栗強(qiáng)

經(jīng)過數(shù)年以來信息化技術(shù)的逐步演進(jìn)與普及運(yùn)用，大量的網(wǎng)絡(luò)信息系統(tǒng)發(fā)揮了日益關(guān)鍵的作用，不僅深刻影響到工業(yè)生產(chǎn)、金融通信、交通出行，而且還與我們的日常生活越來越緊密聯(lián)系在一起。當(dāng)這些信息化系統(tǒng)為我們提供方便快捷的同時(shí)，與之俱來的還有日趨嚴(yán)重的網(wǎng)絡(luò)信息安全問題。基于對(duì)網(wǎng)絡(luò)系統(tǒng)的有效管理，我們將那些與網(wǎng)絡(luò)信息安全密切相關(guān)的軟、硬件信息稱之為網(wǎng)絡(luò)安全資產(chǎn)。為了摸清家底、識(shí)別風(fēng)險(xiǎn)，快速提供漏洞風(fēng)險(xiǎn)信息，幫助管理人員有針對(duì)性地開展網(wǎng)絡(luò)安全防護(hù)工作，需要更加全面地對(duì)網(wǎng)絡(luò)安全資產(chǎn)內(nèi)容納入常態(tài)化管理范疇。本文重點(diǎn)論述了網(wǎng)絡(luò)資產(chǎn)安全管理所必需涵蓋的關(guān)鍵內(nèi)容，并對(duì)理由和重要性進(jìn)行了深入研究。

一、引言

隨著我國(guó)《網(wǎng)絡(luò)安全法》的頒布實(shí)施和深入執(zhí)行，信息化系統(tǒng)的主體單位必須面對(duì)日益增多的各類安全漏洞和風(fēng)險(xiǎn)隱患，并對(duì)其承擔(dān)安全管理責(zé)任。而網(wǎng)絡(luò)安全漏洞和風(fēng)險(xiǎn)往往會(huì)涉及不同品牌型號(hào)的硬件設(shè)備、各種類型和版本的操作系統(tǒng)、數(shù)據(jù)庫和中間件、各種商業(yè)化或定制開發(fā)的軟件應(yīng)用系統(tǒng)等等眾多因素。近年來網(wǎng)絡(luò)安全事件頻發(fā)，每年各類高危風(fēng)險(xiǎn)漏洞層出不窮，其破壞力和負(fù)面影響非常之大，如果不能很好地進(jìn)行有效防范，將對(duì)企業(yè)安全責(zé)任、敏感業(yè)務(wù)數(shù)據(jù)、公民個(gè)人隱私等多方面造成嚴(yán)重影響和無法挽回的損失。如何通過安全資產(chǎn)臺(tái)賬快速發(fā)現(xiàn)安全漏洞是擺在安全管理者面前的一個(gè)不可回避的問題。本文從企業(yè)日常安全運(yùn)維需求出發(fā)，基于網(wǎng)絡(luò)安全資產(chǎn)的角度提出了應(yīng)納入管理的各關(guān)鍵要素，通過安全資產(chǎn)系統(tǒng)將其作為基礎(chǔ)字段進(jìn)行管理，以下將對(duì)這些關(guān)鍵內(nèi)容分別進(jìn)行歸類說明。

二、網(wǎng)絡(luò)資產(chǎn)

作為網(wǎng)絡(luò)安全的基礎(chǔ)接入環(huán)境，網(wǎng)絡(luò)資產(chǎn)的基本要素應(yīng)包括“IP地址、通信協(xié)議、通信端口、域名”等幾個(gè)方面。

IP地址。作為網(wǎng)絡(luò)接入必須條件，從使用場(chǎng)景來看，IP地址通常分為內(nèi)網(wǎng)IP和互聯(lián)網(wǎng)IP。內(nèi)網(wǎng)IP主要用于企業(yè)內(nèi)部局域網(wǎng)，其IP路由并不發(fā)布到公共互聯(lián)網(wǎng)，僅內(nèi)部可訪問。而互聯(lián)網(wǎng)IP用于對(duì)外提供各類服務(wù)，如網(wǎng)站、FTP服務(wù)器、APP應(yīng)用等等，全球Internet網(wǎng)絡(luò)均可訪問。從網(wǎng)絡(luò)安全的管理角度來看，IP地址屬于安全資產(chǎn)管理的首要關(guān)鍵信息，其重要性不言而喻，而對(duì)IP地址的統(tǒng)計(jì)管理必須細(xì)化到單個(gè)IP。同時(shí)，隨著國(guó)家對(duì)IPv6地址的推廣應(yīng)用，在通過系統(tǒng)進(jìn)行IP管理時(shí)還必須考慮到應(yīng)識(shí)別和兼容IPv4、IPv6地址格式。另外，如果網(wǎng)絡(luò)中存在NAT轉(zhuǎn)換關(guān)系的，還需同時(shí)記錄NAT的內(nèi)、外網(wǎng)IP對(duì)應(yīng)關(guān)系，以便發(fā)生問題時(shí)能夠通過IP進(jìn)行溯源定位。

