠從宏觀角度了解企業(yè)內(nèi)IT 資產(chǎn)當前的安全狀態(tài)以便進行安全管理決策，又能從微觀角度掌握單一資產(chǎn)的安全情況以便進行針對性的技術(shù)防護，成為了企業(yè)面臨的一個重要課題。

本文會從信息安全管理角度，以IT 資產(chǎn)管理作為引導，詳細介紹一種基于IT 資產(chǎn)信息庫的資產(chǎn)安全風險分析方案。

表1 不同場景下使用的資產(chǎn)信息采集技術(shù)手段

IT 資產(chǎn)信息庫的形成

企業(yè)內(nèi)IT 資產(chǎn)信息庫通常是以管理手段進行收集和維護的，比如通過管理手段要求資產(chǎn)負責方在CMDB 系統(tǒng)中進行錄入。

成熟的CMDB 系統(tǒng)往往十分強大，幾乎能夠覆蓋IT資產(chǎn)從采購到上架使用再到注銷下架回收的整個生命周期。但是通過管理手段進行錄入的CMDB 系統(tǒng)，在實際生產(chǎn)場景中存在一個重要短板：信息維護不夠及時。比如資產(chǎn)的操作系統(tǒng)、數(shù)據(jù)庫的類型或版本發(fā)生了變更，CMDB 中可能還是原來的過時信息?？梢奀MDB 系統(tǒng)中信息的有效性、真實性完全依賴于企業(yè)內(nèi)部的管理制度，由此成為企業(yè)信息安全管理中的一個弱點，因為當有網(wǎng)絡威脅事件發(fā)生時，管理人員卻連資產(chǎn)的類型和版本都無法確定。

在本方案中，我們結(jié)合實際項目情況，對不同管轄權(quán)限和復雜環(huán)境中的資產(chǎn)采用不同的技術(shù)手段，采集和分析資產(chǎn)的指紋信息，結(jié)合CMDB 系統(tǒng)中錄入的管理項信息，形成企業(yè)內(nèi)及時有效的、真實權(quán)威的資產(chǎn)信息庫。

表1 為在不同場景下所使用的資產(chǎn)信息采集技術(shù)手段，用于適應實際項目中復雜的情況。其中，通過Agent代理方式和指令通道的方式采集的資產(chǎn)指紋配置信息最為正確，采集的類型也是最全的，但是依賴于部署的Agent 當前運行權(quán)限的高低；通過對網(wǎng)絡設(shè)備的數(shù)據(jù)進行分析也是一種獲取資產(chǎn)信息重要的補充手段，一種方法通過對流量監(jiān)控系統(tǒng)的數(shù)據(jù)進行分析，一種方式是登錄到網(wǎng)絡設(shè)備中獲取其ARP 等信息，這種技術(shù)方式獲取的資產(chǎn)信息較少，通常被用于未知資產(chǎn)發(fā)現(xiàn)；對于無任何管理權(quán)限，但是網(wǎng)絡可達的資產(chǎn)，還可以采用遠程掃描的方式對主機設(shè)備、B/S 系統(tǒng)進行指紋信息采集，這種技術(shù)方式的優(yōu)點是無需對目標資產(chǎn)進行配置修改，缺點是操作不當可能會對企業(yè)內(nèi)網(wǎng)通信產(chǎn)生一定的影響，因此需要視具體情況使用。

通過如上技術(shù)方式的綜合使用，最終形成相較CMDB系統(tǒng)更具可信度的資產(chǎn)信息庫，資產(chǎn)信息庫數(shù)據(jù)模型示例如表2 所示。

IT 資產(chǎn)風險分析

形成企業(yè)內(nèi)權(quán)威的資產(chǎn)信息庫只是基礎(chǔ)工作，只有資產(chǎn)信息庫對于資產(chǎn)安全風險分析工作是遠遠不夠的。本方案中，會把資產(chǎn)的指紋數(shù)據(jù)根據(jù)類型和版本提取CPE（Common Platform Enumeration，通用平臺枚舉）信息，并基于漏洞情報信息進行安全漏洞分析，并將資產(chǎn)相關(guān)的其他安全信息進行聚合，以有組織邏輯的形式進行抽象化提升，形成企業(yè)的資產(chǎn)畫像。

