江承興

【摘要】? ? 為解決電信運營商及相關單位在資產(chǎn)安全管理上面臨的難題，設計一種融合了二維碼及RFID技術的資產(chǎn)安全管理系統(tǒng)方案，不僅可以對網(wǎng)絡資產(chǎn)進行安全管理，還可以實現(xiàn)資產(chǎn)標簽信息的自動化采集、以及固定資產(chǎn)穿越電子圍欄時的聯(lián)動告警，實現(xiàn)了各類資產(chǎn)的閉環(huán)管理，從而大為提升資產(chǎn)安全管理的高效性、可靠性、便利性。

【關鍵詞】? ? 網(wǎng)絡安全? ? 資產(chǎn)安全? ? 態(tài)勢感知? ? QRcode? ? RFID

引言：

資產(chǎn)是企事業(yè)單位實現(xiàn)業(yè)務戰(zhàn)略目標的物質基礎。對于電信運營商及相關單位來說，隨著內(nèi)網(wǎng)終端數(shù)量不斷增加，網(wǎng)絡環(huán)境更加復雜，一方面網(wǎng)絡資產(chǎn)面臨著僵木蠕等惡意軟件以及各類網(wǎng)絡攻擊等外部威脅，另一方面企業(yè)傳統(tǒng)的固定資產(chǎn)管理存在著流程繁瑣、費時、費力的問題。因此電信運營商及相關單位迫切需要一套一站式、一體化、全流程進行各類資產(chǎn)安全管理的系統(tǒng)。

廣義的資產(chǎn)包括有形的實體資產(chǎn)和無形的信息資產(chǎn)。對于有形的實體資產(chǎn)，又可區(qū)分為傳統(tǒng)的固定資產(chǎn)和網(wǎng)絡資產(chǎn)，網(wǎng)絡資產(chǎn)是指構成信息系統(tǒng)的軟件、硬件、服務等IT和IoT類資源的集合，是安全機制保護的對象，包括但不限于網(wǎng)絡產(chǎn)品、安全產(chǎn)品、物聯(lián)網(wǎng)設備、辦公外設、企業(yè)應用、系統(tǒng)軟件、支撐系統(tǒng)等。固定資產(chǎn)通常需要進行采購、入庫、標簽、領用、盤點、維護等資產(chǎn)生命周期管理;而對于網(wǎng)絡資產(chǎn)，一般還要進行系統(tǒng)版本、補丁升級、漏洞整改加固、數(shù)據(jù)安全防護等管理。

通常的資產(chǎn)安全管理解決方案，或側重網(wǎng)絡和信息安全角度，探討網(wǎng)絡資產(chǎn)安全管理的優(yōu)化方案，或側重傳統(tǒng)固定資產(chǎn)的場景化管理方法，但較少考慮將網(wǎng)絡資產(chǎn)和傳統(tǒng)固定資產(chǎn)的管理流程進行有機融合的解決方案。本文將從這個角度出發(fā)，研究實現(xiàn)一種融合多種技術的資產(chǎn)安全管理方案。

一、資產(chǎn)安全管理技術概述

資產(chǎn)安全管理的主要技術，包括了基于網(wǎng)絡安全的資產(chǎn)及屬性發(fā)現(xiàn)技術、基于二維碼或RFID技術的固定資產(chǎn)管理方法等。不同的技術方法，適用于不同的應用場景。

資產(chǎn)及屬性發(fā)現(xiàn)技術，主要有三種：一種是基于開源NMAP的方法，該方法不僅可以用于采集信息，還可以作為漏洞掃描器;另兩種是基于遠程賬號登錄或安裝代理客戶端的方法，在主機上運行腳本和命令獲取資產(chǎn)屬性。二維碼技術始于20世紀80年代末，目前應用較廣泛的二維碼是QR碼，非常適合進行資產(chǎn)標簽信息管理。RFID技術是一種非接觸式的自動射頻識別技術，通過射頻信號自動識別并獲取信息，進而實現(xiàn)定位、跟蹤、監(jiān)管等功能。相對于二維碼技術，RFID標簽對環(huán)境要求較低，簡單便捷。

二、資產(chǎn)安全管理系統(tǒng)架構

資產(chǎn)安全管理系統(tǒng)主要由資產(chǎn)數(shù)據(jù)采集層、資產(chǎn)數(shù)據(jù)存儲層、資產(chǎn)數(shù)據(jù)分析層、資產(chǎn)安全管理層、資產(chǎn)數(shù)據(jù)展示層和外部系統(tǒng)接口層組成，如圖1所示：