通信協(xié)議。網(wǎng)絡(luò)通信協(xié)議為連接不同操作系統(tǒng)和不同硬件體系結(jié)構(gòu)的互聯(lián)網(wǎng)絡(luò)提供通信支持，是一種網(wǎng)絡(luò)通用語言。常見的網(wǎng)絡(luò)通信協(xié)議有：TCP/IP協(xié)議、IPX/S PX協(xié)議、NetBEUI協(xié)議等。在制定防火墻等安全策略時(shí)，往往需根據(jù)不同類型的通信協(xié)議分別配置各自的管控規(guī)則，所以安全資產(chǎn)管理有必要細(xì)化到通信協(xié)議的類型。

通信端口。主流網(wǎng)絡(luò)系統(tǒng)一般采用TCP或UDP等協(xié)議進(jìn)行通信，它們使用16bit端口號(hào)，因此理論上TCP、UDP一共可用65536個(gè)端口進(jìn)行數(shù)據(jù)通信。按照互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)（IANA）定義.TC P/IP協(xié)議的1-1023端口用于常見通信服務(wù)，如Http對(duì)應(yīng)TCP 80. DNS對(duì)應(yīng)TCP或UDP的53、Telnet對(duì)應(yīng)TCP 23. SMTP對(duì)應(yīng)TCP 25等等，其余1024-65536端口用于自定義服務(wù)的通信。為了避免沖突，每個(gè)應(yīng)用會(huì)定義特定的一個(gè)端口來提供訪問服務(wù)。實(shí)際上單個(gè)IP地址的每個(gè)端口號(hào)會(huì)分別對(duì)應(yīng)不同業(yè)務(wù)，故需對(duì)其分別設(shè)置相應(yīng)的安全管理策略，所以將應(yīng)用與端口號(hào)的對(duì)應(yīng)關(guān)系作為安全資產(chǎn)進(jìn)行管理是非常有必要的。

域名。通常的網(wǎng)絡(luò)應(yīng)用系統(tǒng)會(huì)以網(wǎng)站形式提供訪問服務(wù)，雖然通過IP也可訪問，但為了方便記憶，大部分網(wǎng)站會(huì)以域名來訪問。而域名對(duì)應(yīng)的資產(chǎn)到底是哪個(gè)設(shè)備，在網(wǎng)站出現(xiàn)安全問題時(shí)，如何快速準(zhǔn)確定位，都是安全管理人員必須掌握的信息。所以需要將域名與IP地址對(duì)應(yīng)關(guān)系作為資產(chǎn)信息進(jìn)行管理。

URL。一般來說，域名是表示一個(gè)網(wǎng)站的IP對(duì)應(yīng)解析關(guān)系，有時(shí)與URL意義相同。但在某些場(chǎng)景下URL是一個(gè)網(wǎng)站下不同的應(yīng)用與路徑信息，可能無法通過路徑掃描獲取，在掃描網(wǎng)站域名時(shí)這些特殊的URL雖然存在漏洞但會(huì)造成評(píng)估遺漏，所以對(duì)于部分重要應(yīng)用的URL應(yīng)單獨(dú)列入資產(chǎn)進(jìn)行管理。

三、硬件資產(chǎn)

設(shè)備類型。企業(yè)較為常見的硬件設(shè)備有路由器、交換機(jī)、防火墻、服務(wù)器、無線設(shè)備等，通過登記硬件設(shè)備資產(chǎn)類型，可以全局掌握企業(yè)不同類型硬件設(shè)備的分類和數(shù)量，有助于制定單位運(yùn)行維護(hù)和安全管理規(guī)則，并分配合理適當(dāng)?shù)娜肆?、物力資源。

設(shè)備品牌。將設(shè)備品牌廠商名作為安全資產(chǎn)，主要是考慮到當(dāng)出現(xiàn)針對(duì)某一廠商或品牌的設(shè)備存在某種安全問題時(shí)，管理人員可立即統(tǒng)計(jì)該品牌設(shè)備數(shù)量和分布情況，便于快速進(jìn)行風(fēng)險(xiǎn)處置和控制，同時(shí)也利于單位根據(jù)廠商品牌統(tǒng)一制定維保計(jì)劃，降低管理成本。

設(shè)備型號(hào)。除了品牌因素，安全問題也常常會(huì)出現(xiàn)在某個(gè)品牌的特定型號(hào)上，因此通過掌握的型號(hào)資產(chǎn)信息，可以快速掌握涉及問題的設(shè)備型號(hào)，而不用費(fèi)時(shí)費(fèi)力去逐個(gè)型號(hào)排查。

除了上述主要內(nèi)容，還可以按企業(yè)實(shí)際情況將硬件的生產(chǎn)日期、入網(wǎng)日期、維護(hù)主體等信息納入安全資產(chǎn)管理。

四、軟件資產(chǎn)

由于軟件安裝部署之后，對(duì)用戶和管理者來說是缺乏存在感知的，但它對(duì)網(wǎng)絡(luò)信息安全的影響卻是非常重要的。軟件資產(chǎn)的分類對(duì)于不同單位來說必然存在需求差異，本文僅從軟件通用方面進(jìn)行考慮。

