基于4A平台的资产管控体系的设计与实现

陈霖，刘松波

（中国移动通信集团湖南有限公司，长沙 410000）

1 引言

随着互联网络的飞速发展，企业持续加大信息系统建设投入，使企业IT网络规模呈现爆炸式增长，IT资产数迅速增加的同时，现场网络环境也不断变化、越发复杂化，给资产安全管理工作带来巨大挑战。

信息系统资产是各类服务的基础，面对日益复杂的企业资产安全管控形势，对于企业来说，资产安全不仅仅是管理各类硬件主机、设备，包括应用系统层的各类系统平台、业务服务等，也包括各个节点上运行的商用软件、开源组件、软件进程和网络端口情况等；同时，还应提供覆盖资产全生命周期的安全管控能力。企业建立有效的资产管控秩序，有了完整、动态更新的资产信息库，才能更好的进行风险识别、风险分析和风险处置。

资产管理能力不足会导致以下安全隐患。

（1）无法掌握企业整体资产及其网络的真实情况，导致安全防护存在盲区，给企业安全造成严重影响。

（2）资产信息不全面，带有未知或者禁止的软件服务入网会给所在网络及承载业务带来巨大的风险。

（3）资产信息不正确，会对其它安全手段的效果产生抵消，影响安全分析工作。

（4）资产更新不及时，这段时间不仅仅是资产本身不安全，也对其接入的网络带来了安全隐患。

上述问题导致企业面对急速增长的资产管控问题无法做到主动发现、动态监控及管控措施，更多的时候都是在充当“消防员”的角色，甚至于因问题资产引发的安全事件在爆发后相当长的一段时间后才被知晓，管控措施较为消极。

2 基于4A平台的资产管控体系设计

本方案设计与实现过程中拟解决的关键问题如下。

（1）未知资产识别和发现。

（2）资产指纹信息全量采集。

（3）异常资产的分析发现。

（4）资产风险自动监控及预警。

（5）资产全生命周期管控。

本方案采用配置分析、远程扫描、流量分析等方式实现对资产的主动发现和异常稽核，结合事件分析补充对未知资产的发现。同时，利用湖南移动现有4A平台提供的指令通道实现对目标资产全量指纹信息的采集，结合4A平台的管控流程实现对资产的全生命周期管理，在提供资产智能盘点、跟踪、侦测、检查、加固同时，构建完善的覆盖全面、属性详细、及时更新、发现问题的技术机制与管理方法，用来解决企业设备资产众多、在网资产生命周期管理不准确，主要依赖于人工上报，缺乏核查漏报、误报和瞒报设备的现状，减少现网面临未知资产带来的安全风险，为企业资产安全管控工作提供强有力的技术支撑。本方案整体设计思路如图1所示。

2.1 各种资产发现方法

2.1.1 远程扫描方式

远程扫描的方式发现未知资产，首先逐个对指定IP段内的所有IP进行扫描，探测该网段内资产的存活情况，然后探测存活主机的存活端口并采集设备信息，如操作系统类型、版本等。并通过资产指纹特征匹配分析的方式，侦测在网IP的详细资产特征，包括资产系统类型、开放服务情况等，丰富资产信息。

2.1.2 配置分析方式

配置分析方式依赖已录入的资产信息，需要初始化录入部分设备信息，录入的设备种类越全面、数量越多，则未知设备发现算法收敛速度越快，可更迅速而准确的发现未知设备。通过采集、分析设备ARP表、MAC表、路由表、接口信息表等信息的方式，从网络层发现未知资产。首先对被检查地址段广播泛洪激活数据分组，保证资产信息已被更新，其次采集已知资产的ARP表、MAC表、路由表、接口信息表等各类信息，然后以该已知资产为节点，分析与其它设备的互联关系，不断扩展采集范围，“顺藤摸瓜”式的逐级侦测未知资产，最终发现该设备可达的所有资产。

图1 总体设计思路

2.1.3 流量分析方式

方式1：通过在网络节点中部署专门的流量分析设备，对网络流量流向特征进行捕捉分析，从数据链路层、网络层、传输层逐层拆封数据报文，解析协议头部中的MAC地址信息、IP地址信息、端口信息等，分析其通信特征、流量特征、流向特征，从中发现和追踪未知的IP和MAC信息。

方式2：基于现网已经部署的DPI设备，配置由服务器区域到外网的访问分析规则，并生成XDR话单，Ultra-AMR通过分析XDR话单分析各个服务器的通信特征、流量流向特征。

2.1.4 Web资产识别方式

对Web资产需要对Web内容进行识别。主要包括关键字识别、备案信息识别、图像识别3类。

（1）关键字识别：获取Web网站首页全文，对首页全文进行判断，识别包含有“移动”相关的关键字的资产。

（2）ICP备案号识别：对Web站点提取其ICP备案号码，识别备案信息中含有“移动”关键字的资产。

（3）图像识别：对Web网站首页截图进行判断，识别包含有移动公司LOGO的资产。

2.2 重点业务流程设计

2.2.1 在网资产全量发现

本方案在采集基础数据的过程采用了对目标系统无性能损失的方式，如果待检查的网络部分主要资源已经接入了4A平台，使得本文所述的资产管控系统可以直接登录，则采用登录交换机采集识别发现方式（方式1），如果主要资源未接入，也无法获取网络流量时，可采用扫描探测识别发现方式（方式2），如果可以获取目标网络内的数据流量，则可以采用流量分析识别方式（方式3）。这些方式可以单独使用，也可以叠加使用。在网资产全量发现流程如图2所示。