資產(chǎn)數(shù)據(jù)采集層。實現(xiàn)資產(chǎn)指紋數(shù)據(jù)的采集功能，構建包括設備與系統(tǒng)歸屬關系、IP地址、端口、操作系統(tǒng)、服務、應用、漏洞和基線配置脆弱性、物理位置（機房、機架等）、在安全域中的邏輯部署位置等多維度的資產(chǎn)信息指紋庫。資產(chǎn)指紋數(shù)據(jù)是用于描述資產(chǎn)特征的一組屬性信息集合，如設備類型、設備廠商、系統(tǒng)信息、端口信息、服務信息、中間件信息、程序應用框架信息、應用軟件信息等。對于固資而言，一般包括資產(chǎn)名稱、責任人、歸屬部門、采購日期、金額等資產(chǎn)特征數(shù)據(jù)，可通過二維碼或RFID標簽來承載，以便管理。

資產(chǎn)數(shù)據(jù)存儲層。實現(xiàn)資產(chǎn)數(shù)據(jù)的存儲功能，包括原始數(shù)據(jù)、分析結果、采集任務記錄以及知識庫等數(shù)據(jù)。

資產(chǎn)數(shù)據(jù)分析層。實現(xiàn)資產(chǎn)指紋數(shù)據(jù)的分析功能，能夠結合漏洞、攻擊方式等威脅信息，實現(xiàn)新增、變更、下線或者宕機等異常資產(chǎn)發(fā)現(xiàn)，漏洞影響資產(chǎn)范圍精確評估，資產(chǎn)異常和安全告警功能，資產(chǎn)風險計算、排序并維護資產(chǎn)當前風險狀態(tài)。此外，還應對固定資產(chǎn)生命周期內(nèi)的變更歷史數(shù)據(jù)進行分析。

資產(chǎn)數(shù)據(jù)展示層：實現(xiàn)資產(chǎn)安全管理的多維度、可視化的展示能力。

資產(chǎn)安全管理層：實現(xiàn)資產(chǎn)安全管理能力，保障各類資產(chǎn)安全運行。

外部系統(tǒng)接口層：實現(xiàn)與資產(chǎn)管理相關外部系統(tǒng)的數(shù)據(jù)開放共享的能力。

三、資產(chǎn)安全管理功能結構

3.1 安全管理功能

資產(chǎn)安全管理的內(nèi)涵不僅包括資產(chǎn)自身安全，還包括資產(chǎn)所承載信息的安全。因此需要對資產(chǎn)自身的指紋數(shù)據(jù)（自身及關聯(lián)屬性信息）進行管理，主要包括資產(chǎn)自身指紋數(shù)據(jù)采集、資產(chǎn)信息去重、資產(chǎn)屬性管理、資產(chǎn)歸屬管理、生命周期管理、資產(chǎn)數(shù)據(jù)分析、資產(chǎn)安全告警、威脅處置管理等功能。核心功能如下：

1.資產(chǎn)指紋采集：系統(tǒng)支持通過爬蟲技術、agent客戶端程序、遠程探測、第三方接口或手工導入等方式采集資產(chǎn)指紋數(shù)據(jù)，并進行標準化、過濾、歸并及分類等處理，在這個環(huán)節(jié)需要要用到一系列協(xié)議、標準，包括 SNMP、syslog、WMI接口，ODBC/jdbc，xml等協(xié)議或標準。遠程探測方式是通過代理客戶端對指定的網(wǎng)段發(fā)送ICMP、UDP等探測包，采集網(wǎng)段中在線設備的指紋信息;第三方接口方式，則通過與漏洞掃描、堡壘機、4A等系統(tǒng)對接，獲取運維日志、漏洞掃描結果信息，獲取相關資產(chǎn)指紋數(shù)據(jù)。

2.生命周期管理：完整記錄資產(chǎn)數(shù)據(jù)從創(chuàng)建、存儲、使用、共享、歸檔、銷毀的全生命周期的變更信息，以及從入庫到注銷的全生命周期的指紋變化情況，包括操作系統(tǒng)、中間件、版本、補丁、安全基線、漏洞等資產(chǎn)內(nèi)在變化信息，以及資產(chǎn)編碼、資產(chǎn)名稱、金額、采購時間、資產(chǎn)責任人、歸屬部門、存放地點等外在變動信息管理，實現(xiàn)事前預警、事中發(fā)現(xiàn)以及事后處置加固等閉環(huán)管理能力。