數(shù)據(jù)庫。針對(duì)數(shù)據(jù)庫的安全風(fēng)險(xiǎn)通常有SQL注入、寫入文件、數(shù)據(jù)拖庫等類型，分別可以實(shí)現(xiàn)越權(quán)查詢數(shù)據(jù)、寫入后門Shell、敏感數(shù)據(jù)下載，這都會(huì)造成較為嚴(yán)重的安全風(fēng)險(xiǎn)，所以有必要加強(qiáng)對(duì)數(shù)據(jù)庫的資產(chǎn)管理。數(shù)據(jù)庫管理的關(guān)鍵內(nèi)容可包含“數(shù)據(jù)庫類型（如Oracle、SQL.DB2. Mysql等）、版本、補(bǔ)丁、應(yīng)用接口”等，這些信息有必要納入安全資產(chǎn)管理范疇。

中間件。近年來，涉及中間件的高危漏洞層出不窮，如Apache Struts2. Weblogic反序列化等漏洞，由于中間件在較多企業(yè)和系統(tǒng)中大量使用，因此這類漏洞影響程度非常廣泛。為了掌握中間件的類型、版本等關(guān)鍵信息，需要將其納入日常資產(chǎn)管理，并需及時(shí)更新。

操作系統(tǒng)。常見主流操作系統(tǒng)有Windows、Linux、AIX、HP-UX、Solaris等較多種類，不同的操作系統(tǒng)都有各自的漏洞缺陷，即使同一操作系統(tǒng)的不同版本亦如此。在安全漏洞的分布上，操作系統(tǒng)占了非常大的比重，如影響較大的'CVE-2017-0143永恒之藍(lán)、CVE-2016-5195臟?！备呶Ｂ┒础Ｈ绻徽莆詹僮飨到y(tǒng)類型、版本號(hào)、補(bǔ)丁信息等關(guān)鍵信息，將會(huì)對(duì)日常安全管理造成嚴(yán)重缺失，故必須將其納入安全資產(chǎn)管理。

其他軟件。主要應(yīng)包括單位定制的應(yīng)用系統(tǒng)、購(gòu)置的商業(yè)化軟件，開源軟件等方面，種類比較繁多，但其本質(zhì)屬性并沒有太大差異，同樣需對(duì)其“類型、版本、補(bǔ)丁、應(yīng)用接口”等方面內(nèi)容進(jìn)行管理。

五、安全資產(chǎn)與風(fēng)險(xiǎn)管理思路

建立了資產(chǎn)信息后，可根據(jù)資產(chǎn)索引對(duì)安全風(fēng)險(xiǎn)進(jìn)行快速統(tǒng)計(jì)，利于安全檢測(cè)加固。比如，出現(xiàn)Struts-2-045漏洞預(yù)警時(shí)，可以知道受影響的版本限定在Struts 2.3.5-2.3.31，通過資產(chǎn)管理系統(tǒng)可迅速篩選出當(dāng)前使用的Apache Struts中間件及涉及問題的版本，隨后立即調(diào)度安全力量開展精準(zhǔn)加固，而無需過多關(guān)注其他無關(guān)Struts版本。這樣可避免以往需對(duì)全量資產(chǎn)進(jìn)行漏洞掃描，不僅費(fèi)時(shí)費(fèi)力，還容易造成誤報(bào)漏報(bào)。因此，合理利用資產(chǎn)管理可以明顯提升漏洞的發(fā)現(xiàn)和處置效率，有效縮短業(yè)務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)時(shí)長(zhǎng)。

六、結(jié)語

隨著當(dāng)前萬物互聯(lián)及信息化的迅猛發(fā)展，越來越多的個(gè)人計(jì)算機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、攝像頭、數(shù)據(jù)庫等眾多IT設(shè)備和軟件系統(tǒng)被運(yùn)用到了各個(gè)方面，而針對(duì)這些設(shè)施的安全漏洞數(shù)量和危害程度也在不斷快速增長(zhǎng)。為了充分積極應(yīng)對(duì)安全風(fēng)險(xiǎn)，已經(jīng)有不少的實(shí)踐案例可以證明，通過網(wǎng)絡(luò)安全資產(chǎn)管理手段進(jìn)行精細(xì)統(tǒng)計(jì)，一方面利于全面掌握企業(yè)資產(chǎn)配置情況，另一方面還能幫助網(wǎng)絡(luò)安全管理人員利用資產(chǎn)的各個(gè)屬性字段組合來快速排查漏洞風(fēng)險(xiǎn)，通過精確調(diào)度有限的安全資源，高效開展處置，能夠不斷強(qiáng)化安全綜合治理水平，不失為一種明顯有效的管理措施，安全資產(chǎn)管理也將逐漸成為企業(yè)不可缺少的網(wǎng)絡(luò)安全管理基礎(chǔ)手段之一。

作者單位：中國(guó)移動(dòng)通信集團(tuán)山西有限公司