表2 資產(chǎn)信息庫數(shù)據(jù)模型示例

本方案中，首先根據(jù)指紋數(shù)據(jù)的類型和版本自動生成CPE 信息，然后將CPE 信息與漏洞情報進行分析匹配，將匹配命中的資產(chǎn)列為風險資產(chǎn)，并關(guān)聯(lián)命中的漏洞信息。CPE 是一種針對廠商、系統(tǒng)、軟件包進行的結(jié)構(gòu)化命名規(guī)范，格式示例：cpe:/o:microsoft:windows_8.1，意為操作系統(tǒng)是微軟的Windows，版本為8.1，主要來進行漏洞影響版本的匹配。圖1 為將資產(chǎn)信息庫中的CPE 信息與漏洞情報庫分析匹配后命中的結(jié)果示例圖。

除了基于CPE 信息與漏洞情報信息進行分析外，資產(chǎn)庫還與其他安全平臺進行聯(lián)動獲取這些平臺上的數(shù)據(jù)信息，主要包括：威脅態(tài)勢平臺的資產(chǎn)關(guān)聯(lián)信息、漏洞管理系統(tǒng)中已發(fā)生的資產(chǎn)漏洞信息、安全合規(guī)系統(tǒng)中的資產(chǎn)合規(guī)情況信息、防護態(tài)勢系統(tǒng)中的資產(chǎn)的防護數(shù)據(jù)等，并結(jié)合如上關(guān)聯(lián)數(shù)據(jù)形成了資產(chǎn)畫像。在資產(chǎn)畫像中，除了對相關(guān)信息進行分組，還根據(jù)其關(guān)聯(lián)的安全信息進行綜合安全分析。分析維度按照資產(chǎn)的安全整體情況、自身健康情況、面臨的威脅程度、風險評級四個維度進行提示，用于管理人員的決策參考。圖2 為某一資產(chǎn)的畫像示意圖。

實踐與思考

企業(yè)IT 資產(chǎn)的信息安全保障離不開對資產(chǎn)自身的信息及時、完整的掌握，企業(yè)也亟需一套權(quán)威的資產(chǎn)信息庫。在項目實踐中，我們發(fā)現(xiàn)CMDB 系統(tǒng)在管理中的短板，并通過各種技術(shù)手段對資產(chǎn)信息進行采集，最終形成了企業(yè)內(nèi)的資產(chǎn)信息庫，這些資產(chǎn)的信息在日常信息安全管理中起到了極其重要的作用。但是在資產(chǎn)風險閉環(huán)管理工作中，仍舊需要依賴CMDB 系統(tǒng)中的管理項信息，比如資產(chǎn)負責部門、資產(chǎn)負責人及其聯(lián)系方式等信息，因此本方案的作用不是要替代CMDB，而是從信息安全管理的視角去觀察資產(chǎn)，審視資產(chǎn)的安全屬性元素，利用資產(chǎn)的數(shù)據(jù)完成日常信息安全管理工作。

圖1 將資產(chǎn)信息庫中的CPE 與漏洞情報庫分析匹配結(jié)果示例圖

圖2 資產(chǎn)畫像示意圖

結(jié)語

企業(yè)的資產(chǎn)管理工作繁雜且單調(diào)，而相關(guān)的安全屬性又常常不在資產(chǎn)的管理范圍內(nèi)，資產(chǎn)家底不清，積極防御無從談起，出現(xiàn)安全事件時就會無從下手。

信息安全是一個長期對抗的過程，建立基于企業(yè)IT資產(chǎn)信息庫的安全風險分析方案，應對日益復雜的安全攻擊，企業(yè)作為防守方仍舊任重而道遠。