3.資產(chǎn)數(shù)據(jù)分析：系統(tǒng)支持對資產(chǎn)歷史指紋變化情況進行關聯(lián)分析?；诖髷?shù)據(jù)技術，對海量數(shù)據(jù)進行分析處理，包括實時的、離線的數(shù)據(jù);支持通過二次數(shù)據(jù)處理、關聯(lián)分析技術，發(fā)現(xiàn)異常資產(chǎn)、脆弱性，得出整體安全態(tài)勢信息。對網(wǎng)絡資產(chǎn)存在的潛在網(wǎng)絡安全問題或安全風險，觸發(fā)預警信息，通知資產(chǎn)管理人及時查看或采取處置行動。

4.資產(chǎn)安全告警：對于代理客戶端、第三方系統(tǒng)發(fā)現(xiàn)的未知資產(chǎn)、資產(chǎn)指紋發(fā)生變更或實體資產(chǎn)發(fā)生位移的情況，將通過系統(tǒng)消息、文本短信、IVR語音、微信消息或電子圍欄系統(tǒng)的聲光電信號，發(fā)出告警消息。

5.威脅處置功能：系統(tǒng)支持針對異常資產(chǎn)或威脅的工單處置功能，由系統(tǒng)自動觸發(fā)或系統(tǒng)管理員手工觸發(fā)，派發(fā)處置工單到資產(chǎn)管理人，完成告警處置后提交審核。

6.輔助管理功能：系統(tǒng)還支持進行安全域管理、統(tǒng)計報表、IP地址管理、安全策略管理、資產(chǎn)預警管理、資產(chǎn)風險分析、資產(chǎn)脆弱性管理等功能。

7.知識庫管理功能：系統(tǒng)支持與cnvd國家信息安全漏洞共享平臺、集團側平臺或第三方威脅情報系統(tǒng)的對接，獲取相關威脅情報信息，包括威脅情報、漏洞、病毒信息等。實現(xiàn)南北向數(shù)據(jù)互通。

8.接口管理功能：系統(tǒng)支持與專業(yè)安全子系統(tǒng)的接口，包括漏洞掃描系統(tǒng)、攻擊溯源系統(tǒng)、異常流量監(jiān)控系統(tǒng)、僵木蠕系統(tǒng)、域名安全分析系統(tǒng)、垃圾郵件處理系統(tǒng)、終端安全管理系統(tǒng)等系統(tǒng)對接，調(diào)用其安全能力，實現(xiàn)東西向數(shù)據(jù)互通。

9.態(tài)勢感知功能：系統(tǒng)支持將分析獲得的資產(chǎn)安全風險或威脅情報信息，以可視化方式呈現(xiàn)出來（如監(jiān)控大屏），實現(xiàn)動態(tài)地、直觀地展示各類資產(chǎn)安全情況，包括資產(chǎn)告警、漏洞、基線、定級備案等情況。從而達到對本企業(yè)各類資產(chǎn)安全狀況的整體態(tài)勢感知，以便資產(chǎn)安全管理人員，快速采取行動，遏制或消除風險。

3.2 標簽識讀功能

資產(chǎn)安全管理系統(tǒng)對于固定資產(chǎn)的資產(chǎn)信息管理，主要基于二維碼標簽技術或RFID標簽技術的方式進行管理。核心功能如下：

1.識讀管理：系統(tǒng)支持適配市場上主流條碼識讀設備，通過開發(fā)APP客戶端或微信小程序技術，實現(xiàn)對二維碼標簽信息識讀;支持在手持終端上對資產(chǎn)信息進行修改，以便資產(chǎn)盤點人員及時更新資產(chǎn)歸屬人、資產(chǎn)歸屬部門等信息。

2.條碼生成：系統(tǒng)支持二維碼的圖像生成功能，并支持自定義條碼標簽規(guī)格（默認為3*5cm，以便黏貼），二維碼標簽包含資產(chǎn)編碼、資產(chǎn)名稱、入庫日期、金額、歸屬部門、資產(chǎn)負責人等主要信息。

3.信息管理：系統(tǒng)支持通過通信網(wǎng)絡或數(shù)據(jù)線方式，將條碼識讀設備上存儲的資產(chǎn)信息導入后臺管理系統(tǒng);支持在后臺系統(tǒng)上進行增刪改查等操作，支持csv或pdf格式導出功能。

4.條碼打?。合到y(tǒng)支持二維碼標簽打印功能，支持對頁面邊距的修改，以適配市場上主流的條碼打印設備及不同類型的紙帯。

3.3 位移告警功能

對于部分涉密或關鍵設備資產(chǎn)，還可通過內(nèi)置RFID標簽的方法，以實現(xiàn)對其軌跡的監(jiān)測，并對穿越電子圍欄的行為觸發(fā)告警。主要功能包括：