图2 在网资产全量发现流程

2.2.2 资产指纹信息采集

本方案将根据资产类型的不同来确定指纹信息的采集方式。对于未知资产，将采用远程扫描的方式，利用资产指纹采集技术，采集资产指纹信息，主要包括操作系统信息，端口服务信息，应用指纹（Web容器、Web程序）信息，建立较为完整的未知资源指纹库，辅助企业进行未知资源稽核。对于已知资产，将采用登录设备的方式对资产指纹进行采集，采集的信息包括资产设备硬件信息、操作系统信息、配置信息、软件信息、服务信息、端口信息、进程信息等。通过资产指纹信息更新，完善企业资产信息库。资产指纹信息采集流程如图3所示。

图3 资产指纹信息采集流程

2.2.3 异常资产识别

本方案将以任务的形式自动识别企业内部的异常资产，并通过工单系统完成异常资产的告警与整改，异常资产识别流程如图4所示。

具体流程包括：

（1）安全管理员制定异常资产的发现任务。

（2）系统自动采集资产指纹信息。

（3）通过比对系统内置的基础指纹模板，梳理资产是否存在变更，从而判断是否为异常资产。

（4）系统对已确认的异常资产进行告警。

（5）安全管理员派发异常资产的处理工单。

（6）业务管理员对异常资产进行处理。

（7）系统对更新后的指纹信息进行入库处理。

2.2.4 资产全生命周期管控

本方案通过与4A系统结合，实现对企业在网资产从“入网→变更→退网”全生命周期的管控。资产全生命周期管控流程如图5所示。

具体流程包括：

（1）安全管理员制定在网资产探测任务。

（2）系统自动对在网资产进行探测，对发现的资产类型进行判断。

图4 异常资产识别流程

（3）若资产为未知资产，则系统通知4A管理员进行资产接入，并通过网络探测的方式进行初步的资产指纹信息采集。资产4A接入完成后，通过登录采集的方式进一步进行资产指纹的采集。

（4）若资产为已知资产，则直接通过登录方式进行资产指纹的采集，并与原有基础指纹信息进行比对，判断资产是否存在指纹变更的情况。

（5）系统增量的对发现的未知资产和变更的已知资产及指纹信息库进行更新。

3 基于4A平台的资产管控体系实现

3.1 技术实现

对照以上功能设计，湖南移动基于4A管控平台实现了资产管控体系的建设，主要包括未知资产的发现、已知资产的配置采集、资产管理等功能。系统总体功能架构如图6所示。

系统通过“资产自动识别与发现”模块来发现在网资产，通过制定扫描计划，系统实现未知资产自动发现、资产信息重大变更等情况，对于系统发现的未知资产、出现变更的问题资产将自动发起工单流程，确保每台设备落实责任人，并填写完整设备相关信息，确保100%纳入4A管控。

3.2 建设效果

湖南移动资产管控系统面向资产全生命周期，基于资产信息全面管理，以资产动态发现、安全风险实时监控和资产闭环管理为技术手段，构建动态响应、主动型安全保障体系为目标，建立一套全网资产全生命周期管理系统。

主要效果如下。

（1）资产发现：可快速发现网存活设备、设备归属地、设备类型、设备品牌及型号及其开放的服务、端口、操作系统类型、使用的软件等信息。

（2）资产识别：对已经发现的资产进行识别，能够识别出存活设备的基本指纹信息，并能够对资产的变化进行识别、跟踪、确认等。针对属于Web网站，可识别出自有资产，以及其它相关信息。

（3）建立资产指纹库：根据以上发现的资产信息建立资产指纹库，并能够实现对资产变化的管理。针对识别出的湖南移动自有互联网暴露面资产建立资产指纹库。

（4）资产的全生命周期管理驱动：实现对资产管理流程驱动，包括资产的新增、变更和下线全生命周期过程。

图5 资产全生命周期管控流程

图6 功能架构图

（5）资产漏洞关联及快速响应：自动收集CVE、CNVD等漏洞库信息，进行资产与漏洞的关联匹配。

（6）资产数据共享：系统具有开放能力，能够与其它系统能够通过接口进行数据连通。

4 结束语

湖南移动资产管理系统通过采集分析网段内IP地址的存活情况，同时结合网络交换设备的配置信息分析、流量分析等多种手段，实现对网络资产的全量发现，并且结合资产指纹采集技术，实现对资产指纹信息的采集，构建具有电信行业特点的资产指纹信息库，同时利用爬取技术实现对资产威胁情报的获取，通过对资产进行智能关联分析，情景感知和跟踪溯源，实现网络资产的可视化管理和风险态势的全景展示和预警，进一步提高信息系统的安全运营风险的全面掌控和联动处置水平，为电信行业务发展和创新提供动力保障。