1. RFID標簽：RFID標簽存儲資產(chǎn)電子編碼信息，所存儲的信息可以被射頻收發(fā)設備以非接觸方式讀或寫。

2. RFID天線模塊：能夠為RFID標簽和射頻收發(fā)模塊，進行射頻信號空間傳遞。

3.射頻收發(fā)設備：能夠發(fā)出無線電射頻信號，接收由 RFID 標簽反射回的無線電射頻信號，經(jīng)處理后獲取該標簽存儲的信息，并將信息送到服務端。

4.安全策略管理：資產(chǎn)安全管理系統(tǒng)的服務端收到信息后，根據(jù)資產(chǎn)名稱、資產(chǎn)負責人、存放位置、是否涉密等條件配置安全管理策略。若判斷出該資產(chǎn)的位置信息發(fā)生變動，并違反了預定的安全管理策略，則向門衛(wèi)或資產(chǎn)責任人發(fā)出報警提示，由門衛(wèi)或資產(chǎn)負責人進行核查或實時攔截，從而避免涉密或重要資產(chǎn)離開預定存放位置。

5.資產(chǎn)告警功能：實現(xiàn)語音、短信、微信或聲光電等方式告警。短信、語音告警可通過電信運營商短信通道號發(fā)送，資產(chǎn)責任人可通過登錄管理頁面或手機APP查看或接聽告警。對于已建設電子圍欄系統(tǒng)的單位，資產(chǎn)安全管理系統(tǒng)可通過接口獲取其關聯(lián)資產(chǎn)的告警信息，在資產(chǎn)安全管理系統(tǒng)上展示或觸發(fā)告警、處置工單，采取威脅處置手段。

3.4 共通管理功能

資產(chǎn)安全管理系統(tǒng)還支持如下共通管理功能：

1.基礎管理功能，包括賬號、角色、權限管理功能等。

2.審計管理功能，實現(xiàn)對所有與資產(chǎn)相關信息的審計管理，如登錄和注銷日志、訪問資源的行為記錄，安全策略變更記錄，對用戶角色的增刪改操作，資產(chǎn)數(shù)據(jù)采集任務創(chuàng)建、執(zhí)行、查看記錄，屬性字段的增刪改記錄等。

3.遠程管理功能，支持通過加密的方式進行遠程管理，確保會話內(nèi)容不被非授權人員獲取。

四、未來展望

基于上述系統(tǒng)架構的資產(chǎn)安全管理系統(tǒng)，可面向三類場景開展資產(chǎn)安全管理。

1.對于電信運營商的省分公司，企業(yè)規(guī)模龐大、資產(chǎn)類型眾多。該系統(tǒng)既可用于納管網(wǎng)絡資產(chǎn)，包括安全設備、網(wǎng)絡設備、主機、數(shù)據(jù)庫、中間件、存儲以及各業(yè)務系統(tǒng)資產(chǎn)，也可用于傳統(tǒng)固定資產(chǎn)安全管理。

2.對于一般的企事業(yè)單位，可獨立部署基于二維碼標簽及RFID標簽的資產(chǎn)安全管理系統(tǒng)，以開展傳統(tǒng)固定資產(chǎn)管理。

3.對于一般的互聯(lián)網(wǎng)企業(yè)，可獨立部署面向網(wǎng)絡資產(chǎn)的資產(chǎn)安全管理系統(tǒng)，以開展網(wǎng)絡資產(chǎn)的安全管理。

五、 結束語

綜上所述，融合RFID等技術的資產(chǎn)安全管理系統(tǒng)，綜合考慮了網(wǎng)絡資產(chǎn)和傳統(tǒng)固資管理的不同流程特點，實現(xiàn)了二者的有機融合和業(yè)務流程的貫通，較好地滿足了電信運營商及相關單位各管理部門對資產(chǎn)安全管理的不同需求。

參? 考? 文? 獻

[1]中國通信標準化協(xié)會.YD/T 3803-2020.電信網(wǎng)和互聯(lián)網(wǎng)資產(chǎn)安全管理平臺技術要求[S].2020.

[2]中國國家標準化管理委員會.GB/T35290-2017.信息安全技術 射頻識別（RFID）系統(tǒng)通用安全技術要求[S].北京：中國標準出版社，2018.

[3]中國國家標準化管理委員會.GB/T31022-2014.名片二維碼通用技術規(guī)范[S].北京：中國標準出版社，2015.

[4]落紅衛(wèi)，程偉.RFID安全威脅和防護措施[J].電信網(wǎng)技術.2010（3）.